AI, CISO gündeminin tepesine taşındı. Beş CISOS’tan üçü, üretken yapay zekayı bir güvenlik riski olarak görüyor ve birçoğu kamu araçları aracılığıyla hassas verilerin sızması konusunda endişeli. Aynı zamanda, çoğu kuruluş AI’yi açıkça engellemiyor. Bunun yerine, Kanıt noktasına göre, çalışanların bu araçları veri açığa çıkarmadan kullanabilmeleri için korkulukları yerleştirmeye çalışıyorlar. 2025 CISO’nun sesi rapor.
CISO’lar ayrıca AI’nın değerini savunma aracı olarak tartıyor. Birçoğu, insan hatasını önlemeye ve hızlı hareket eden tehditlere yanıt vermeye yardımcı olmak için AI güdümlü yetenekleri araştırıyor. Yine de AI’nın gümüş bir mermi olacağı inancı soğudu. Daha az cisos şimdi bunu dönüşümsel bir çözüm olarak görüyor. Bunun yerine odak, yeniliği yönetişim ve kontrol ile dengelemeye kaymaktır.
Kaynak: CISO Raporunun Proofpoint 2025 Sesi
İnsan Sorunu
Bir yıl daha, CISOS insan davranışını en iyi güvenlik açığı olarak sıralıyor. İçeriden tehditler, dikkatsiz hatalar ve tehlikeye atılan hesaplar veri kaybı olaylarının merkezinde kalır. Neredeyse tüm kuruluşların bir çeşit veri kaybı önleme teknolojisi vardır, ancak çoğunluk hala hassas veri maruziyetine maruz kalmıştır.
Bu kayıpların ana nedenleri insanlara geri dönüyor. Verileri kötüye kullanan, kimlik bilgilerini yanlış kullanan veya AI özellikli platformlar aracılığıyla bilgi sızdıran çalışanlar çoğu olayı yönlendirir. Birçok CISO, personelinin güvenlik en iyi uygulamalarını anladığını söylese de, eğitim ve içeriden öğrenen risk programları tutarsızdır. Bu boşluk birçok kuruluşu maruz bırakıyor.
Yönetim kurulu hizalama kayma
Daha çarpıcı bulgulardan biri, CISOS ve panoları arasındaki hizalamadaki düşüştür. Geçen yıl, CISOS’un yüzde 84’ü kurulun siber güvenlik görüşlerini anladığını hissetti. Bu yıl, bu sayı yüzde 64’e düştü.
Düşüş, yönetim kurulu düzeyinde farkındalıktaki ilerlemenin durmuş olabileceğini gösteriyor. CISOS’un masada düzenli bir varlığı olduğu için bazı kurullar daha az aciliyet hissedebilir. Aynı zamanda, daha az Cisos yönetim kurulu üyelerinin resmi siber güvenlik uzmanlığına ihtiyacı olduğunu düşünüyor. Bu, karmaşık sorunları tercüme etme yeteneklerine artan güveni yansıtabilirken, siber riski kavramak için hazırlıksız tahtaların ayrılmasından da riske sahiptir.
Bu kaymaya rağmen CISOS, kurulların saldırıların iş etkisine daha fazla dikkat ettiğini belirtiyor. Şirket değerlemesi üzerindeki etkisi artık en büyük endişe kaynağı olarak yer alıyor ve kurulların siber riskleri finansal sonuçlarla birleştirmeye başladığını gösteriyor.
Rol üzerindeki baskı
Rolün kendisi ağır zorlanmaya devam ediyor. Cisos’un üçte ikisi, üzerlerine verilen beklentilerin aşırı olduğunu söylüyor. Birçoğu, olaylar meydana geldiğinde, genellikle sorumlulukla eşleşecek kaynaklar olmadan kişisel olarak hesap verebilir hisseder. Tükenmişlik ciddi bir sorun olmaya devam ediyor, birçok kişi yüksek seviyelerde stres ve sınırlı organizasyonel destek bildiriyor.
Bazı kuruluşlar CISO’ları kişisel sorumluluktan korumak için adımlar atıyor. Kabaca üçte ikisi, bir ihlalin yasal veya finansal serpilene yol açarsa güvenlik liderini koruyan güvenceleri olduğunu söylüyor. Bu cesaret verici olsa da, genel anlam, destek yapılarının işin taleplerine ayak uyduramamasıdır.
CISO rolü için çıkarımlar
Proofpoint raporu, birden fazla yöne çekilen bir rolün resmini çizer. AI hem yeni bir aracı hem de yeni bir riski temsil eder. İnsanlar, teknoloji olsa bile, güvence altına almak için en zor zorluk olmaya devam ediyor. Kurullar, iş etkisi konusunda daha fazla farkındalık gösterir, ancak cisoslarıyla daha az uyumludur. Ve işin kişisel baskısı, güvenlik liderlerine büyük ölçüde ağırlık vermeye devam ediyor.
Bazıları, CISO rolünün, biri savunma ve olay tepkisine, diğeri yönetişim ve uyum konusunda odaklanan ayrı yollara ayrıldığı bir gelecek görüyor. Her durumda, sorumluluk kapsamı genişlemeye devam edecektir.