ABD eyaletlerinin baş bilgi güvenliği görevlileri (CISO’lar), sorumlulukların genişletilmesi ve bunları başarmak için kaynakların yetersiz olması nedeniyle zayıflıyor.
Bugün ve bir süredir her eyaletin ve Columbia Bölgesi’nin kendine ait CISO ofisi bulunmaktadır.
Yeni yayımlanan kitabın yazarlarından Srini Subramanian şöyle açıklıyor: “2000’li yılların başında İnternet’in ortaya çıkışı ve İnternet üzerinden vatandaşlara yönelik uygulamalar geliştirme arzusu bu eğilimi gerçekten başlattı.” iki yıllık siber güvenlik raporu Deloitte ve Ulusal Bilişim Sorumluları Birliği’nden (NASCIO). Eyalet hükümetlerinin de herhangi bir şirket kadar siber hedefler kadar çekici olduğunu belirtiyor.
“Devletler, sakinlerinin okul, sürüş kayıtları, sağlık kayıtları ve daha fazlası dahil olmak üzere doğumdan itibaren verilerini topluyor, paylaşıyor ve kullanıyor” diye açıklıyor. “Dolayısıyla insanlar hakkında çok geniş hacimli çok kapsamlı bilgilere sahipler, bu da onları çekici hedefler haline getiriyor.”
Şirketlerin CISO’ları gibi bu kişiler de eyalet çapında BT güvenlik programlarını ve politikalarını oluşturmak ve yönetmekten, siber riskleri ve olaylara müdahale çabalarını yönetmekten, ilgili düzenleme ve standartlara uygunluğu sağlamaktan ve daha fazlasından sorumludur. Ayrıca şirketlerin CISO’ları gibi eyalet CISO’ları da işlerinde aynı engellerle karşı karşıyadır.
Deloitte/NASCIO raporunda ankete katılan 51 ABD eyaleti CISO’sunun birçoğu, veri gizliliğinin korunması, risk yönetimi ve daha fazlasına ilişkin sorumluluklarının arttığını bildiriyor. Aynı zamanda, pek çok kişi bu sorumlulukları fiilen yerine getirmek için yeterli fon ve personele sahip olmadığını bildiriyor.
Subramanian, “Devlet sistemlerinin özel sektör kadar kaynağı yok” diyor. Örneğin, “Bir finansal hizmet kurumuyla karşılaştırma yaptığımızda, binlerce tam zamanlı çalışana sahip olduklarını görüyoruz. [cybersecurity employees]. Bu raporda eyaletlerin %80’i beş ila 50 kişi arasında rapor veriyor. Devletlerden çok az kaynakla çok daha fazlasını yapmaları isteniyor ve bu, hedeflerine nasıl ulaşabilecekleri açısından gerçek bir zorluk.”
Eyalet CISO’ları için Daha Fazla İş
Bu arada eyalet CISO’ları bugün her zamankinden daha fazlasını yapıyor. Artık daha fazla CISO ofisi, strateji, yönetişim ve risk yönetimi (%17 artış), güvenlik yönetimi ve operasyonlar (2022’ye göre %8 artış), olaylara müdahale (%17 artış) ve ağ ve altyapı alanlarında sahne ajanslarına destek sağlıyor (%7 artış).
En çarpıcısı: CISO’nun ofislerinin %86’sı veri gizliliğiyle ilgileniyor; bu oran yalnızca iki yıl önce %60’tı. yeni veri gizliliği kuralları ülke geneline yayılıyor.
Bunun tek karşıt noktası, bugün devlet CISO’larının fiziksel güvenlik söz konusu olduğunda endişelenecek daha az endişeye sahip olması ve bu durumun bir tür dengeleme sağlamasıdır.
2020’de (%52) ve 2022’de (%54) CISO ofislerinin çoğunluğu veri merkezleri ve diğer ilgili tesislerin fiziksel güvenliğini üstlendi, ancak 2024’te bu sayı %35’e düştü. Bugün yalnızca altı eyaletin siber güvenlik bütçesi fiziksel güvenliğe her şeyi ayırıyor. Deloitte, bunun eyaletlerin veri merkezlerini birleştirdiğini veya üçüncü taraf sağlayıcılara dış kaynak kullandığını gösterebileceğini öne sürdü.
