Baş Bilgi Güvenliği Yöneticisi (Chief Information Security Officer) (CISO), şirketlerin dijital güvenliğinden sorumlu üst düzey bir profesyoneldir. Yazımızda bu meslek hakkında daha fazla bilgi vererek, farklılıklarını ve önemini anlatacağız.
Teknolojinin ilerlemesi ve siber tehditlerin sürekli gelişmesiyle birlikte, kuruluşlar güvenilirlik kaybına, mali kayıplara ve hatta faaliyetlerinin durdurulmasına yol açabilecek olayları önlemek için siber güvenliğe giderek daha fazla yatırım yapıyorlar.
İşte bu bağlamda, kurumsal ortamda dijital güvenlik stratejilerinin uygulanmasından ve sürdürülmesinden sorumlu kişi olarak Baş Bilgi Güvenliği Yöneticisi (CISO) devreye giriyor. Teknik bilgi ve kapsamlı deneyim gerektiren bu rol, sunduğu yüksek ücretler nedeniyle alandaki birçok profesyoneller tarafından oldukça rağbet görüyor.
Baş Bilgi Güvenliği Yöneticisi kimdir?
Bilgi Güvenliği Direktörü olarak da bilinen (CISO), bir şirket içindeki dijital güvenlikten sorumludur. Başka bir deyişle, hassas verileri ve kurumsal varlıkları korumayı amaçlayan stratejileri belirleyen ve yürüten kişilerdir.
Çoğu zaman bu profesyonel doğrudan CEO’ya rapor verir ve Baş Teknoloji Sorumlusu (CTO) ve Baş Bilgi Sorumlusu (CIO) ile iş birliği içinde çalışabilir.
Görevleri arasında kurumsal altyapıya izinsiz girişlerin önlenmesi, altyapının korunması ve savunulması yer alır. Uygulamada, ayrıcalıklı hesaplardan sorumlu güvenlik ekiplerinin bir CISO’ya bağlı çalışması yaygındır.
CIO ve CISO arasındaki fark nedir?
Bu iki profesyonel arasındaki fark, yaptıkları işin kapsamı, kurumun iş stratejisi ve veri kullanımında yatmaktadır.
CIO şirketin stratejilerini anlamak, BT ekibiyle paylaşmak ve operasyonel verimliliği sağlamaktan sorumludur. Bir görevi yerine getirmek için hangi araçların gerekli olduğunu belirleyenler onlardır.
CISO ise, kurumun dijital güvenliğinin planlanmasından doğrudan sorumludur.
CIO şirketin ürettiği veya ihtiyaç duyduğu verileri BT ve iş stratejilerini tasarlamak için kullanırken, CISO şirketin sistemlerinde depolanan bilgilerin güvenliğini artırmaya odaklanır.
CISO hangi niteliklere sahip olmalıdır?
Siber güvenlik piyasasında bir CISO için gerekli olarak kabul edilen bazı sertifikasyonlar bulunur. Bunlar arasında EC-Council tarafından sağlanan CCISO olarak da bilinen Sertifikalı CISO programı; siber güvenlik alanında yüksek lisans derecesine eşdeğer olan CISSP ve özellikle yönetim yeteneklerine odaklanan ISACA’dan CISM bulunmaktadır.
Bu profesyonellerin aynı zamanda iyi sözlü ve yazılı iletişim, baskıyla başa çıkma becerisi ve stratejik planlama ve yürütme deneyimi gibi becerilere de sahip olmaları beklenmektedir.
Buna ek olarak, CISO pozisyonu için bazı yetenekler beklenir:
- Bilgi güvenliğinde risk yönetimi konusunda deneyim sahibi olmak.
- Linux, ağ ve sanallaştırma kavramlarını anlama.
- Sahadaki güvenlik standartlarına aşina olmak.
- Güncel veri koruma yasaları hakkında bilgi sahibi olmak.
- Güvenli SDLC ve DevSecOps konusunda deneyim sahibi olmak.
- Güvenlik otomasyonunu anlamak.
CSO, CISO ile aynı şey değildir
Baş Bilgi Güvenliği Yöneticisi (CISO) bir şirket içindeki bilgi güvenliğinden sorumluyken, Baş Güvenlik Yöneticisi (CSO) genel kurumsal güvenlikten sorumludur.
Uygulamada, CSO fiziksel ve bilgi güvenliğini yönetir, fiziksel alanlara erişimin kontrolünü sağlar ve dijital varlıkları korur.
Nasıl Bilgi Güvenliği Yöneticisi olunur?
CISO rolü cazip ücretleri nedeni ile birçok profesyonelin ilgisini çekiyor. Ancak bu pozisyonu üstlenebilmek için bilgi güvenliği alanında geniş bir deneyime, liderlik profiline ve teknik konuları anlaşılır bir dille anlatabilme becerisine sahip olmak gerekiyor.
Bilgiye yatırım yapmak (her ne kadar birçok kurs pahalı ve yetersiz içerik sunsa da) ve doğrudan CEO ve yatırımcılarla muhatap olacağınız için güvenilirlik sağlamak da önemlidir. CISO olmak isteyenler için bir diğer önemli adım, CCISO, CISSP, CISM gibi sertifikaları veya daha genel ancak siber güvenlik yöneticisi olmak isteyenler için uygun olan Sertifikalı Bilgi Sistemleri Denetçisi (CISA) ve Sertifikalı Etik Hacker (CEH) gibi programları takip etmektir.
Sonuç
- CISO, bir şirkette bilgi güvenliğinden sorumlu yönetici düzeyindeki profesyoneldir.
- Bu profesyonel, Baş Teknoloji Sorumlusu ve Baş Bilgi Sorumlusu ile iş birliği içinde çalışabilir.
- CIO ve CISO arasındaki fark, yaptıkları işin kapsamı, kurumun iş stratejisi ve veri kullanımında yatmaktadır.
- Baş Güvenlik Görevlisi, fiziksel alanların yanı sıra dijital varlıkların korunmasından da sorumludur.
- CISO olmak için bilgi güvenliği alanında kapsamlı deneyim ve teknik bilgiye, iyi iletişim becerilerine, liderlik özelliklerine sahip olmak ve CCISO gibi sertifikalar almak şarttır.
İlgili makale: Gölge BT (Shadow IT): Neden risklidir ve nasıl engellenir?
CISO ‘nun siber saldırı sırasındaki rolü nedir?
Gölge BT (Shadow IT): Neden risklidir ve nasıl engellenir?
