Salt Security tarafından yapılan yeni bir küresel anket, dijitale öncelik veren bir ekonominin CISO’ların yaklaşık %90’ı için öngörülemeyen riskler getirdiğini ortaya çıkardı. Bulgular bu hafta başlarında yeni bir “CISO 2023 Durumu” raporunda açıklandı. Global Surveyz for Salt tarafından yürütülen küresel CISO anketi, dünya çapında 300 CISO/STK’dan dijital dönüşüm ve kurumsal dijitalleşmeden kaynaklanan sorunlar hakkında geri bildirim topladı. Sonuçlar, yönetmeleri gereken en büyük güvenlik kontrol boşlukları, karşılaştıkları en önemli kişisel mücadeleler ve daha geniş küresel sorunların etkili siber güvenlik stratejileri sunma becerileri üzerindeki etkisi dahil olmak üzere önemli CISO zorluklarını vurgulamaktadır.
Pek çok dijital yenilik girişiminin temelini oluşturan API’ler, CISO’lar için önemli bir odak alanı olarak öne çıktı. CISO’ların %77’si, API’lerin iki yıl öncesine kıyasla bugün şimdiden daha yüksek bir öncelik olduğunu kabul ediyor. Buna ek olarak, API’nin benimsenmesi, kuruluşların dijital girişimlerinden kaynaklanan, tedarik zinciri/üçüncü taraf sağlayıcılardan sonra ikinci en yüksek güvenlik kontrol açığını sunuyordu.
Salt Security’nin CEO’su ve kurucu ortağı Roey Eliyahu şunları ekliyor: “Dünya çapındaki bu anketin bulguları, son iki yılda dijital ekonominin hızlanmasının bir sonucu olarak CISO’ların her zamankinden daha fazla baskıyla karşı karşıya olduğunu açıkça gösteriyor. API’ler, her dijital hizmetin yapı taşlarıdır ve önemli miktarda risk bunlara kaymıştır. Bu bulgular, kuruluşların dünün riskini değil bugünün riskini çözdüklerinden emin olmak için API güvenlik stratejilerini değerlendirmeye öncelik vermeleri gerektiğini pekiştiriyor.”
Dijitale öncelik veren bir ekonomide en büyük CISO zorlukları
2023 raporu, önce dijital ekonominin CISO’lar için yeni güvenlik zorlukları getirdiğini gösteriyor. İlginç bir şekilde, CISO’lar tarafından belirtilen zorlukların çoğu, neredeyse eşit endişe düzeylerini temsil ediyor ve CISO’ları aynı anda birden fazla zorluğu ele almaya zorluyor.
CISO’lar aşağıdaki başlıca güvenlik zorluklarını belirtmektedir:
Yeni ihtiyaçları karşılamak için nitelikli siber güvenlik yeteneği eksikliği (%40)
Yazılımın yetersiz benimsenmesi (%36)
Dağıtılmış teknoloji ortamlarının karmaşıklığı (%35)
Artan uyumluluk ve yasal gereklilikler (%35)
Menkul kıymet yatırımlarının maliyetini haklı çıkaran zorluklar (%34)
Güvenlik girişimleri için paydaş desteği alma (%31)
Tedarik zinciri ve API’ler en büyük güvenlik kontrol açıkları
CISO’ların üçte ikisi, 2021’e kıyasla güvence altına almaları gereken daha fazla yeni dijital hizmete sahip olduklarını belirtiyor. Ayrıca, CISO’ların %89’u, dijital hizmetlerin hızla kullanıma sunulmasının, şirketlerinin hayati verilerinin korunmasında öngörülemeyen güvenlik riskleri oluşturduğunu belirtiyor. API benimseme ve tedarik zinciri/üçüncü taraf sağlayıcılar, kuruluşların dijital girişimlerinde en yüksek iki güvenlik kontrol açığını sundu.
