CISO’nun İlk 90 Gününde Başarı Stratejisi

CISO: Bir Orkestra Şefi

Steve Jobs’un meşhur konuşmalarından birinde, Wozniak ona tam olarak ne yaptığını sorar. Jobs’un cevabı nettir: “Müzisyenler enstrümanlarını çalar, ben orkestrayı yönetirim.”

Woz Asks Steve What He Does:
Woz: You can’t write code, you’re not an engineer, you’re not a designer, and you can’t put a hammer to a nail. So how come ten times in a day I read Steve Jobs as a genius
WHAT DO YOU DO?
Steve: Musicians play their instruments, I play the orchestra and you’re a good musician, you sit right there you’re the best in your room I came here to clear.

Filmde bu sahne beni çok etkilemiş ve liderlik ettiğim alanda hep aklımın bir kenarında durmuştur. Evet, işte bir CISO, tam olarak budur. O, teknik detaylara takılmadan stratejik yönetime odaklanan, ekibini en iyi şekilde yönlendiren ve güvenlik süreçlerini etkili bir şekilde yürüten liderdir. Çünkü asıl işi orkestrasyon etmekdir. Diğer bir yorum ile doğru bakış açısı ve yaklaşım ile o meşhur sözdeki gibi “know something about everything” ile işin uzmanları ile koordineli şekilde süreçleri yönetmelidir.

CISO’nun görevi yalnızca güvenliği sağlamak değil, organizasyonun genel stratejisiyle uyumlu, sürdürülebilir bir bilgi güvenliği yaklaşımını da oluşturmaktır. Bu doğrultuda, başarılı bir CISO olmak için gereken temel becerileri düşündüğümde;

  • İletişim ve Sunum Becerileri: Üst yönetimi, paydaşları ve ekibi etkili bir şekilde bilgilendirmek.
  • Doğru Güvenlik Stratejisi Belirleme: Şirketin hedeflerini anlayarak en uygun güvenlik yol haritasını çizmek.
  • Risk Odaklı Düşünme: Doğru risklere odaklanarak kritik kararlar almak.
  • Şirket Kültürüne Uyum: Şirketin politikalarını ve işleyişini anlamak, güvenlik süreçlerini buna entegre etmek.
  • Delege Etme Yetisi: Tüm süreçlere müdahil olmak yerine, doğru kişilere görev vermek ve onların en iyi şekilde çalışmalarını sağlamak.
  • Finansal Yönetim Yetkinliği: Güvenlik yatırımlarını doğru yönlendirmek ve bütçeyi en iyi şekilde kullanmak.
  • Kişisel İtibar ve Liderlik: Çalışanların saygısını kazanarak güçlü bir güvenlik ekibi oluşturmak.
  • Önceliklendirme ve Zaman Yönetimi: En kritik güvenlik konularına odaklanarak enerjiyi doğru yönlendirmek.

noktalarını günümüz dünyasında doğru buluyorum. Hep söylediğim gibi, “İnanmadığım bir şeyi kimseye uygun göstermem”. Bu maddeler de benim için tam olarak böyledir.

CISO’nun İlk 90 Gününde Yapması Gerekenler

Peki gelelim yeni başlangıçlara, CISO oldunuz ve göreve başladınız. Başladınız da başlar başlamaz, neler yapmalısınız?

Öncelikle, Başarılı bir CISO olmak için zamanı akıllıca yönetmek şarttır. Bu nedenle, gerçek etki yaratacak becerilere odaklanmak ve gereksiz konularla vakit kaybetmemek kritik öneme sahiptir. Buna göre bir yol haritası oluşturalım;

1. Mevcut Durumu Değerlendirme

Göreve başlar başlamaz, organizasyonun mevcut güvenlik duruşunu analiz etmelisiniz. Nereye düşdüm ben demeyin, nasıl değer katacağım diyin…

  • Mevcut güvenlik politikaları ve prosedürler neler?
  • Şirketin geçmişte yaşadığı güvenlik olayları nelerdir ve nasıl müdahale edilmiştir?
  • Kullanılan güvenlik teknolojileri yeterli mi?
  • Denetim bulguları ya da güvenlik değerlendirme sonuçları var mı?

