Sertleşen ekonomik iklime, artan küresel gerilimlere ve siber suçları kolaylaştıran yeni teknolojinin ortaya çıkışına rağmen, CISO’ların %76’sı hiçbir önemli ihlalin meydana gelmediğini öne sürdü ve %60’ı son 12 ayda hiçbir önemli siber güvenlik olayının meydana gelmediğini söyledi. ClubCISO ve Telstra Purple’a.
Güvenlik ekiplerinin bu bariz başarısı, CISO’ların kuruluşlarının genel güvenlik duruşunu ortalama olarak bir önceki yıla göre daha düşük derecelendirdiği göz önüne alındığında özellikle ilginçtir.
Kuruluşun güvenlik kültürü geliştirildi
Geçen yıl, %46’sı kendilerini ortalamanın üzerinde (en az 4/5 yıldız) olarak derecelendirirken, bu yıl sadece %38’i kendilerini aynı şekilde değerlendirdi. Ek olarak, yanıt verenlerin %13’ünden fazlası, kuruluşlarının temel güvenlik hedeflerini karşılayabileceğinden emin değil – geçen yılki sonucun tam olarak tekrarı.
Doğrudan bağlantılı olmasa da, düşen maddi ihlaller ve olaylar ile genel güvenlik durumları arasındaki eşitsizlik, kısmen CISO’nun gözlemlediği olumlu kültürel kazanımlarla açıklanabilir.
Ankete katılanların %80’i, kuruluşlarının güvenlik kültürünün geçen yıl bir dereceye kadar geliştiğine inandıklarını söyledi. Ve bu kültürel gelişmeleri etkileyen en önemli faktörler sorulduğunda, %60’ı liderlik onayının büyük bir etki olduğunu belirtti.
Kültürel iyileştirmeleri daha ayrıntılı olarak ele aldığımızda, proaktif ‘rapor et’ suçlamama politikaları (%41), simüle edilmiş kimlik avı (%38) ve özel eğitim (%37), güvenlik kültürünün diğer önemli itici güçleri olmaya devam ediyor. Ancak, bir önceki yıla göre daha düşük puan aldılar ve belki de güvenlik kültürünün daha yerleşik bir parçası haline gelmelerinden dolayı daha az etki gösterdiler.
Önemli siber ihlallerde düşüş
Danışma Kurulu Üyesi Jessica Barker, “Bu yılki bulgularımız, liderliğin onaylanmasının güvenlik kültüründe oynadığı kritik rolü kabul ediyor. Siber güvenlik, birkaç yıldır kurumsal gündemde yükseliyor, ancak güvenlik ekipleri ile üst düzey liderlik arasındaki bu daha güçlü uyum, ilerlemeyi çok cesaretlendiriyor. Tepeden bir tavır (ve kaynak) olmadan, sağlıklı bir güvenlik kültürü oluşturmak her zaman daha zor olacaktır.”
Bir önceki yılla karşılaştırıldığında, CISO’ların %67’si yönetim ekibiyle (2022’de %59) ve yönetim kuruluyla %54’üyle (2022’de %49) daha güçlü bir uyum olduğunu belirtti.
Şiddetli bir tehdit ortamına yanıt olarak, ankete yanıt veren üyelerin çoğu (%72) artık siber güvenlik sigortasına sahiptir. Ancak, yaklaşık %15’lik bir kesim sigortayı istememek ve faydalarına inanmamakla birlikte, sorun bölücü olmaya devam ediyor.
“Üye anketinden elde edilen sonuçlar, piyasada bir süredir gördüğümüz şeyi pekiştiriyor – gerçekten etkili olmak için güvenlik stratejilerinin insanlar etrafında inşa edilmesi gerekiyor. Telstra Purple EMEA Başkanı Rob Robinson, maddi siber ihlallerdeki düşüşün insanlarla ve kültürel gelişmelerle bağlantılı olduğu görülüyor – CISO’ların %80’inden büyük bir kısmı, kuruluşlarının güvenlik kültürünün geçen yıl boyunca olumlu bir şekilde geliştiğini öne sürdü” dedi.
“Liderliğin onaylanmasının, etkili bir güvenlik duruşu oluşturmak için kritik bir faktör olarak vurgulanması, aynı zamanda CISO’ların en yüksek iş seviyelerinde kaydettiği ilerlemeyi de kabul ediyor. Güçlü güvenlik artık açıkça önemli bir kurumsal yetenek olarak görülüyor ve bu büyük ölçüde CISO’ların C düzeyinde geliştirdikleri sesten kaynaklanıyor,” diye ekledi Robinson.