Dynatrace’e göre kuruluşlar, siber güvenlik tehditlerini ele alma becerilerini engelleyen iç iletişim engelleriyle mücadele ediyor.
Sonuçlar, CISO’ların güvenlik ekiplerini üst düzey yöneticilerle uyumlu hale getirme konusunda zorluklarla karşılaştığını ve bunun da siber riskleri anlamada organizasyonel boşluklara yol açtığını gösteriyor. Sonuç olarak, yapay zeka odaklı saldırıların arttığı bir dönemde kendilerini gelişmiş siber tehditlere daha açık buluyorlar.
Rapor, 1.300 CISO’nun katıldığı küresel bir ankete ve 1.000’den fazla çalışanı olan işletmelerdeki CEO’lar ve CFO’larla yapılan on görüşmeye dayanıyordu.
CISO’lar, C düzeyindeki yöneticiler nedeniyle organizasyonel zorluklarla karşı karşıyadır
CISO’lar güvenlik ekipleri ile üst düzey yöneticiler arasında uyumu sağlamakta zorlanıyor; CISO’ların %87’si uygulama güvenliğinin CEO ve yönetim kurulu düzeyinde kör bir nokta olduğunu söylüyor.
Görüşülen on üst düzey yöneticiden yedisi, güvenlik ekiplerinin iş bağlamını belirtmeden teknik terimlerle konuştuğunu söylüyor. Ancak CISO’ların %75’i, sorunun C düzeyindeki yöneticilerin ve yönetim kurullarının iş risklerini anlamak ve tehditleri önlemek için kullanabileceği öngörüler üretemeyen güvenlik araçlarından kaynaklandığını vurguluyor.
Yapay zeka odaklı saldırıların ve siber tehditlerin artmasının iş riskini önemli ölçüde artırması nedeniyle bu teknoloji ve iletişim açığını ele almak daha kritik hale geliyor.
Bu çerçevede, CISO’ların %72’si kuruluşlarının son iki yılda bir uygulama güvenliği olayı yaşadığını söylüyor. Bu olaylar ciddi risk taşıyor; CISO’lar, etkilenen gelir (%47), düzenleyici cezalar (%36) ve kayıp pazar payı (%28) dahil olmak üzere yaşadıkları ortak sonuçları vurguluyor.
Dynatrace CTO’su Bernd Greifeneder, “Siber güvenlik olayları kuruluşlar ve müşterileri için yıkıcı sonuçlar doğurabilir, bu nedenle sorun haklı olarak yönetim kurulu düzeyinde kritik bir endişe haline geldi” dedi.
“Ancak pek çok CISO, güvenlik ekipleri ile üst düzey yöneticiler arasındaki uyumu sağlamakta zorlanıyor çünkü konuşmayı bit ve baytlardan belirli iş risklerine taşıyamıyorlar. CISO’ların acilen bu engeli aşmanın ve siber güvenlik konusunda ortak sorumluluk kültürü yaratmanın bir yolunu bulması gerekiyor. Bu, güvenlik olaylarına etkili bir şekilde yanıt verme ve maruz kaldıkları riskleri en aza indirme yeteneklerini geliştirmek açısından kritik öneme sahip olacak” diye ekledi Greifeneder.
CISO’lar risk azaltma önlemlerinde DevSecOps otomasyonunu vurguluyor
Yapay zekanın yükselişi kuruluşları ek risklere maruz bıraktıkça, güvenlik ekipleri ile üst düzey yöneticiler arasındaki etkileşimi daha yakın hale getirme ihtiyacı daha da önemli hale geliyor. CISO’lar, yapay zekanın siber suçluların yeni saldırıları daha hızlı oluşturmasını ve bunları daha geniş ölçekte (%52) yürütmesini sağlama potansiyeli konusunda endişe duyuyor. Ayrıca yapay zekanın, geliştiricilerin daha az gözetimle yazılım dağıtımını hızlandırmasına olanak tanıyarak daha fazla güvenlik açığına (%45) yol açma potansiyeli konusunda da endişe duyuyorlar.
CISO’ların %83’ü bir çözüm ararken DevSecOps otomasyonunun yapay zekanın getirdiği güvenlik açıkları riskini yönetmek için daha önemli olduğunu söylüyor. Ek olarak, CISO’ların %71’i DevSecOps otomasyonunun, uygulama güvenliği riskini en aza indirmek için makul önlemlerin alınmasını sağlamak açısından kritik öneme sahip olduğunu söylüyor.
CISO’ların %77’si daha, XDR ve SIEM çözümleri gibi mevcut araçların, otomasyonu geniş ölçekte desteklemek için gereken zekaya sahip olmadıkları için bulut karmaşıklığını yönetemediğini söylüyor ve CISO’ların ilave %70’i, birden fazla uygulama güvenlik aracına duyulan ihtiyacın operasyonel verimsizliğe yol açtığını söylüyor Farklı veri kaynaklarını anlamlandırmak için gereken çaba nedeniyle.
“Yapay zekanın giderek artan kullanımı, hem dijital yenilikçiler hem de savunmalarını aşmak isteyenler için verimlilik kazanımları yaratan iki ucu keskin bir kılıçtır. Bir yandan, geliştiricilerin yapay zeka tarafından oluşturulan ve yeterince test edilmemiş kodlar aracılığıyla güvenlik açıkları oluşturma riski daha büyükken, diğer yandan siber suçlular bunları istismar etmek için daha otomatik ve karmaşık saldırılar geliştirebilir,” diye devam etti Greifeneder.
“Daha da acı veren kuruluşlar, saldırıların etkisini dört gün içinde tespit edip raporlamalarını gerektiren SEC talimatı gibi yeni ortaya çıkan düzenlemelere de uymak zorunda. Kuruluşların, uygulamalarını ve verilerini modern, gelişmiş siber tehditlerden korumak için güvenlik araçlarını ve uygulamalarını acilen modernleştirmeleri gerekiyor. En etkili yaklaşımlar, olgun DevSecOps otomasyonunu destekleyen ve her ölçekte dağıtılmış verilerle başa çıkmak için yapay zekadan yararlanan birleşik bir platform üzerinde oluşturulacak. Bu platformlar, tüm işletmenin arkasında durabileceği ve sıkı düzenlemelere uyumu göstermek için kullanabileceği öngörüleri sağlayacak,” diye tamamladı Greifeneder.
“CISO’ların teknik karmaşıklıklara odaklanması, iş stratejisi ve risk yönetiminin daha geniş bağlamını gizleyebilir. Bunun tersine, üst düzey yöneticiler siber güvenliği çoğu zaman operasyonel kaygılardan yalnızca biri olarak görüyor. CISO’ların, işletmenin bir siber güvenlik gündemini destekleyecek şekilde faaliyet göstermesi gerektiği varsayımı altında çalışmak yerine, kuruluşun iş zorunluluklarını (örneğin gelir yaratma) desteklemek için siber güvenliğin önemine ilişkin bütünsel bir anlayış geliştirmeleri gerekmektedir. O değil! Hem C-Suite hem de CISO’lar, siber güvenliğin daha geniş bir iş bağlamındaki rolünü anlamak için bakış açılarını aşmalıdır. Next DLP CSO’su Chris Denbigh-White, Help Net Security’ye ancak o zaman anlamlı bir ilerleme kaydedilebileceğini söyledi.