Ivanti, siber tehditlerin büyüklük ve karmaşıklık bakımından hızla ilerlediğini, bunun büyük ölçüde teknolojinin hızla gelişmesi, siber saldırganların giderek daha karmaşık hale gelmesi ve saldırı yüzeylerinin birbirine bağlı sistemler ve cihazlar aracılığıyla genişlemesi nedeniyle olduğunu söyledi.
Ivanti’nin araştırması, siber güvenlik bütçelerinin artmasına rağmen (2024’te bütçelerin artacağını bildirenlerin oranı %71), güvenlik stratejisi ve yatırımlarının tehditlerin giderek artan ciddiyeti ve yaygınlığıyla aynı hızda ilerlemeyebileceğini gösteriyor.
BT ve güvenlik uzmanlarının %95’i güvenlik tehditlerinin AI nedeniyle daha tehlikeli olacağına inanıyor — ancak bu artan riske rağmen, güvenlik ve BT uzmanlarının neredeyse üçte biri, üretken AI risklerini ele almak için belgelenmiş bir stratejiye sahip değil. Günümüz ortamında, CISO’lar kuruluşta daha da kritik bir rol oynuyor çünkü aldıkları kararların çoğu işletmenin tamamını etkileyecek.
Güvenlik açığı yönetimi yanlış anlaşılıyor
BT dışındaki liderlerin %60’ı, kuruluşlarının önümüzdeki 12 ay içinde zarar verici bir güvenlik olayını önleme veya durdurma becerisine “çok” veya “son derece güvendiğini” bildirmesine rağmen, BT profesyonellerinin yalnızca %46’sı bu güven düzeyini paylaştı. Bu fark, BT dışındaki liderlerin artan ve giderek saldırganlaşan siber güvenlik tehditlerinin oluşturduğu riskleri gerçekten anlamayabileceğini gösteriyor.
BT ve güvenlik uzmanlarının %55’i BT dışındaki liderlerin güvenlik açığı yönetimini tam olarak anlamadığını belirtiyor ve BT dışındaki liderler de büyük ölçüde aynı fikirde – %47’si güvenlik açığı yönetimi konusunda üst düzey bir anlayışa sahip olmadıklarını belirtiyor. Liderler güvenlik açığı yönetimini anlamadıklarında, değişen liderlik önceliklerinin kuruluşlarının güvenliğini nasıl etkileyebileceğini fark etmeyebilirler. Aslında, 4 BT uzmanından 1’inden fazlası, değişen liderlik öncelikleri nedeniyle yama yönetiminin zayıfladığını söylüyor.
BT dışındaki güvenlik ekipleri ve liderlerin siber risklerin potansiyel etkileri konusunda farklı görüşleri var. Bu görüşlere, risklerin neden olabileceği hasarın boyutu ve kuruluşun hangi alanlarının bu etkiyi en çok yaşama olasılığı olduğu da dahil.
BT dışındaki yöneticilerin BT ve güvenlik meslektaşlarına göre finansal, yasal ve itibar etkilerine odaklanma olasılıkları daha yüksektir. Örneğin, yönetici liderlerin %24’ü siber risklerin itibar etkisini CISO’ların yalnızca %15’ine kıyasla ‘yüksek’ olarak nitelendiriyor.
Siber güvenlik halihazırda yönetim kurulu düzeyinde bir konu
Araştırma, siber güvenliğin halihazırda yönetim kurulu düzeyinde bir konu olduğunu gösteriyor. Katılımcıların %86’sı siber risk yönetiminin yönetim kurulu düzeyinde tartışıldığını, %84’ü ise CISO’ların iş karar alma, kurumsal planlama vb. konularda üst düzey stratejik toplantılara davet edildiğini söylüyor.
Stratejik oyunculara dönüşebilmek için güvenlik liderleri, CEO’ları ve yönetim kurullarıyla aynı dili konuşmayı öğrenmeli; teknik bilgi birikimini, saldırıların finansal ve itibar üzerindeki etkileri ile veri ihlallerinin yasal ve düzenleyici sonuçları gibi iş önceliklerine dönüştürmelidir.
Ivanti’de Saha CISO’su olarak görev yapan Mike Riemer, “CISO’nun rolü, kuruluşlarının karşı karşıya olduğu gerçek riski etkili bir şekilde iletmek ve farklı güvenlik olayı türlerinin kuruluşu nasıl etkileyebileceğini anlamaktır. Bu etki, her zamankinden daha fazladır” dedi.
“Tehdit ortamı giderek daha değişken ve öngörülemez hale geliyor ve CISO’lar çalışanların üretken ve güvenli kalmasını sağlamakla görevlendiriliyor. CISO organizasyonunun başarısı, tüm organizasyonun başarısını garantilemek için elzemdir; bu da siber güvenliğin neden yönetim kurulu düzeyinde bir tartışmaya dönüştüğünü açıklıyor,” diye ekledi Riemer.