ISACA’nın yeni araştırması şunu ortaya çıkardı: Avrupalı BT ve siber güvenlik profesyonellerinin üçte birinden fazlası (%39), kuruluşlarının geçen yılın bu zamanlarına göre daha fazla siber güvenlik saldırısına maruz kaldığını bildiriyor.
Ancak artan bu saldırı dalgasına rağmen kurumsal hazırlığa olan güven düşük kalıyor; profesyonellerin yalnızca %38’i kuruluşlarının etkili bir şekilde tespit etme ve yanıt verme becerisine tamamen güvendiklerini belirtiyor.
Saldırıların ölçeği ve kapsamı artmaya devam ettikçe profesyoneller üzerindeki baskı da artıyor; neredeyse üçte ikisi (%65) giderek karmaşıklaşan tehdit ortamını önemli bir stres faktörü olarak tanımlıyor.
Bütçeler ve personel alımında bir miktar ilerleme kaydedilse de rapor, ilerleme hızının profesyoneller üzerindeki baskıyı hafifletecek kadar hızlı olmadığını ortaya koydu. Ankete katılanların yarısından fazlası (%58) kuruluşlarında personel sayısının yetersiz kaldığını, geçen yıla kıyasla yalnızca yüzde üç puanlık mütevazı bir iyileşme olduğunu bildirdi. Bütçeler de benzer bir yavaş ilerleme öyküsü anlatıyor; profesyonellerin yarısından fazlası (%54) kuruluşlarının finansmanının yetersiz olduğunu söylerken, bu oran 2024’teki %58’den biraz iyileşti.
Artan kazanımlar kuruluşların siber güvenliğe öncelik vermeye başladığını gösterse de ilerleme hâlâ tehdit ortamının taleplerinin gerisinde kalıyor ve ön saflarda yer alan profesyoneller bu baskıyı hissediyor.
Üçte ikiden fazlası (%68) işlerinin şu anda beş yıl öncesine göre daha stresli olduğunu söylüyor; bu rakam geçen yıla göre değişmedi. İşyerlerinde kuruluşlar, profesyonellere stresi yönetmek için ihtiyaç duydukları desteği vermekte başarısız oluyor. Yarıdan fazlası (%54) gerçekçi olmayan beklentiler veya aşırı iş yükü bildiriyor, %48’i zayıf iş-yaşam dengesini vurguluyor ve üçte birinden fazlası (%36) ekiplerinin doğru becerilere veya eğitime sahip olmadığını söylüyor.
Endişe verici bir şekilde, beş kuruluştan birinden fazlası (%22) çalışan tükenmişliğini ele almak veya önlemek için hala herhangi bir eylemde bulunmadı ve profesyonellerin artan sorumlulukları sınırlı destekle yönetmesine izin verildi.
ISACA Küresel Strateji Direktörü Chris Dimitriadis şunları söyledi: “Geçtiğimiz yıl, kamuoyu, siber saldırıların ne kadar etkili olabileceğini, yüksek profilli ihlallerin işletmeleri harap ettiği ve manşetlere hakim olduğunu ilk elden gördü.. Aynı zamanda, saldırıların genel hacmi de artıyor; neredeyse beş kuruluştan ikisinde bir yıl öncesine göre daha fazla olay yaşanıyor.
“Kuruluşlar sorunu kabul etmeye ve bütçe ve personel konusunda uzun süredir devam eden sorunları ele almak için adımlar atmaya başlarken, değişimin hızı hâlâ çok yavaş. Gerçek şu ki, siber suçlular çoğu kuruluşun yanıt verebileceğinden daha hızlı hareket ediyor. Artık yalnızca bir olay sonrasında tepkisel bir hamleye değil, daha bütünsel olarak eğitilmiş bir siber güvenlik iş gücüne, müşteri güvenine ve rekabet avantajı elde etmeye yatırım yapmaya yatırım yapmanın zamanı geldi.”
Kuruluşlarında işe alım konusunda deneyimli profesyonellere göre, kuruluşların yarısından fazlası (%52) nitelikli siber güvenlik uzmanlarını elde tutmakta zorlanıyor. Giriş seviyesindeki rollerin doldurulması özellikle zordur; Neredeyse beş kuruluştan biri (%19) deneyim, diploma veya yeterlilik belgesi gerektirmeyen açık pozisyonlara sahipken, neredeyse yarısı (%45) bu seviyede işe almanın hâlâ üç ila altı ay sürdüğünü söylüyor.
Zorluğun bir kısmı dar işe alım beklentilerinde yatmaktadır. Ankete katılanların yarısından biraz fazlası (%55) adaylar için üniversite diplomasını önemli görürken, mesleki yeterliliğe (%84) veya uygulamalı eğitime (%73) çok daha fazla değer veriyor. İşe alım yollarını genişletmek ve geleneksel geçmişi olmayanlar için eğitim fırsatları sunmak, kuruluşların yetenek kanallarını büyütmelerine yardımcı olabilir.
Dimitriadis şunları ekledi: “Direnç oluşturmak ve gelişen tehdit ortamına ayak uydurmak için siber güvenliğe giden yolları genişletmeliyiz. Uygulamalı eğitime, profesyonel yeterliliklere ve aktarılabilir becerilere değer vererek kuruluşlar ekiplerini güçlendirebilir ve aşırı zorlanan profesyoneller üzerindeki baskıyı hafifletebilir. Ancak işe alım yalnızca başlangıçtır; sürekli eğitim ve becerilerin geliştirilmesi kritik öneme sahiptir. Yavaş, aşamalı değişimden gerçek ilerlemeye bu şekilde geçiyoruz, stresi azaltıyoruz ve uzun vadeli koruma sağlıyoruz.”
Personel ve beceri eksiklikleri devam etse de siber güvenlik ekipleri yapay zeka yönetişimi ve uygulamasında giderek daha ön sıralarda yer alıyor. Avrupalı profesyonellerin yarısından fazlası (%51), kuruluşlarının yapay zeka yönetişim çerçevesinin geliştirilmesine yardımcı olduklarını söylerken (geçen yılki %36’dan keskin bir artışla) %46’sı artık yapay zeka uygulamasına doğrudan dahil oluyor (%27’den).
Yapay zeka, yönetişimin ötesinde, tehdit algılama (%29), uç nokta güvenliği (%28) ve rutin görev otomasyonu (%27) dahil olmak üzere en yaygın kullanım alanları ile halihazırda günlük operasyonlara entegre edilmiştir. Bu bulgular, özellikle Avrupa’nın AB Yapay Zeka Yasasını ve NIS2’yi ilerletmesi ve Birleşik Krallık’ın yakında çıkacak Yapay Zeka mevzuatını hazırlaması nedeniyle, yapay zekanın benimsenmesinin artan hızına ve daha güçlü yapay zeka güvenlik mevzuatına ve sürekli beceri geliştirmeye yönelik acil ihtiyaca işaret ediyor.
Araştırma Bütçelerin, Personelin ve Becerilerin Artan Siber Tehditlere Ayak Uydurmadığını Buluyor yazısı ilk olarak IT Security Guru’da çıktı.