Bugün Adarma’nın yeni araştırması, kuruluşların stresli ve bitkin personel nedeniyle önemli bir siber saldırı riski altında olduklarına inandıklarını ortaya çıkardı. “Yanlış Bir Siber Güvenlik Anlayışı: Kendinizi Güvende Hissetmek İşletmenizi Nasıl Sabote Edebilir?” başlıklı rapor, konu güvenlik, beceri eksikliği ve kötü sağlık olduğunda siber güvenlik profesyonellerinin karşılaştığı endişeyi vurguluyor. Ayrıca rapor, yetenek havuzunu çeşitlendirmenin beceri açığını kapatmada ve inovasyonu teşvik etmede ne kadar etkili olabileceğini vurguluyor.
Rapor, siber güvenlik alanındaki pek çok konuşmanın ön planda ve merkezinde refahın nasıl yer almaya devam ettiğini vurguluyor. Tükenmişlik önemli bir risk oluşturmaya devam ediyor ve işte var olamamanın (yapmamanız gerektiği halde işe gelmeniz) maliyetli bir sorun olduğunu kanıtlıyor. Ancak güvenlik (ve sonuç) dengede kaldığında, liderlerin hemen harekete geçmesi hayati önem taşıyor.
Adamma anketi, 2000’den fazla çalışanı olan Birleşik Krallık kuruluşlarından 500 siber güvenlik uzmanıyla görüştü. Adamma, kuruluşların yarısından fazlasının (%51) güvenlik operasyonları personelinin zorlandığına, strese girdiğine, hüsrana uğradığına ve/veya bitkin olduğuna inandığını, dolayısıyla bunun yalnızca bir zaman meselesi olduğunu ortaya çıkardı. hatalar yapılmadan ve bazıları tükenip bırakmaya hazır olmadan önce. Siber güvenlik endüstrisinin halihazırda yetenek edinme ve elde tutma konusunda önemli ölçüde mücadele ettiği bir dönemde, kuruluşların tükenmişlik nedeniyle personelini kaybetmeyi göze alamayacağını söylemeye gerek yok.
Mindful Security refah ve üretkenlik uygulaması The Zensory’nin Kurucu Ortağı Yvonne Eskenzi şöyle açıklıyor: “Siber güvenlik profesyonellerinin tükenmiş olduğu ve muhtemelen zihinsel sağlık sorunlarıyla karşılaşacağı bir sır değil. İstatistikler (bu Adarma’nınkiler gibi) bunun gerçekliğini gösteriyor. Sektör, ne pahasına olursa olsun hayatlarını başkalarını ve çalıştıkları işletmeleri korumaya adamaya istekli yüksek vasıflı profesyonelleri kendine çekiyor.”
“Bu genellikle uygun olmayan zamanlarda uzun saatler çalışmak ve çoğu zaman daha büyük iyilik için fedakarlık yapmak anlamına gelir. Sektörün sert gerçeği, siber suçluların uyumaması ve tehditlerin sürekli olarak gelişmesidir; bu, herkesi geceleri uyanık tutmak için yeterlidir. Ancak bu kadar riskli bir sektörde kötü ruh sağlığının çok büyük (ve maliyetli) etkileri olabilir. Stresli çalışanların, kimlik avı e-postalarına kanmak, liderler ve işletmeleri üzerinde daha fazla baskı oluşturmak gibi aptalca hatalar ve dürüst kazalar yapma olasılıklarının daha yüksek olduğunu biliyoruz,” diye devam ediyor Eskenzi.
Adarma’nın CEO’su John Maynard, Eskenzi’nin görüşünü yineliyor: “Siber güvenlik profesyonelleri genellikle son derece tutkulu insanlardır; kuruluşlarını koruma konusunda güçlü bir kişisel görev duygusuna sahiptirler ve sıklıkla rollerinin ötesine geçerler. Ancak doğru destek ve kaynaklara erişim olmadan, nasıl hızla kendi tutkularının kurbanı olabileceklerini görmek kolaydır. Baskı yüksek ve güvenlik ekiplerinin personeli genellikle yetersiz olduğundan, birçok siber güvenlik uzmanının hayal kırıklığı, tükenmişlik ve sürdürülemez stres bildirmesi anlaşılabilir bir durumdur. Sonuç olarak kurumu olumsuz etkileyecek hataların yapılma olasılığı artar. İş dünyası liderleri, ekiplerinin asıl göreve, yani organizasyonu korumaya odaklanabilmesi için bu boşlukları kapatacak fırsatları belirlemelidir.”
Peki güvenlik uzmanları çözümün ne olduğuna inanıyor? Kesinlikle hızlı veya kolay bir düzeltme olmasa da bulgular, siber güvenlik işe alımlarında çeşitliliğin önemini ve değerini ortaya çıkardı. İyimser bir yaklaşımla, profesyonellerin üçte ikisi (%66) daha geniş, daha çeşitli bir yetenek havuzundan işe alım yapmanın siber güvenlik beceri eksikliğini gidermede önemli bir yardım sağlayacağına inanıyor. Ayrıca %35’i çeşitlilik stratejileri için üçüncü taraf bir sağlayıcıyla çalışmayı ve daha çeşitli yeteneklerden oluşan bir ekipten yararlanmayı düşünüyor. Aslında siber güvenlik profesyonellerinin neredeyse üçte ikisi (%61) farklı bakış açılarının ve temsil çeşitliliğinin eksikliğinin onları geride tuttuğuna inanıyor.
