Editörün notu: Bu makale, Google Cloud’daki CISO ofisinin yöneticisi MK Palmore’dandır. Misafir makale göndermek isterseniz buradan gönderebilirsiniz.
Her büyüklükteki kuruluşa ve benzer şekilde hükümetlere yönelik son siber saldırılarla birlikte, sektörler genelinde siber güvenliği keskinleştirmenin önemi küresel olarak en önemli endişe olarak kabul edildi.
Bununla birlikte, güvenlik sektörü kar amacı gütmeyen ISC(2) tarafından yayınlanan araştırmaya göre, küresel siber güvenlik iş gücü geçen yıl 464.000 iş eklerken, hala 3,4 milyon pozisyonluk bir istihdam açığı var. Siber güvenlik, kuruluşların karşı karşıya olduğu en kritik zorluklardan biri olmaya devam ederken, roller doldurulmamış olmaya devam ediyor.
Peki, bu eşitsizliği nasıl gidereceğiz? Çözümlerden biri, çeşitliliğe, eşitliğe ve kapsayıcılığa öncelik vermek ve bunun bir kuruluşun güvenlik duruşunu nasıl daha iyi hale getirebileceğini anlamaktır.
Bazı endüstri profesyonelleri aktif olarak teknolojide çeşitlilik peşinde koşarken, rakamlar güvenlik ekiplerinin çoğunluğunun DEI etrafındaki fikirleri uygulamaya koymakta başarısız olduğunu gösteriyor. Aspen Dijital Teknoloji Politikası raporundan elde edilen son bulgular, siber güvenlik çalışanlarının yalnızca %4’ünün kendilerini Hispanik, %9’unun Siyahi ve %24’ünün kadın olarak tanımladığını gösteriyor. Kolektif siber güvenlik, nihai olarak, onu uygulayabilecek ve dönüştürebilecek çeşitliliğe sahip, yetenekli bir iş gücüne sahip olmaya bağlıdır.
Liderler 2023’e odaklanırken, CISO’lar ekiplerindeki çeşitliliği artırmaya ve kullanılmayan yeteneklere ulaşmanın yeni yollarını bulmaya öncelik vermelidir.
DEI, CISO’lar ve genel olarak siber güvenlik sektörü için neden önemlidir?
Yazılım tedarik zinciri güvenliği, kritik bir ulusal güvenlik riski olmaya devam ediyor. Fidye yazılımı gibi finansal amaçlı saldırılar onlarca yıldır incelenmekte ve belgelenmektedir. Dağıtılmış hizmet reddi (DDoS) saldırılarının sıklığı ve boyutu artıyor.
Tehdit aktörleri, zayıf siber hijyen konusunda hareket etmeye ve kendi insani savunmasızlığımızdan yararlanmak için sosyal mühendisliği kullanmaya devam ediyor.
Bunlar, sektörümüzdeki en önemli endişelerden sadece birkaçı ve yine de, bu sorunlar akılda tutulmasına ve geniş çapta üzerinde anlaşmaya varılmasına rağmen, son birkaç on yılda bu zorluklara yönelik çözümler aynı kaldı.
Bu nedenle siber güvenlikte çeşitlilik çok önemlidir. CISO’ların siber güvenlik sorunlarını siloda nasıl çözebileceğimizi düşünmeyi bırakması ve bunun yerine farklı bakış açılarını benimsemenin daha yaratıcı çözümlere nasıl yol açabileceğini düşünmesi gerekiyor.
Farklı zihniyetler, masaya gelişmiş siber tehditleri azaltabilecek yeni ve daha iyi çözümler getirebilir. Güvenlik alanında, genellikle net bir çözümü olmayan karmaşık sorunları çözmek için çalışıyoruz. Siber güvenlikteki çeşitlilik sorununu ele almak, güvenliğin bir sonraki aşamasına geçmemize yardımcı olacaktır.
Siber saldırıların sıklığı ve karmaşıklığı arttıkça, kuruluşların ortaya çıkan tehditleri algılamak ve bunlara karşı savunmak için benzersiz fikirlere ihtiyacı var. Kuruluşların bir adım önde olmak için geleneksel olmayan yetenek havuzlarından bireyleri kucaklaması gerekiyor.
Yeni yeteneklerle birlikte yeni fikirler ve çözümler gelir ve farklı geçmişlere sahip kişilerin bakış açılarını benimsemek, kuruluşların gelecekteki tehditleri öngörmesine, hazırlık aşamasında çözümler oluşturmasına ve potansiyel büyük ölçekli saldırılardan kaçınmasına yardımcı olur.
