Roller Tersine Çevrildi: CIO, CISO’ya Rapor Ediyor

BT’nin Güvenliği, Onu Yönetmeden Daha Hayati Hâle Gelirse

Eric Chabrow tarafından 7 Nisan 2014’de yayınlanan yazı

ÇEVİREN: Gürol CANBEK, 18 Aralık 2014

Thad Allen

Tamamı değilse de, şirketlerin çoğunda; Bilgi Güvenliği Müdürü (CISO, Chief Information Security Officer), Bilgi İşlem Müdürüne (CIO, Chief Information Officer) rapor eder. Nihayetinde şirketler, BT olmadan işlev göremez ve güvenlik, verinin ve sistemlerin korunmasına yönelik bir destek fonksiyonudur!

Acaba gerçekten öyle midir?

Günümüzde şayet siber tehditler oldukça yaygınsa; kritik bilgi varlıklarının güvenliğinin sağlanması, operasyon ve bilişim teknolojisinin yönetiminin önüne konulabilir mi?

“Kendi firmanızı yönetirken sadece söylemden eyleme geçmeniz yetmez; ayrıca riskleri nasıl ele aldığınızda da bir model olmalısınız.”

Booz Allen Hamilton; iş, askeri ve kamu yönetim danışmanlığı, bu şekilde düşünüyor. CIO’su CISO’suna rapor veriyor.

Bu düzenlemeyi, Adalet ve Ulusal Güvenlik Bölümlerini yöneten Booz Allen başkan yardımcısı Thad Allen ile konuşurken öğrendim.

Mevcut siber güvenlik ortamının CISO’nun rolünü nasıl değiştirdiğini görüşürken, “CISO’lar, üst yönetim ve kurul üyeleri arasında siber tehditlere olan alâkayı nasıl kendi lehlerine çevirmelidir?” sorusunu sordum.

İşte emekli amiralin buna cevabı:

Hayret Eden Açığa Vurma

“Bazen konu, CISO’nun, CIO ve üst yöneticilerle ilgili hangi noktada olduğu ile ilgilidir. Booz Allen Hamilton’da CIO aslında bizim CISO’muz için çalışır.”

“Güvenlik fonksiyonunun bilişim ile alâkalı rolünü, içinde tüm sistem operasyonlarımızı göz önünde tuttuğumuz, her şeyi kapsayan bir şemsiyeye yükseltmiş bulunuyoruz. Tehditleri dile getirmek ve üst yöneticilerle daha sık bir temelde beraber olmak için bu rolün böyle bir erişime ihtiyacı vardır. Temel olarak bu rol, operasyonel tehdit ortamını, arka odalardaki sistem odasından, üst yönetimin bizzat görebileceği noktaya getirir.”

Açıkçası Allen’in bu açığa vuruşundan hayrete düştüm. CISO ve CIO’larının her birini üst yönetime doğrudan rapor ettirtip, bunlara eşit bir şekilde muamele eden organizasyonları duymuştum. Fakat bir CIO’nun bir CISO’ya rapor ettiğini hiç duymamıştım ki Allen’a bu beyanını tekrarlamasını rica ettim:

“Booz Allen Hamilton’da bu gerçek.”

Allen, Booz Allen’in iş dünyasına, askeri ve kamu müşterilerine ulusal ve bilgi güvenliği ile ilgili konularda danışmanlık yapma işinin doğasının, bizzat kendi operasyonlarında güvenliğin önemini göstermesini gerektirdiğini belirtti:

“Devlet kurumları veya özel sektör ile uğraşmak adına yola çıkıyorsak, bilgi güvenliği konuları ile uğraşıyoruzdur,” diyen Allen, “Kendi firmanızı yönetirken sadece söylemden eyleme geçmeniz yetmez; ayrıca riskleri nasıl ele aldığınızda da bir model olmalısınız, bilgisayar ağınızı nasıl savunduğunuzda… ve bu bizim apaçık amacımızdı.”

Tarih Dersi

Bilişim teknolojileri konularını ele almaya 30 yıl önce başladım, güvenliğin çoğu organizasyonun görebildiği noktanın ötesinde olduğu; bugünün BT terimini, çoğu şirkettin finans bölümüne bir destek fonksiyonu şeklinde ‘bilgi işlem’ adında gördüğü bir zamanda…

1980’lerde bazı ileri görüşlü organizasyonlar, bilginin stratejik önemini fark etmeye başladılar ve bilgi işlem yönetmenlerini Bilgi İşlem Müdürlüğü adı verilen daha yüksek bir pozisyona yükselttiler. Üst yöneticiler, teşebbüslerinin BT olmadan işlev göremeyeceğini ve stratejik gayelerine ulaşamayacaklarının farkına vardılar.

Bir kuşağı hızla ileri götürdüğümüzde, kendimizi BT’nin yaptığımız her şeyle bütünleştiği bir toplumda yaşıyor bulduk.

Ancak teknoloji, güvenli olmadıkça işlev göremiyor. “Ağ ve BT fonksiyonlarının yönetimini, güvenlik fonksiyonlarından ayırmak çok zordur. Bu fonksiyonlara güvenlik fonksiyonları gömülü olmalıdır.” diyen Allen, “Organizasyon yapınızı bir araya getirmede bir çok yol vardır. Fakat yapılar aynı düzen ve net görünürlükte olmalıdır – ve üst yönetim dâhil olmalıdır.”

2010 yılında askeriyeden emekli olan Allen’in söylediğine göre, Sahil Güvenlik Komutanlığı’nda iki yıldızlı bir Amiral Siber Komutan yanında CISO ve CIO olarak da işlev vermekteymiş. “Kumandan olduğumda hislerim, ağlarımızın nasıl işletildiği ve nasıl savunulduğu ile ilgili tek bir bakışa ihtiyacımız olduğunu söylüyordu.” diyor Allen.

Bugün BT ve güvenliği bir birinden yalıtmanız mümkün değildir. Organizasyonlar geliştikçe BT ve güvenlik arasındaki ayrım bulanıklaşır, bu yüzden bunları yönetme bütünleşik bir gayret gerektirir.

Reklamlar

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Connecting to %s