Advanced Cyber Defense Systems (ACDS) CTO’su Elliott Wilkes, ekiplerde düşünce çeşitliliğinin önemine dikkat çekiyor: “Teknoloji ve siber güvenlik alanında çalışan erkeklerin sayısının kadınlardan daha fazla olduğu bir gerçek. Bu nedenle, endüstri çok uzun süredir ‘maçoluk’ kültürü üzerinde geziniyor… Etki sahibi ve çoğunluk konumundaki insanlar olarak (erkekler olarak ama özellikle beyaz erkekler olarak) ihtiyacımız olan şey, ne zaman geri adım atma zamanının geldiğini bilmek ve bırakın başkaları konuşsun. Ses çeşitliliği olmadan yenilik yapamayız ve teknoloji (ve siber güvenlik), sonuçta tamamen yenilik ve gelecekle ilgilidir.”
BT Güvenlik Gurusu ile yakın zamanda yapılan bir röportajın parçası olarak, Egress Tehdit İstihbaratından Sorumlu Başkan Yardımcısı Jack Chapman şunları söyledi: “Düşünce çeşitliliği çok önemlidir. Saldırganların her kesimden, hayatın her kesiminden geldiğini, çalışanları hedef aldığını görüyorsunuz, özellikle de bir sosyal mühendislik firmasında, bu nedenle bunu işletmenizin tamamında görmek önemlidir.”
Siber güvenlik ekipleri arasında beceri eksikliği, çeşitlilik ve kötü ruh sağlığının yaygınlığından kaynaklanan güvenlik riski, tükenmişlik ve yetenek eksikliğinin gerçek dünyadaki etkilerine örnek teşkil ediyor. Araştırma, siber güvenlik liderlerinin %40’ından fazlasının, karşılaştıkları tehditleri tam olarak anlama konusunda sınırlı yetenek ve uzmanlığa sahip olduklarını düşündüklerini, %43’ünün ise potansiyel tehditleri tespit etme ve bunlara yanıt verme konusunda çok az veya hiç yetenek veya uzmanlığa sahip olmadıklarını düşündüklerini ortaya çıkardı. BT ortamlarında. İlgili olarak, yanıt veren dört kişiden biri (%25) bir olaya etkili bir şekilde müdahale etme konusunda sınırlı kapasiteye veya uzmanlığa sahip olduklarını belirtti.
Adarma’nın CEO’su John Maynard şöyle devam ediyor: “Ekip yeteneği ve performansı için yapılabilecek en iyi şeylerden biri, onu çeşitli ve düşünceli bireylerle doldurmaktır. Yetenek havuzunu çeşitlendirerek yeni fikir akışı ve farklı bakış açıları inovasyonun önünü açabilir. Geleneksel olmayan işe alım yollarını keşfetmek, siber güvenlik alanındaki kariyerleri daha geniş bir aday yelpazesi için daha erişilebilir hale getirerek yetenek havuzunun daha da genişletilmesine yardımcı olacaktır. Bu, aşırı çalışan güvenlik ekiplerinin üzerindeki yükü hafifletirken aynı zamanda büyüme fırsatı da sağlayabilir. Aslında, güvenlik departmanı da dahil olmak üzere tüm işgücünün refahına öncelik verilmeli ve teknoloji ile insanlara güvenme arasında doğru dengenin kurulması gerekiyor. Sonuçta kuruluşların güvenlik savunmalarını güçlendirdiklerini, kaynak tahsisini optimize ettiklerini ve insanların yeteneklerine yatırım yaptıklarını görmek istiyoruz. Bu, gelişen tehdit ortamına karşı etkili bir şekilde koruma sağlayabilecek güçlü bir genel güvenlik duruşu üretecektir.”
Bu bulgulara dayanarak Adamma’nın raporu, güvenlik liderlerine ve ekiplerine bir kuruluşun genel siber güvenlik duruşunu iyileştirmeye yönelik önerilerle sonuçlanıyor. Anket, siber güvenlik profesyonellerinin %28’inin inovasyon kapasitelerinin sınırlı olduğuna inandığını ve %60’ının geride kalmanın temel nedenini beceri eksikliğine bağladığını ortaya çıkardı. Ancak güvenlik ekiplerinin kendilerini güçlendirmesinin uygulanabilir yolları vardır. Bunlar arasında verimliliği artırmak için güvenlik yığınını birleştirme, güvenlik aracı yapılandırmalarını düzenli olarak gözden geçirme, otomasyon ve yapay zekadan yararlanma ve siber güvenlik profesyonellerinin refahına yönelik desteğe yatırım yapma yer alıyor.