Bugün farklı bir tarz ile İçerik Alanı'ndayız. Podcast olayını yazıya döktüğümüz bu tarza Podscribe desek sizce nasıl olur? :) CISO kavramını çoğunuz duymuşsunuzdur. Tam bu noktada aslında ülkemizde henüz fark edilmemiş bir kavram olan vCISO kavramını yakından inceleyeceğiz. Soru-Cevap şeklinde gideceğimiz bu yazımızda umarım sizlerin dikkatini bu tarafa çekebiliriz. Kendisi, çoğu kişinin ekibinde çalışmak isteyeceği, vizyoner ve bir o kadar da ünvanlarından sıyrılmış bir İNSAN. Ve konuğumuz Bilgi Güvenliği & BT Risk Yönetimi Müdürü Burak Dündar! Merhaba Burak, öncelikle İçerik Alanı'nda seni ağırlamaktan dolayı çok mutluyum. Bugün gerçekten İçerik Alanı'nda farklı bir tarzla ve konuyla buradayız, heyecanlıyım ve bu seriye başlarken ilk konuğum sen olduğun içinde bir o kadar memnunum. Burak Dündar kimdir, neler yapar konusunun tek bir yazıya veya özete indirilemeyeceğini düşündüğüm için bir gün daha detaylı yer vereceğiz. Kendisinin çok güzel bir web sitesi var www.burakdundar.com adresinden içeriklerine ulaşabilirsiniz diyip sözü Burak'a bırakıyorum. İlk sorum olan CISO Nedir? ile başlayalım istiyorum :) Burak Dündar: Teşekkür ederim Buse, ben de İçerik Alanı'nda olmaktan mutluluk duyuyorum, güzel bir seriye adım attık, dilerim okuru bol olur diyerek konuya geçiş yapıp CISO Nedir cevaplayalım :) CISO tam olarak bir orkestra şefidir. Ekibinde bulunan müzisyenlerin enstrümanlarını en iyi şekilde çalmasını sağlayan kişidir. CISO pozisyonu, kesinlikle ve kesinlikle taktiksel değil, tamamen stratejik bir konumdur. Bu nedenle, ekibindeki kişilere güvenir, işleri doğru şekilde delege eder ve stratejik yaklaşımında doğru yolda kalmak için ekibindeki uzmanlarla ortak olur. Buse Hacıoğlu: Çok güzel, peki vCISO nedir? doğrusu bu kavramı daha önce duymamıştım biraz da vCISO'dan bahsedelim isterim. Burak Dündar: Buse biraz anons gibi olacak söyleyeceklerim :) İşinize uygun bir hizmet modeli olacak CISO hizmeti... Cıso ayağınıza geldi. Bilgi Güvenliği, Siber Güvenlik, Yönetişim ve Uyum yapılır, 5 dk hazırlanır... Evet tam bir overlokcu anonsu gibi oldu ama bu vCISO modelini en genel anlamda bu şekilde anlatmak isterim. Elbette günümüz siber dünyasında her bir şirketin Bilgi Güvenliği yapısına ihtiyacı var fakat mevcut kaynak ve maliyetler nedeniyle bu süreci in-house dediğimiz şekilde, içerde barındıracıkları bir organizasyon ile oluşturup işletmeleri mümkün olmayabilir. Bu noktada da bir kaynağa ihtiyaç bulunuyor. İşte hal böyle iken vCISO kavramı ortaya çıkıyor. Siz kendi kaynak/gün ihtiyacınızı belirleyip bu işi outsource ettiğinizde, sizin için bu süreçlere hakim ve elinde hazır bir yapı serisi olan bir ekip gelip bunu sizin için yapmaktadır. Özetle ihtiyacınız olan CISO-Bilgi Güvenliği yönetimini sağlamak için Deneyimli bir CISO ekibi tarafından verilen destektir. Buse Hacıoğlu: Harikaymış! bilmeyen biri için daha iyi anlatılamazdı :) vCISO hizmetlerindeki temel amaçlar ve faydaları nelerdir? Burak Dündar: Bu noktada bazı temel amaçlar vardır, maddeleyelim isterim. - Güvenlik dönüşüm kararları için temel oluşturmak. - İyileştirmelerin ölçümüne yönelik bir dayanak noktası oluşturmak. - Şirketin güvenlik kabiliyetlerini ve ürettiği değeri arttırmaya