İşletmeler, güvenlik tükenmişliğine karşı proaktif olmazlarsa, önümüzdeki iki yıl içinde siber güvenlik departmanlarında oldukça dramatik bir dalgalanma görmeyi bekleyebilirler. Bugün Gartner tarafından yapılan bir tahmin, siber güvenlik liderlerinin neredeyse yarısının 2025 yılına kadar iş değiştireceğini tahmin ediyor. Daha da şaşırtıcı olanı, analist firmasının dört liderden birinin güvenlik aşamasını tamamen terk edeceğini tahmin etmesi.
Gartner’ın yönetici analisti Deepti Gopal’a göre, siber güvenlik uzmanları genellikle “sürdürülemez düzeyde stresle” karşı karşıya kalıyor. CISO’lar ve diğer güvenlik yöneticileri için, günah keçisi rolünü üstlenmenin zihinsel ve duygusal sonuçları, birçoğunu yalnızca mevcut işlerinin veya mesleklerinin dışına bakmaya teşvik etmekle kalmıyor, aynı zamanda kaldıkları zaman etkinliklerini de etkiliyor.
Gopal, “CISO’lar savunmada, tek olası sonuçları saldırıya uğramamak ya da saldırıya uğramak” diyor. “Bunun psikolojik etkisi, karar kalitesini ve siber güvenlik liderlerinin ve ekiplerinin performansını doğrudan etkiliyor.”
Siber Güvenlikte Olumsuz İşsizlik ve Tükenmişlik Sürüyor
Uzun bir süredir, siber güvenlik uzmanlığına duyulan ihtiyaç tüm endüstride karşılanmadı. Geçen yıla göre (ISC)2 tahminlere göre 2025 yılına kadar 3,5 milyon siber güvenlik uzmanı açığı olacak. Teknoloji sektöründeki diğer işler, teknoloji sektöründeki işten çıkarmalar karşısında buharlaşmaya başlasa bile, siber güvenlik buna karşı bağışık görünüyor. (ISC) tarafından bu ayın başlarında yayınlanan bir rapor2 şirket yöneticilerinin yalnızca %10’unun bu yıl siber güvenlik ekiplerinin üyelerini işten çıkarmayı beklediğini gösterdi.
Bununla birlikte, siber güvenlik dünyasında iş güvenliği ile ilgili bu görünüşte olumlu rakamlar, aslında şu anda mesleği rahatsız eden şey için bir kırmızı bayrak olabilir. Yani, tükenmişlik ve iş tatminsizliği, yetenekleri işe almayı ve elde tutmayı zorlaştırıyor. Magnet Forensics tarafından bu hafta yapılan farklı bir anket, bu fenomeni güvenlik analistleri ve müfettişlerinin tabandan gelen nüfusu içinde gösteriyor: Bu güvenlik uzmanlarının yarısından fazlası işlerinde tükenmiş hissettiklerini bildirdi.
Genellikle, siber güvenlik tükenmişliği tartışması, özellikle güvenlik operasyonları merkezi (SOC) çalışanları arasında, uyarı yorgunluğu ve iş yükü dengesizlikleri gibi konular etrafında döner. Örneğin, Mıknatıs raporu, bu işçilerin %64’ünün tükenmişliklerinde tetik yorgunluğun rol oynadığını belirtti. Ancak her dört CISO’dan birinin mesleğini tamamen bırakacağı haberi daha derin meselelerin ipuçlarını veriyor.
CISO Memnuniyetiyle İlgili Sorun
CISO’lar, çalışanlarının olduğu gibi sürekli olarak uyarılar almak zorunda değildir, ancak diğer kariyer yorgunluğu faktörleriyle aşırı yüklenmiştir.
Gartner analistleri tahmin yazısında, “CISO’lar sürekli olarak yüksek beklentileri, bu beklentileri karşılamak için gereken araçların yokluğuyla dengelemeye çalışıyor.” “Uygunluk merkezli siber güvenlik programları, önemli ölçüde düşük yönetici desteği ve vasat altı sektör olgunluğu, güvenlik riski yönetimini iş başarısı için kritik olarak görmeyen bir kuruluşun göstergeleridir.”
Kıdemli bir siber güvenlik yöneticisi ve Cybrize’ın kurucu ortağı ve CSO’su Diana Kelley, CISO’ların siber güvenlik alanındaki kariyer gidişatını tamamen yeniden gözden geçirmelerine neden olabilecek en büyük etkenlerden birinin, şirketlerinin ihlal edilmesi durumunda profesyonel itibarlarına ne olacağı korkusu olduğunu söylüyor. bir siber güvenlik iş gücü planlama platformu. CISO’ların ve STK’ların bir ihlalden sonra “isimlerinin çamura bulanmasından” ve hatta Uber’den Joe Sullivan’ın geçen yıl mahkum edilmesinin sonuçlarında daha olası görünen cezai suçlamalarla karşı karşıya kalmaktan endişe duyduklarını söylüyor.
Kelley, “CISO seviyesindeki aşağı yönlü baskının ve maaşın bir etkisi olup olmadığını da merak ediyorum,” diye düşünüyor. “CISO’lar uzun süredir C-suite’e geçmekten ve CEO’ya rapor vermekten bahsediyorlar, ancak daha fazla CISO’nun bir seviye aşağı itilmekten şikayet ettiğini ve çok daha azının gerçek C-suite’e yükselmeyi kutladığını duydum.”
Kelley, bazı medya kuruluşları CISO’lar için 1 milyon doları aşan tazminat paketlerini övse de, gerçek şu ki çoğu çok daha düşük, diyor Kelley.
“1 milyon dolarlık maaş günü için bir CISO olmayı arzuladıysanız ve şimdi aşırı baskı altında olduğunuz, ihlallerle başa çıkmak için Cumartesi sabah 3’te kalktığınız ve 234.000 $ ödendiğiniz bir roldeyseniz – DevOps yapan arkadaşınız 250.000 dolar kazanıyor ve tüm hafta sonu uyuyor – ‘siberin canı cehenneme’ diyebilirsiniz.”