Gibi alanlar üzerinden genel posture analizi yapıp durumu bir görmelisiniz.

2. Risk Yönetimi ve Önceliklendirme

Her şirket günün sonunda sucuk satıyor tamam ama içinde de sürekli riskleri yönetiyor. Bu risk finansal olur, Operasyonel olur vb. CISO olarak da bizim işimiz riskli noktaları bulmak ve önceliklendirme yapmaktır.

  • Şirketin karşı karşıya olduğu en kritik güvenlik risklerini belirleyin.
  • Risk bazlı yaklaşımı benimseyerek, kaynakları en iyi şekilde kullanın.
  • Uluslararası standartlar (ISO 27001, NIST CSF gibi rehberler) doğrultusunda aksiyon planları oluşturun.

Bu sayede doğru bir yol haritası oluşacaktır.

3. Güvenlik Politikalarının Gözden Geçirilmesi ve Güncellenmesi

Çalışmaları sürekli GRC ekseninde tutmak istemem ama çerçeve ne kadar güçlü ise günlük operasyonlar o kadar kolay olur. Örneğin; Siz veri sızıntısı kapsamındaki yaklaşımınızı politika ve veri paylaşım alanlarındaki güvenlik mimari kuralları ile belirlemeden DLP uygulamasının en iyisini alsanız kaç yazar. Sonuç sadece maddi bir gider ve efektif çalışmayan güvenlik teknolojilerinden ibaret olur. O yüzdendir ki, Süreç-İnsan-Teknoloji üçgenini doğru ve dengeli tutmalıyız. Peki neler yapmalı;

  • Mevcut güvenlik politikalarının etkinliğini değerlendirin.
  • Gerekiyorsa politikaları güncelleyin ve çalışanların farkındalığını artırın.

NIST CSF ya da ISO27001 gibi basit ya da ISF gibi çok kapsamlı çerçeveleri kullanarak politikaları güçlendirin.

4. Güvenlik Kültürünün Oluşturulması

Şirkette bilgi güvenliği farkındalığı en düşük personel = şirketin güvenlik farkındalığı desem çok sert olur belki ama tam olarak öyle. Kapıdaki güvenlik kayıt almadan ziyaretçi kartı verip, gideceği yere uygun yetkilendirme yapmadan ya da refakatçi olmadan içeri giren birinin iyi kalpli olduğu yüzündeki nurdan anlaşılmaz elbette. Bu yüzden;

  • Tüm çalışanlara yönelik farkındalık eğitimleri düzenleyin.
  • Sosyal mühendislik testleri ve tatbikatlarla bilinç düzeyini ölçün.
  • Güvenliği sadece bir teknoloji meselesi olarak değil, bir şirket kültürü olarak benimsetin.

5. İletişim ve İşbirliği

“Time is money.”

Üst yönetim için bence iyi bir deyim. Güvenlik her zaman ön planda tutulmayabilir ve kendinizi doğru iletişim becerileri ile ifade etmezseniz herşey boşa gider. O yüzden güçlü bir iletişim ağı ve doğru metotlar ile ;

  • Üst yönetimle güçlü bir ilişki kurarak güvenlik stratejilerinin desteklenmesini sağlayın.
  • CIO ve diğer yöneticilerle düzenli toplantılar yaparak güvenlik konusunda ortak bilinç oluşturun.
  • Güvenlik ekibi içinde şeffaf ve etkili bir iletişim mekanizması kurun.
    • Buraya ayrı bir parantez açmak isterim, çünkü ben bu noktada şanlı kişilerdenim. Ekibim aynı zamanda ailem gibi oldu (bu kadar samimiyet olmaz demeyin). Aile herşeydir ve bu doğru ilişki sayesinde ciddi bir aidiyet ve iş birliği ruhu oluşacaktır.