Bütçeler, Personel Gerisinde Kaldı
Ancak artan iş yükleriyle karşılaştırıldığında, eyalet CISO ofisleri aynı gayretle finanse edilmiyor ve personel istihdam edilmiyor.
Ankete katılanların çoğu, özellikle eyaletlerinin BT bütçelerinin yüzde kaçının siber güvenliğe ayrıldığını bile bilmiyordu. Bunu yapanlar arasında dördü bunun eyaletlerinin BT finansmanının %0 ile %1’i arasında bir kısmını oluşturduğunu bildirdi. Diğer taraftan, beş kişiden sadece biri %3 ve üzeri oranlar bildirdi.
Bu rakamların ne kadar düşük olduğunu anlamak için şunu düşünün: BT harcamasında 75 milyar dolar Beyaz Saray’ın 2025 mali yılında sivil kurumlar için önerdiği 13 milyar doların (yaklaşık %17’si) siber güvenlikle ilgili faaliyetlere ayrılması bekleniyor.
Subramanian, “Federal hükümette sibere verilen önem ve vurgu her zaman daha fazla olmuştur” diye belirtiyor. Sonuç olarak, “Eyalet CISO’ları teknoloji bütçelerinin bir parçası olarak CIO’lardan kaynak aramak zorundalar. Oysa federal hükümette tüm federal kurumlar son birkaç yıldır bir siber bütçe talebi sunmak zorundaydı ve gerçekten de Bu parayı sibere nasıl harcayacaklarını ana hatlarıyla belirtin.”
Bütçe kısıtlamaları ve yetenek eksikliği neredeyse beş eyaletteki CISO’dan dördünün neden personel bulmayı bir zorluk olarak gördüğünü açıklamaya yardımcı oluyor. Korkutucu derecede az personele sahip ofislerin sayısı azalmış olsa da (2022’de altı olan tam zamanlı çalışan sayısı yalnızca iki katılımcı tarafından 1 ila 5 arasında bildirildi) eyaletteki CISO’ların yarısından fazlası, personelinin sektörün taleplerini karşılamak için gerekli yeterliliklere sahip olmadığını bildiriyor. iş.
Neden Aynı CISO Sorunları Artmaya Devam Ediyor?
İster özel bir şirket ister bir devlet kuruluşu olsun, ister büyük ister küçük olsun, bugün CISO’ların karşılaştığı sorunlar genel olarak oldukça tutarlıdır çünkü güvenlik liderleri ile meslektaşları arasındaki temel uçurum her zaman benzer bir şekil alma eğilimindedir.
Check Point Software’in küresel saha CISO’su Pete Nicoletti, “Güvenlik programı bir ‘maliyet’ olarak değil, maliyetten kaçınmak için 100 kez planlanmamış bir departman olarak algılanana kadar, CISO’lar bütçe ve uygunluk konusunda zorluk yaşayacaklar” diyor. “CISO’lar ve güvenlik uygulayıcıları genellikle programlarını liderliğe haklı çıkarmakta zorluk yaşıyorlar. Biz çok teknikyiz ve gökyüzünün 7/24 düşeceğinden endişeleniyoruz. Genellikle uyumluluk talimatlarına dayanarak minimum bütçeyi onaylatabiliyoruz, ancak hepimiz biliyoruz ki yeterli değil.”
Bu açığı kapatmak için, güvenlik liderlerinin, işleri güvenlikle ilgili olmayan daha fazla insanı güvenlik sürecine dahil etmesi gerektiğini öne sürüyor: “Yöneticilerinizi ve liderlerinizi masa üstü tatbikatlara dahil edin, dış tehditlerle ilgili her raporu paylaşın ve hepsini öğretin bilmeleri gereken terimleri, böylece sizin açınızdan görebilirler!
Aslında bazı eyaletler bu taktiği ilginç bir etki yaratacak şekilde zaten kullanıyor. Subramanian şöyle anımsıyor: “Teksas’ta bir üniversite, özel sektör ve hükümetin birleşimiyle kurulmuş bölgesel bir güvenlik operasyonları merkezi var. Öncelik belirlemenin ilk düzeyi, yarı zamanlı çalışan öğrenciler tarafından yapılıyor. Siber güvenlik çalışmaları yapıyorlar. Dolayısıyla bu, hem CISO’ların karşılaştığı yetenek sorunlarını çözebilir, hem de eyaletler ve yerel yönetimler için işlerin halledilmesini sağlayabilir.”