Proofpoint’e göre yönetim kurulu üyelerinin %73’ü önümüzdeki 12 ay içinde büyük bir siber saldırı riskiyle karşı karşıya kalacaklarına inanıyor; bu oran 2022’deki %65’e göre kayda değer bir artış.
Benzer şekilde, hedefli bir saldırıyla baş etmeye hazır olmayanların oranı %53’e yükseldi; bu oran bir önceki yıla göre %47’ye yükseldi.
Yapay zeka araçlarının ortaya çıkan riski
Yıldan yıla yaşanan bu değişiklik, süregelen jeopolitik gerilimler ve yıkıcı fidye yazılımları ile tedarik zinciri saldırılarındaki artışlar da dahil olmak üzere, tehdit ortamında süregelen değişkenliğin bir yansıması olabilir. ChatGPT gibi yapay zeka (AI) araçlarının ortaya çıkan riski de bu düşüncelere katkıda bulunuyor olabilir: Yönetim kurulu üyelerinin %59’u üretken yapay zekanın kuruluşları için bir güvenlik riski olduğuna inanıyor.
Yönetim kurulu üyelerinin %73’ü siber güvenliği bir öncelik olarak görse de, %72’si yönetim kurullarının karşılaştıkları siber riskleri açıkça anladığına ve %70’i siber güvenliğe yeterince yatırım yaptıklarına inansa da bu endişeleri taşıyor.
“Yönetim kurulu üyeleri ile onların CISO’ları arasında siber risk ve hazırlık konusunda yeni keşfedilen uyum, iki tarafın birlikte daha yakın çalıştığının ve ilerleme kaydettiğinin olumlu bir işaretidir. Ancak yönetim kurullarının bu riskle mücadele etmek için harcadıkları zaman ve kaynaklar konusunda kendilerini iyi hissetmelerine rağmen, büyüyen bu ittifak siber güvenlik duruşunda henüz önemli değişiklikler sağlamadı” dedi Proofpoint siber güvenlik stratejisinden sorumlu başkan yardımcısı Ryan Kalember.
“Bulgularımız, artan farkındalığı insanları ve verileri koruyan etkili siber güvenlik stratejilerine dönüştürmenin hala zor olduğunu gösteriyor. Yönetim kurulu-CISO ilişkilerinin daha da güçlenmesi, önümüzdeki aylarda yöneticiler ve güvenlik liderlerinin daha anlamlı görüşmeler yapabilmesi ve doğru önceliklere yatırım yaptıklarından emin olabilmeleri açısından faydalı olacak” diye ekledi Kalember.
Farkındalık ve finansman hazırlıklı olmaya dönüşmez
ChatGPT gibi araçların son aylarda ilgi odağı olduğu göz önüne alındığında, ankete katılanların %59’u bu gelişen teknolojiyi kuruluşları için bir güvenlik riski olarak görüyor. Ankete katılanların %73’ü, kuruluşlarının önemli bir siber saldırı riski altında olduğunu düşünüyor; bu oran 2022’deki %65’e kıyasla.
Yöneticilerin %73’ü siber güvenliğin yönetim kurulları için bir öncelik olduğunu kabul ediyor, %72’si yönetim kurullarının karşılaştıkları siber riskleri açıkça anladığına inanıyor, %70’i siber güvenliğe yeterince yatırım yaptıklarını düşünüyor ve %84’ü siber güvenlik bütçelerinin önümüzdeki 12 yılda artacağına inanıyor aylar; ancak bu çabalar daha iyi bir hazırlığa yol açmıyor; %53’ü hâlâ kuruluşlarının önümüzdeki 12 ay içinde bir siber saldırıyla başa çıkma konusunda hazırlıksız olduğunu düşünüyor.
Yönetim kurulu üyeleri, kötü amaçlı yazılımları (%40) en büyük endişeleri olarak sıraladı; bunu içeriden gelen tehditler (%36) ve bulut hesabının ele geçirilmesi (%36) izledi. Bu, CISO’ların e-posta sahtekarlığı/BEC (%33), içeriden gelen tehditler (%30) ve bulut hesabının ele geçirilmesi (%29) ile ilgili en önemli endişelerinden yalnızca biraz farklıdır.
Kişisel sorumluluk hem kurullar hem de CISO’lar için bir endişe kaynağıdır
Yöneticilerin çoğu (%63) ve CISO’lar (%60) en büyük risklerinin insan hatası olduğu konusunda hemfikir olsa da, yönetim kurulu üyeleri kuruluşlarının verileri koruma becerisine çok daha fazla güveniyor; yöneticilerin %75’i bu görüşü paylaşıyor. CISO’lar. Yönetim kurulu yöneticilerinin %37’si kuruluşlarının siber güvenliğinin daha büyük bir bütçeden faydalanacağını, %35’i daha fazla siber kaynak görmek istediğini ve %35’i daha iyi tehdit istihbaratı istediğini söyledi.
Yöneticilerin %53’ü güvenlik liderleriyle düzenli olarak etkileşimde bulunduklarını söylüyor. Geçen yılın %47’sine göre bir artış olsa da, hâlâ tüm toplantı odalarının neredeyse yarısının güçlü CISO-C-seviye ilişkileri olmadan kaldığı görülüyor. Yönetim kurulu üyeleri ve CISO’lar etkileşimde bulunduklarında genellikle yakın bir uyum içerisindedir; ancak yönetim kurulu üyelerinin %65’i CISO’larıyla aynı fikirde olduklarını söylerken CISO’ların %62’si de aynı fikirdedir.
Yönetim kurulu yöneticilerinin %72’si kendi kuruluşlarında meydana gelen bir siber güvenlik olayının ardından kişisel sorumluluk konusunda endişelerini dile getirdi ve CISO’ların %62’si de aynı fikirde.
“Yönetim kurulu üyeleri siber güvenlik konularını ciddiye alıyor ve insan riski ve siber tehditlerin bir kuruluşun kârlılığı üzerinde yarattığı etki konusunda hiçbir yanılgıya sahip olmadıklarını gösteriyor. Güçlü yönetim kurulu-CISO ortaklıklarının her zamankinden daha kritik olduğunun bilincinde olarak güvenlik liderleriyle ilişkilerinde ilerleme kaydediyorlar” dedi Kalember. “Fakat bu kayıtsız kalmanın zamanı değil. Yönetim kurullarının hazırlıklılığı ve kurumsal dayanıklılığı artırmaya yoğun yatırım yapmaya devam etmesi gerekiyor. Bu, yöneticilerin olumlu sonuçlara yol açan bilinçli, stratejik kararlar almasını sağlamak için CISO’larla daha derin, daha verimli görüşmeler yapılması anlamına geliyor.”
Genel olarak CISO’lar ve yönetim kurulu üyeleri her zamankinden çok daha yakın çalışıyor. Bu ilerleme, yönetim kurulunun siber güvenliğe yönelik bakış açılarının gerekli bir uyumluluk görevinden, iş stratejisini şekillendirmeye yardımcı olabilecek bir kolaylaştırıcıya dönüştüğüne dair umut veriyor.
Bu ilişkinin güçlendirilmesi aynı zamanda yönetim kurulunun siber güvenliğe olan güvenini de artırıyor gibi görünüyor. Yaklaşan saldırılara ve hazırlık eksikliğine ilişkin endişelere rağmen yönetim kurulu üyeleri kendilerini rahat hissettiklerini ve siber güvenlik duruşlarını kontrol altında tuttuklarını söylüyor.