yönelik olarak şirket ve müşterilerinin önceliklerini de göz önünde bulundurarak güvenli temel çizgi tanımlamak. - İyi pratiklere göre servislerin strateji, planlama, tasarım ve işletimine yönelik Bilgi Güvenliği olgularını belirlemek. - İyileştirme alanlarını ortaya koymak için şirket tarafından sunulan güvenlik pratiklerinin güçlü ve zayıf yanlarını belirleyerek gerekli iyileştirmeleri tespit etmek diye sıralayabiliriz. Buse Hacıoğlu: Peki Burak bu doğrultuda şirketleri neler bekliyor vCISO şirketlere ne tür faydalar sağlar? Burak Dündar: - Gelişmiş siber güvenlik görünürlüğü, - Tecrübeli bir ekibin desteği ve yol haritası geliştirmek, - Strateji planlama ve çalışma yeteneklerine kolay erişim, - vCISO hizmeti, siber risklerin düzgün bir şekilde yönetilmesini sağlamak için şirketlere yönetici düzeyinde siber güvenlik rehberliği sağlamayı amaçlamaktadır. Çoğu şirket tam zamanlı bir siber güvenlik liderine ihtiyaç duymaz ve tam zamanlı bir siber güvenlik lideri için ödeme yapma maliyeti şirket yapısında uygun olmayabilir. İsteğe bağlı vCISO modeli, şirket tarafından uygun görülen ve ihtiyaç duyulan kaynak ihtiyacını belirli gün ya da sürelerde alma avantajı sağlar. Bu, şirketlerin; şirket içi güvenlik liderliğini işe alma toplam maliyetinin çok daha azına anında siber güvenlik uzmanlığı kazanmasına olanak tanır. Bu sayede şirketler; - Siber risk stratejisi ve yol haritası geliştirme - Strateji uygulamasına rehberlik etmede yardım - Güvenlik tehdidi eğilimleri ve riskleri konusunda üst düzey liderlere danışmanlık yapmak - Kritik bir güvenlik olayı sırasında danışmanlık - Gerektiğinde siber güvenlik liderliği sağlamak - Güvenlik Olgunluk Değerlendirmesini yıllık olarak veya gerektiğinde güncelleme - Tehditleri ve yöneticilerden gelen soruları tartışan aylık siber güvenlik çağrılarını kolaylaştırma - 3. Parti güvenlik yeteneklerinin değerlendirilmesi (tedarik zinciri durum tespiti) gibi konularda hızlı ve etkili bir hizmet alabilirler. Buse Hacıoğlu: vCISO hizmetlerinde işletilmesi gereken adımlar nelerdir?
Burak Dündar: Öncelikle;
1. Adım | Ön Analiz: Mevcut siber güvenlik ortamınızı tartışmak ve herhangi bir güvenlik açığını ve iyileştirme alanlarını belirlemek için sizinle ir ilk istişare planlanmasıdır.
2. Adım | Özelleştirilmiş Plan: Danışmanlığa dayanarak, özel ihtiyaçlarınızı ve hedeflerinizi ele almak için özelleştirilmiş bir plan oluşturulmasıdır.
3. Adım | Uygulama: Şirketin yapısına özel hazırlanan planı uygulamak için doğrudan sizinle birlikte çalışarak siber güvenlik duruşunuzun güçlendirilmesini ve verilerin korunmasının sağlanmasıdır.
Buse Hacıoğlu: Kapsamlı ve kılcalları olan bir konu, hassasiyet istiyor, işini ustalıkla yapanların elinde olması gerektiğini de anlamış olduk aslında. Yalın anlatımın, hem öğretici hem aydınlatıcı bilgilendirmen için çok teşekkür ederim, alanda çalışan ya da meraklıları için güzel bir söyleyişiye imza atmış olduk, ağzına bilgine sağlık!
Burak Dündar: Ben de çok teşekkür ederim! Özellikle Creative bir yaklaşımla bu şekilde bir girişim herkes için çok faydalı olacaktır. Umarım ilerleyen serilerde kıymetli yol arkadaşım ve içerikalanı yazarı Doğukan ile de sohbetlerimizi derleyip yayına alabiliriz. :)
