Bir noktada her güvenlik liderine aynı sorunun farklı bir versiyonu sorulur: Biz iyi miyiz? Bir şey tehlikede olduğunda ve soruyu soran kişinin cevaba güvenebileceğini bilmesi gerektiğinde ortaya çıkma eğilimindedir.
Bu sorunun gerçekte ne anlama geldiğini kariyerimin başlarında çalıştığım bir firmada öğrendim. Tehdit aktörlerinin, çekirdek kadroya ve daha yavaş yanıt sürelerine güvenerek, tatil boyunca finansal hizmet firmalarının peşine düşmeye hazırlandıkları yönünde istihbarat aldık. Tam olarak bu tür yüksek alarma yönelik prosedürlerimiz vardı ve bunları uyguladık. Benimle kalan an bir koridorda geldi. İşletme müdürü beni durdurdu ve açıkça sordu: "İyi miyiz?" Kontrollerimiz hakkında bir durum raporu ya da olaya müdahale planımızın özetini istemiyordu. Tecrübeli bir liderin kendisine bakıp inançla bizim iyi olduğumuzu söylemesini istiyordu.
Bu içgüdü, yani "biz iyiyiz" diyebilecek ve bunu ciddi olarak söyleyebilecek kadar sorumlu birine duyulan ihtiyaç, siber güvenlik sektörünün sürdürdüğü tartışmanın merkezinde yer alıyor: CISO rolünün sürdürülemez hale gelip gelmediği. Sorumluluk listesi büyümeye devam ediyor. Güvenlik liderlerinin siber dayanıklılığı, mevzuat uyumluluğunu, üçüncü taraf riskini, iş sürekliliğini, yapay zeka yönetişimini, olaylara müdahaleyi ve giderek daha karmaşık hale gelen tehdit ortamını denetlemesi bekleniyor. Yönetim kurulları, düzenleyiciler, müşteriler ve yatırımcılar aynı anda siber risk konusunda her zamankinden daha fazla görünürlük talep ediyor.