2022 bir göstergeyse, işletmeler 2023’te benzeri görülmemiş bir hacim, sıklık ve karmaşıklıktaki siber tehditlerle karşı karşıya kalacak. Malwarebytes CEO’su Marcin Kleczynski, bir sektör olarak bu riskleri önceden nasıl ele alabileceğimize bakıyor.
2022 bir göstergeyse, işletmeler 2023’te benzeri görülmemiş bir hacim, sıklık ve karmaşıklıktaki siber tehditlerle karşı karşıya kalacak. 2025’te 10,5 trilyon dolar.
Bu çerçevede ve siber güvenliğe yapılan harcamaların artmasına rağmen, beceri açığı bir kanyona dönüştü. (IC)² 2022 Siber Güvenlik İşgücü Araştırmasına göre, küresel güvenlik iş gücü açığı yüzde 26 arttı ve işletmeleri etkili bir şekilde güvence altına almak için 3,4 milyon ek çalışana ihtiyaç duyuldu. Bu yıl büyük bir ABD kuruluşuna karşı ulusal düzeyde önemli bir siber saldırıya yol açacağına inandığım bu tutarsızlık.
Bir sektör olarak, hem yeni siber yetenekleri hemen işe alarak ve bünyesine katarak hem de KOBİ’ler ve diğer dar kapsamlı ekipler için operasyonları basitleştirmeye yardımcı olacak yeni araçlar ve kaynaklar sunarak bu riskleri önceden ele almalıyız.
Çeşitli güvenlik personeli nasıl bulunur (ve tutulur) ve ne zaman MSP’lere başvurulur?
İş dünyası liderleri bugünlerde çok fazla el yordamıyla uğraşıyorlar. Durgunluk korkuları, jeopolitik istikrarsızlık ve yükselen siber suç dalgaları dikkat çekmek için yarışıyor ve şimdiden 2023 bütçe kararlarını etkiledi. Siber güvenlik sepetindeki yumurtalar. CIO’larla ilgili yakın tarihli bir Gartner anketi, üçte ikisinin bu yıl siber harcamaları artırmayı planladığını ortaya koydu.
Ve yine de – bu yeterli olacak mı? Siber suçlular ekonomik sorunlar karşısında geri adım atmazlar. Bilakis, pandeminin başlangıcından bu yana rekor siber saldırı hacmiyle ilk elden tanık olunduğu gibi, mali hedeflerine ulaşmak için çıtayı yükseltiyorlar. Siber suçlar 2020 ve 2021’de meteorik zirvelere ulaştı ve 2022, küresel saldırılarda yüzde 28’lik ek bir artışla yükseliş trendini sürdürdü. Bu rakamlar, çalışanların üretkenliği ve morali üzerindeki etkiyi, kaybedilen kârları ve yatırımları ve şirket itibarına geri dönülmez zararları içermediğinden, suçları adaletle ele almamaktadır.
Kuruluşlar son zamanlarda siber güvenliğe büyük yatırımlar yapmış olsa da, karmaşık sistemleri, süreçleri ve insanları yönetmek için ek personel işe almak bir öncelik gibi görünmüyor. 2022’de, güvenlik istihdam açığı yüzde 40 artarak yalnızca ABD’de 700.000 doldurulmamış pozisyona ulaştı. Mandiant’ın başkan yardımcısı Barbara Massa, CNN için yazdığı bir makalede, “Siber güvenlik yetenek eksikliği, bugün sektörümüzün karşı karşıya olduğu en önemli ve tehdit edici zorluklardan biridir” dedi.
Gerçekten de, (IC)² 2022 Siber Güvenlik İşgücü Araştırmasına katılanların tahminen yüzde 70’i, kuruluşlarında güvenliğe adanmış yeterli sayıda çalışan olmadığını bildirdi ve yarısından fazlası personel açıklarının şirketlerini “orta” veya “aşırı” riske soktuğunu söylüyor siber saldırı. 2023’te aşırı yüklü bir çalışanın yaptığı bir hata veya yetersiz kadrolu bir ekibi bunaltacak bir olay nedeniyle önemli bir siber saldırı gerçekleşeceğini varsaymak mantık hatası değil.