6. Sürekli İzleme ve İyileştirme

Bir noktaya geldiğimize göre şimdi “big boss is watching you” deme zamanı. Öyle kuşkucu ve öyle sıkı takip yapısı oluşturmalıyız ki, derler ya “kuş uçsa haberi olur” o durumda olmalıyız. O kadar politika/prosedür boşa değildi. Güvenlik Olay yönetimi için o kadar iyi playbook lar, iletişim yapıları ve kural setleri oluşturdunuz ki, şimdi Güvenlik Teknolojilerimizde bunları aktif edelim. Bu noktada, insan bacağını atlamayalım, yukarıda ekip dedik ama bu kadar teknoloji için içerde yeterli kaynak olmayabilir. Zaten her işinde bir uzmanı vardır. Doğru kaynakları iç ya da 3.partiler ile bir araya getirmek gerekir. Şimdi;

  • Güvenlik olaylarını sürekli izleyin ve analiz edin.
  • Modern güvenlik çözümlerinden (XDR, saldırı yüzeyi yönetimi) faydalanarak tehditleri daha hızlı tespit edin.

Zafiyet değerlendirmeleri ve penetrasyon testleri ile güvenlik seviyesini ölçün.

7. Bilgi Güvenliği Yönetim Sistemi ve Yasal ve Düzenleyiciler ile Uyumluluk

Yukarıda hep iyi pratiklerden, rehberlerden bahsettim ama asıl kutsal kitaplar yasal düzenleyicilerden gelir. BDDK, KVKK, EPDK, SPK vb. ama özünde hepsi doğru bir BGYS sürecini şart koşar, o yüzden;

  • Kuruluşta ISO 27001 standardı ya da farklı bir standart ile uyumlu bir BGYS oluşturun veya mevcut sistemi güçlendirin.
  • Bilgi güvenliği politikalarının iş süreçlerine entegrasyonunu sağlayın.
  • Sürekli iyileştirme mekanizmaları ile güvenlik süreçlerini geliştirin.
  • KVKK, GDPR gibi yasal yükümlülüklere uygunluğu sağlayın.
  • Regülasyon gerekliliklerini takip ederek, kurumun uyumluluk düzeyini koruyun.

CISO’nun Yapmaması Gerekenler

Peki şimdi birazda “ne yapmamanız” gerekir onları düşünelim.

Not: Bunlar şahsi görüşlerimdir ve beni bağlar. Yeni kuşaklar ile eski kuşaklar arasındaki geçişi birebir yaşadığım için işin nereye gittiğini, ya da gitmesi gerektiğini yorumluyorum.

1. CISO, Bir Olay Müdahale Uzmanı Değildir.

  • Olay müdahalesini yönetir, ancak teknik detaylara bizzat girmez.
  • Uzman ekiplerden doğru bilgileri alarak süreci yönlendirir.

2. CISO, Hukukçu Değildir.

Yasal uyumluluk ile ilgili temel bilgilere sahip olmalı, ancak hukuki kararları doğrudan kendisi vermemelidir.

3. CISO, Pentester Değildir.

Teknik yetkinlikleri olsa bile, CISO’nun önceliği stratejik yönetim olmalıdır.

4. CISO, Program Yöneticisi Değildir

Program yönetimi süreçlerini bilir, ancak bunları birebir yönetmez.

5. Teknik/Taktik Değil, Strateji ve Liderliğe Odaklanmalıdır.

Güvenlik süreçlerini büyük resme uygun bir şekilde yönlendirmelidir.

Sonuç

CISO’nun ilk 90 günü, organizasyonun güvenlik stratejisini güçlendirmek için kritik bir zaman aralığıdır. Bu dönemde atılacak adımlar, uzun vadede güvenlik duruşunu belirleyecek ve organizasyonu siber tehditlere karşı daha dirençli hale getirecektir.

CISO, teknik detaylara boğulmadan büyük resmi gören, stratejik bakış açısına sahip, iletişimi güçlü ve ekibini doğru yönlendiren bir lider olmalıdır. Bu süreç, organizasyonun güvenli bir dijital geleceğe ilerlemesini sağlamak için temel bir adımdır.

Başarılı bir CISO olmak için yukarıdaki stratejileri benimseyerek, organizasyonunuzu en iyi şekilde yönlendirebilirsiniz. Güvenli ve sürdürülebilir bir bilgi güvenliği yönetimi için stratejik liderlik her şeyin anahtarıdır.

Leave a Reply

Your email address will not be published. Required fields are marked *