Bilgi güvenliğinde ‘liderlik’ zamanı

Her ölçekte şirket için geçmişe oranla çok daha büyük bir öneme sahip olan ‘bilgi güvenliği liderleri’, yani CISO’lar (Chief Information Security Officer) yaptıkları çalışmalarla şirketin bilgi güvenliğine ek olarak, kurumsal hedeflere bağlı kalınabilmesi açısından da büyük önem taşıyor.
Bu öncelik, aslında bir dönüşümle hayata geçti. Eskiden şirketlerde üst düzey yöneticiler için bilgi güvenliğinde olgunlaşma yolunda ilk olarak güvenlik boyutu geri planda kaldı. Buna karşılık odaklanılan nokta olarak; projelerin hedeflenen zamanda ve en düşük maliyetle hayata geçirilmesi, hizmetlerin hızla sanal ortamda yer almasını sağlamak ekseninde çalışmaya öncelik verildi. Sonuçta bilgi güvenliği; şirketin bilgi işlem merkezinde, sistem odasında bazı cihazların düzgün çalışmasından ibaret bir başlık olarak ele alındı. Bu bakış açısıyla yaşanan sorunlar karşısında güvenlik odaklı sorunlardan sorumlu tutulan üst düzey yöneticiler de, bilgi güvenliğini sağlamak üzere görevlendirdikleri teknik yöneticileri sorumlu tuttu. Bu konuda daha ileri görüşlü olan şirketlerde ise bilgi güvenliği yönetim sistemleri (bgys) oluşturuldu. Ama bgys de teknik bir konu olarak ele alındığı için sadece şirket bilgiişlem birimine bir ‘ek iş’ olarak katılabildi. Süreç içinde güvenlik nedeniyle yaşanan problemler azalmak yerine artış gösterdi. Buna karşılık, güvenlik odaklı sorular arttı.
Bugün ise bilgi güvenliği, şirketlerde üst düzey yöneticilerin en azından bir şeyler yapmaları gerektiğini fark etmelerini sağlayacak kadar önem verdikleri öncelikli bir gündem maddesi. Türkiye’de bu konuda yetkin lider sayısı ise istenen düzeyde değil. Bu nedenle bilgi güvenliği liderlerinin yetişmelerine destek olunmalı. Bilgi güvenliği liderlerinin yetişmesi, bir süreç işi. Yani bilgi güvenliğinin çeşitli alanlarında yıllar süren tecrübelerin ve kurum stratejisi, kültürü, yönetim ve liderlik gibi özelliklerin karışımına sahip olmak şart.
CISO olmak isteyen profesyonellerin bu hedeflerine ulaşmalarını kolaylaştırmak için uluslararası CISSP (Certified Information Security Professional) sertifikasyon süreci önemli bir rehber görevi üstleniyor.
Sertifika sürecinde lider adayı; bilgi güvenliği alanında 2 ve daha fazla alanda en az 5 yıllık tecrübesi olduğunu ispatlamak ve güvenliğin 10 değişik alanında yapılan kavram ve muhakeme odaklı, zor bir sınavı geçmek zorunda. Sertifika sahibi olan lider adayı daha sonraki yıllarda sertifika sahipliğini sürdürebilmek için de, her yıl bilgi güvenliği alanında en az 2 alanda çeşitli çalışmalar yaptığını ispatlar.
Sertifikasyon sürecine bilgi güvenliği liderliği için atılan adımlar olarak bakılırsa, Türkiye’de ‘CISO’, yani nitelikli ve vizyoner liderlerin artması da mümkün olabilir. Şu an yeterli seviyede olmayan nitelikli bilgi güvenliği liderleri sayısının artırılması, sadece kurumların değil, Türkiye’nin de bilgi güvenliğinin sağlanmasına en önemli katkıyı sağlar.