Yaklaşan krizin işaretleri şimdiden görülmeye başlandı. Colbalt tarafından 2022’de yapılan bir ankete göre, eksiklikler yaşayan veya ekip üyelerini kaybeden katılımcıların yüzde 90’ı iş yükü yönetimiyle mücadele ediyor. Yetenek boşlukları, bir kuruluşun güvenlik duruşu üzerinde somut etkilere sahip olabilir; standartları korumada zorluk, yetersiz veya var olmayan eğitim konuşlandırması ve gözden kaçan tespit edilemeyen güvenlik açıkları gibi.
Güvenlik profesyonelleri kafalarını suyun üstünde zar zor tutarken, önemli görevler gözden kaçar ve altyapıyı büyük çapta uzlaşma potansiyeline maruz bırakır. Bu nedenle, güvenlik konusunda yetenek eksikliği konusunda farklı düşünmeye başlamanın ve büyüyen soruna yaratıcı çözümler aramanın zamanı geldi.
Güvenlik personeli alımı: daha az sertifika, daha fazla çeşitlilik
Tarihsel olarak, siber güvenlik pozisyonları için iş ilanları, genellikle eski bir güvenlik kurumuyla olan önceki deneyimlere ve ayrıca teknik beceriler ve sertifikalardan oluşan bir çamaşır listesine yoğun bir şekilde odaklanmıştır. Pek çok işletme, iş tanımlarını karıştıran düzinelerce programla tercih ettikleri yazılıma da aşinalık gerektirir. Bununla birlikte, bu tür niteliklere sıkı sıkıya bağlı kalmak, genellikle uzun süreler boyunca doldurulmayan pozisyonların sorumlusudur.
Bunun yerine kuruluşlar, güvenlik uzmanlarının çok sayıda niş teknik beceriye sahip olması gerektiği şeklindeki önyargılı fikirleri bir kenara bırakmalı ve adayları yaratıcı problem çözme, iletişim, işbirliği ve eleştirel düşünme gibi sözde “yumuşak becerilere” sahip olarak değerlendirmelidir. Aday, güçlü bir potansiyel ve öğrenme isteği gösteriyorsa ve diğer ekip üyeleri ve çalışanlarla iyi bir kültürel uyum sergiliyorsa, eksik oldukları teknik becerileri kazanması için eğitilebilir.
Güvenlik ekiplerini işe alırken bir başka alışılmış uygulama da, her yıl bilgisayar bilimi ve bilgi teknolojisi mezunları için aynı iş kurullarına veya okullara bakmaktır. Bunun yerine işletmeler, aramalarını olağan yerlerin ve yöntemlerin ötesine genişletmelidir. Birisinin yetenekli bir siber güvenlik uzmanı olması için üniversite diploması her zaman gerekli değildir.
Uzmanlar, açık yuvaları doldurmak için şu anda güvenlik ekibinde olmayan çalışanlara şirket içinde bakmanızı tavsiye ediyor. Belki BT, Soru-Cevap testi veya müşteri hizmetlerinden biri ilgilendiğini ifade etmiştir ve kolayca eğitilebilir. Capture the flag, bug bounty ve diğer güvenlik yarışmaları da çıraklık ve staj programları gibi yüksek vasıflı adaylar için mükemmel kaynaklardır. Son olarak, KOBİ’ler, kurumsal işletmelerden daha fazla etki yaratmak isteyen deneyimli adayları kaçak avlama konusunda şaşırtıcı bir şansa sahip olabilir, ancak kuşkusuz bu, genel beceri eksikliğini gidermek için çok az şey yapar.
Genişleyen beceri ve konum parametrelerine ek olarak, işletmelerin siber güvenlik ekiplerini çeşitlendirmesi de çok önemlidir. Yeni bakış açılarıyla, çeşitliliğe sahip bir Bilgi Departmanı, bir soruna yalnızca yeni açılardan bakamaz, aynı zamanda çok boyutlu düşmanlardan kaynaklanan çok sayıda sorunu ele alabilir. Güvenlik ekiplerini çeşitlendirmek, geleneksel olarak sektörden dışlananlar da dahil olmak üzere farklı becerilere ve geçmişlere sahip üyelerin eklenmesi anlamına gelir.