CISO’lar çeşitlilik iğnesini hareket ettirmek için ne yapabilir?
Önümüzdeki yıl ve sonrasında, güvenlik liderlerinin kuruluşlarında çeşitliliği, eşitliği ve kapsayıcılığı artırmak için atabilecekleri birkaç adım var.
İşe alma yöneticilerinin merceği genişletmesi gerekir.
Yeteneğin tanımlandığı kapsamı genişletmeliyiz. Bu, daha fazla ayrıntı sağlayan ve rolde başarı için gerekli gereksinimlere odaklanan iş tanımları oluşturmakla başlar.
Örneğin, geleneksel bir dört yıllık üniversite derecesi gerekli midir? Listelenen madde işaretlerine meydan okuyun.
Mülakat süreci sadece bir adayın sahip olabileceği teknik becerilere odaklanmamalı, aynı zamanda adayın ilgi düzeyi ve genel olarak başarılı olma yeteneğini de dikkate almalıdır.
Bunu yaparken, bu, kariyer değişikliği yapanlar gibi geleneksel olmayan adayların, geleneksel olarak dikkate alınmamış olabilecek deneyim ve yenilikçi düşünce getirdikleri roller için değerlendirilmesine olanak tanır.
Kuruluşlar sürekli eğitim ve çalışan gelişimini benimsemelidir.
Sektör liderlerinin mevcut işgücünü hedef alan ancak aynı zamanda sektöre girmek isteyenlere de yardım sağlayan eğitim programları oluşturması gerekiyor.
Eğitim, ilk katılım sürecinden sonra durmamalı veya güvenlik organizasyonunun üyelerine kapatılmamalıdır. Uzmanlık düzeyi ne olursa olsun herkesin siber güvenlik becerilerini keskinleştirmesine yardımcı olabilecek eğitim ve geliştirme programlarını uygulamaya açık olmalıyız.
Liderlerin güvenlik alanındaki kariyer fırsatları konusunda farkındalık yaratması gerekir.
Güvenlik endüstrisinin ölçeklenmesi ve gelişmesi için, CISO’lar ve güvenlik liderlerinin, güvenliğin geleneksel bilgisayar bilimi dışındaki konularla ilgilenenler için bile bir fırsat endüstrisi olduğu konusunda harici olarak iletişim kurması gerekir.
Kuruluşlar, teknolojide bir kariyere ilişkin geleneksel algıya meydan okumak için kolej ve hatta lise öğrencileriyle etkileşim kurmanın yollarını bulmayı düşünmeli ve birçok durumda bunun algılayabileceklerinden daha uygun bir kariyer yolu olduğunu anlamalarına yardımcı olmalıdır.
Akıl hocalığı yoluyla elde tutmayı önceliklendirin.
Ek büyüme sağlamak için kuruluşların mevcut çalışan tabanını sürekli olarak eğitmesi ve yönlendirmesi çok önemlidir.
Topluluk temelli akıl hocası/menti ilişkileri, bilgi paylaşımı ve yeni ortaya çıkan tehditlerle başa çıkmak için ezber bozan yöntemler konusunda beyin fırtınası yapmak için önemlidir ve çeşitli endüstri yeteneklerini elde tutmanın önemli bir bileşenidir.
Genişleyen profesyonel ağlar.
Ağ oluşturma, uzun süredir başarılı bir kariyer yörüngesinin ölçülemez sosyal bileşeni olmuştur. Başarılı bir ağ oluşturmak zor olabilir, ancak istenen sonuçların elde edilmesine yardımcı olacak araçlar ve organizasyonlar mevcuttur.
Alana girmeyi umut edenler, LinkedIn ve diğer profesyonel sosyal medya platformları gibi araçlarla bireysel bir marka oluşturmaya devam etmeli, blog yazmayı veya tutku veya uzmanlık alanlarında düşünce liderliği yazmayı düşünmeli ve çeşitli kariyer hedeflerini desteklemeye odaklanan birçok kar amacı gütmeyen kuruluştan birini keşfetmelidir. siber güvenlik yolculuklarının tüm aşamalarında.
CISO’lar 2023’te siber güvenlik zorluklarını aşmaya çalışırken, liderlerin yeni bakış açıları ve çözümler sunması çok önemli olacak.
Siber güvenlik bir takım sporudur, bu nedenle CISO’ların bu zorlukların üstesinden gelmeye yardımcı olabilecek ve sektörün genel ilerlemesine katkıda bulunabilecek çeşitli oyunculardan oluşan bir ekip oluşturması önemlidir.