CISO’lar, dijital girişimlerden kaynaklanan güvenlik kontrol boşluklarını şu şekilde sıralar:
Tedarik zinciri/üçüncü taraf satıcılar (%38)
API benimseme (%37)
bulut benimseme (%35)
Eksik güvenlik açığı yönetimi (%34)
Eski yazılım ve donanım (%33)
Gölge BT (%32)
Bu yılın başlarında, Salt Security yıllık API Durumu raporunu yayınladı. Rapor, saldırganlarda %400’lük bir artış olduğunu, belki de API güvenliğinin CISO’ların zihninde neden ön planda ve merkezde olduğunu ortaya çıkardı.
Google Cloud CISO Ofisi güvenlik danışmanı Anton Chuvakin şöyle diyor: “Kuruluşlar dijital dönüşüm çabalarını hızlandırdıkça, doğal olarak birçok iş alanında ve yapay zekada API kullanımını artırıyorlar. Bu nedenle, API güvenlik çabalarının nihayet yükseldiğini görmek umut verici. Bazen şirketler güvenlik yatırımları söz konusu olduğunda kuruş bilge olabilir ama aptal olabilir. Ancak büyük kişisel veri ihlallerinin yüksek maliyeti göz önüne alındığında, API güvenliğinin önemi artmalı ve bunu yakın gelecekte keskin bir şekilde yapmalı.”
CISO rolünü etkileyen küresel trendler
CISO’ların büyük çoğunluğu, bir dizi küresel eğilimin etkisini hissettiklerini kabul ediyor. Daha fazla CISO, yapay zekanın benimsenme hızının önemli bir etkiye sahip olduğunu, ardından makro ekonomik belirsizliğin, jeolojik/politik iklimin ve işten çıkarmaların geldiğini belirtti. Küresel eğilimlerin etkisiyle ilgili özel CISO yanıtları şunlardı:
Yapay zekayı benimseme hızı (%94)
Makro ekonomik belirsizlik (%92)
Jeo/politik iklim (%91)
İşten çıkarmalar (%89)
TAG InfoSphere’in kurucusu ve CEO’su Ed Amoroso şunları ekliyor: “Bu bulgular, siberin “AI çağı”nın yeni gerçekliğinin altını çiziyor. CISO’lar, yapay zeka saldırılarının geliştiğini ve giderek daha karmaşık hale geldiğini ve benzeri görülmemiş bir hızla büyüdüğünü biliyor. Güvenlik ekipleri zaten geniş bir saldırı yüzeyini savunma kapasitesine sahipken, artan yapay zeka tehditlerinin etkisi ve bir yapay zeka suçu uygulama gerekliliği, günümüzün CISO’ları üzerinde açıkça ağır bir yük oluşturuyor.”
Dava tehdidi ve artan sorumluluk, CISO’ların kişisel endişelerinin başında geliyor
Dijitale öncelik veren ekonomi, CISO’ları kişisel düzeyde de etkiledi. Bildirilen kişisel zorluklar arasında şunlar vardı:
İhlallerden kaynaklanan kişisel davalara ilişkin endişeler (%48)
Artan kişisel risk/yükümlülük (%45)
Genişletilmiş sorumluluklar ve yerine getirmek için yeterli zamanın olmaması (%43)
Artan işle ilgili stres (%38)
Yönetilmesi gereken daha büyük ekipler (%37)
CISO’ların yaklaşık %50’si dava endişelerinden bahsediyor. Son zamanlarda dalgalanan birkaç yüksek profilli CISO davasıyla, CISO’lar bir ihlal durumunda geçim kaynaklarını riske atarak kişisel olarak sorumlu tutulmaktan korkuyorlar.
CISO’lar, yönetim kurullarının siber riskler ve hafifletme konusunda bilgili olduğunu söylüyor
Son olarak, olumlu bir not olarak, dünya çapındaki CISO’ların %96’sı yönetim kurullarının siber güvenlik konularında bilgili veya çok bilgili olduğunu bildiriyor. Buna ek olarak anket, CISO’ların %26’sının siber riskleri azaltma ve iş risklerini açığa çıkarma konusunda kurula üç ayda bir veya daha fazla kez ve %57’sinin en az altı ayda bir kurula sunum yaptığını gösterdi.