Kadınlar, 2021’de küresel güvenlik iş gücünün yalnızca yüzde 25’ini köşeye sıkıştıran, siber güvenlik alanında büyüyen ancak hâlâ yeterince temsil edilmeyen bir grup. alana girin. SANS Enstitüsü ayrıca, adayların birinci sınıf eğitim ve sertifika aldığı Kadınlar için CyberTalent Immersion Academy’yi de sunmaktadır.
İşletmeler ayrıca potansiyel iş olanakları için Siyahi, Yerli ve renkli insanlar (BIPOC) ve LGBTQ+ topluluklarına ulaşmak için sosyal yardım yapmalıdır. Siber güvenlikte çeşitlilik ve kapsayıcılık üzerine Eylül 2021’de yapılan bir araştırma, ABD’li güvenlik uzmanlarının yalnızca yüzde 4’ünün kendilerini Hispanik ve yüzde 9’unun Siyah olarak tanımladığını ortaya çıkardı.
Etnik ve kültürel açıdan farklı adaylara kur yapmak için, iş tanımlarına, genellikle işe alma havuzlarının dışında bırakılan gruplara ilgi duyduğunu açıkça belirten bir dil ekleyin. Adaylara, şirketin herkes için sıcak bir ortam yarattığını ve siber güvenlik yeteneğinin profesyonel gelişimini teşvik ettiğini bildirin. Ek olarak, CyberSN, Secure Diversity ve Blacks in Cybersecurity gibi farklı umutları açık pozisyonlarla eşleştiren kuruluşları arayın.
Güvenlik personelini alıkoymak: onlara parayı gösterin
Bir endüstri olarak siber güvenlik, bir saklama probleminden muzdariptir. Kapor Center’dan yapılan bir araştırma, yüksek cironun teknoloji sektörüne yıllık 16 milyar dolardan fazlaya mal olduğunu tahmin ediyor. Bu tür ciroların merkezinde zehirli işyeri kültürü vardır. Ankete katılan çalışanların yaklaşık yüzde 40’ı, şirketlerinden ayrılma kararlarında adaletsizlik veya kötü muamelenin önemli bir rol oynadığını söyledi.
İş yükü, terfi ve ücret için adil politikalar oluşturmanın yanı sıra tüm çalışanlara haysiyet ve saygıyla davranmak, işletmelerin yetenekli güvenlik personeline bağlı kalmasına yardımcı olabilir. Diğer stratejiler şunları içerir:
- Çalışanların iş içinde kariyer gelişimlerini öngörebilmeleri ve gerçeğe dönüştürebilmeleri için bir halefiyet planına sahip olmak.
- Kıdemsiz personelin kıdemli personeli gölgelemesine ve kariyerlerinin bir sonraki aşamasının nasıl olabileceğini hayal etmesine olanak tanıyan bir mentorluk programı oluşturmak.
- Güvenlik personeline, seslerinin duyulduğunu hissetmeleri için projelerin planlama aşamalarına dahil olma fırsatları sunmak.
- Tükenmişliği önlemek için çalışanlara zihinsel sağlık ve kişisel günler de dahil olmak üzere refah için bolca izin vermek.
- Rekabetçi teklifleri uzak tutmak için hibrit veya uzaktan çalışma programı da dahil olmak üzere esnek ofis içi saatlere izin verme.
Son olarak, kaliteli çalışanları çekmek ve elde tutmak için kritik öneme sahip olan, rekabetçi bir maaş sunmaktır. (ISC)²’ye göre şu anda ABD’deki siber güvenlik profesyonellerinin ortalama maaşı 135.000 ABD dolarıdır. Çalışma aynı zamanda güvenlik çalışanlarının yüzde 27’sinin sektöre yüksek kazanç potansiyeli ve güçlü tazminat paketleri için girdiğini gösteriyor.
Hem piyasa trendlerine hem de artan karmaşıklık ve siber saldırı sıklığıyla ilgili artan sorumluluklara ayak uydurmak için maaşlar artırılmalıdır. Bir teknoloji işe alma platformu olan Dice’ın 2021 raporuna göre, 2020 ile 2021 arasında bazı siber güvenlik maaşları yüzde 16’dan fazla artarak altı rakamın çok üzerine çıktı.
MSP’ye ya da MSP’ye değil
Her büyüklükteki kuruluş siber suçluların hedefindedir, ancak KOBİ’ler orantısız bir şekilde siber saldırıların ağırlığını hisseder. 2022 Devirler raporu, KOBİ’lerin yüzde 60’ının geçen yıl en az bir saldırı yaşadığını ve yüzde 18’inin altı veya daha fazlasına katlandığını ortaya koydu. Ancak, yanıt verenlerin yüzde 44’ü kapsamlı, güncellenmiş bir olay müdahale planına sahip olmadıklarını belirtti. Dalgalı ekonomik suların yanı sıra 2023, siber güvenlik savunmalarını desteklememiş KOBİ’ler için mükemmel bir fırtına olabilir.
KOBİ’ler geleneksel olarak işletmelerden daha az kaynağa sahiptir, ancak daha fazla saldırıya maruz kalmaktadır. KOBİ’lere yönelik en büyük tehditler arasında kimlik avı, kimlik bilgisi hırsızlığı ve fidye yazılımı yer alır; ikincisi, düzgün bir şekilde engellenmediği takdirde küçük bir işletmeyi iflas ettirebilir. KOBİ’lerin güçlü güvenlik korumalarına ihtiyacı var, ancak yüzde 40’tan fazlasının dahili BT personeli yok ve bu işletmelerin çoğunda sadece bir uzman görev yapıyor.
Endüstri, ulusal ve uluslararası güvenlik ve gizlilik düzenlemelerini korurken sürekli genişleyen dijital tehdit yüzeylerini güvence altına almanın artan karmaşıklığı, birçok KOBİ’yi can simidi olarak yönetilen hizmet sağlayıcılara (MSP’ler) yönelmeye yöneltti.
MSP’ler, küçük işletmelerin enfeksiyonlara karşı koruma sağlamak ve tehditlere maruz kalmayı azaltmak için tam teşekküllü bir güvenlik ekibini uygun maliyetli bir şekilde tamamlamasına veya yerine geçmesine olanak tanır.
MSP’lerin güvenlik sorunlarının üstesinden gelmelerine yardımcı olmada kritik ortaklar olabileceğini kabul eden birçok KOBİ, bu yıl yönetilen BT ve güvenlik çözümlerine yatırımlarını artırmayı planlıyor. Süreç dijitalleştirmeye, buluta geçişe, COVID sonrası işbirliğine, analitiklere, uyumluluğa ve çok yönlü daha iyi güvenliğe yönelik yaygın ve artan ihtiyaç, KOBİ’lerden siber güvenlik alanında harici uzmanlık için güçlü talep yaratıyor.
MSP çözümlerine yapılan KOBİ yatırımı, yalnızca 2023’teki şiddetli dijital tehditlere karşı bir kalkan sağlamakla kalmayacak, aynı zamanda kuruluşların işbirliğini ve etkileşimi geliştirirken iş hedeflerine ulaşmalarına yardımcı olacaktır. Kuruluşunuzun çeşitli bir güvenlik ekibi kiralamak için bütçesi olsun veya karmaşık güvenlik ihtiyaçlarını karşılamak için bir MSP’ye ihtiyacı olsun, kapsamlı korumaları yönetmek ve dağıtmak için yetenekli profesyonellere sahip olmanız işinizin yeni yılda ve gelecek yıllarda başarılı olmasını sağlayacaktır.
Malwarebytes’in Yönetilen Hizmet Sağlayıcı Programı hakkında daha fazla bilgi için özel MSP portalımıza göz atın.