ISC2’nin son araştırmasına göre siber güvenlik sektörü, tehdit ortamı geliştikçe ciddi bir yetenek açığıyla karşı karşıya kalmaya devam ediyor ve beceri açığı giderek artıyor. Aslında kuruluş, küresel siber güvenlik iş gücünün 2022’de 4,7 milyon kişiyi kapsayacak şekilde büyüdüğünü ancak 2021’e göre %26’nın üzerinde bir artışla 3,4 milyondan fazla güvenlik uzmanına hala ihtiyaç olduğunu tespit etti.
Artan bu kıtlığın arkasında ne var? Kuruluşların daha fazla ölçek ve esneklik elde etmek için yaklaşımlarını bulut öncelikli stratejilere kaydırdıklarını görüyoruz. Aynı zamanda birden fazla bulut teknolojisi sağlayıcısı ve birden fazla veritabanı sağlayıcısı kullanıyorlar; bu da daha fazla iş, daha fazla uyarı ve daha fazla veri anlamına geliyor. Bu, karmaşıklık nedeniyle yeni araçlara, uygulama ve becerilerde değişikliklere ve genel katılıma ihtiyaç yaratır. Üstelik günümüzün ekonomik ortamında CISO’ların talebi karşılayabilecek bütçeleri veya yeterli personeli yok. Bu, büyüklükleri ne olursa olsun tüm kuruluşları etkiliyor ve kısmen genişleyen ve gelişen tehdit ortamından kaynaklanıyor. Yalnızca 2022’de veri ihlali sayısı 1.802 olurken, veri ihlali 422 milyon kişiyi etkiledi.
CISO Rolü Üzerindeki Etki
Bu yetenek eksikliği sadece kuruluşları değil aynı zamanda CISO rolünü de etkiliyor. Günümüzde CISO’lar, sürekli gelişen yasal ve düzenleyici sorumlulukların yanı sıra denetimler, üçüncü taraf risk değerlendirmeleri ve gerekli satıcı durum tespitinden kaynaklanan iş yükündeki ve daha büyük hacimli idari işlerdeki değişimle başa çıkıyor. Örneğin, iki yıl önce bir müşteriden üçüncü taraf değerlendirmesi yapmak için muhtemelen ortalama iki saat harcadım. 2022’de bu süre yaklaşık sekiz saate çıktı ve bazılarında 30’dan fazla personel saati gerekti. Her CISO’nun sorumlu olabileceği şeyler farklılık gösterse de, bu modelin çoğu CISO’nun deneyimlerini taşıdığına inanıyorum.
Pek çok işletme, gelişen gizlilik düzenlemelerini çözmeye çalışırken, aynı zamanda veri koruma ve verilerin en iyi şekilde nasıl kullanılacağı konusunda danışmanlık sağlamak için CISO’lara da güveniyor. CISO’lar için bu, ek sorumluluklar ve odak noktalarını verileri korumaktan yasal kullanımını sağlamaya kaydırmak anlamına geliyor. Gizlilik, eyaletten eyalete ve ülkeden ülkeye değişen kurallara sahip yasal bir zorunluluktur ve yasal ve etik kullanımının sağlanması çoğu zaman birden fazla beceri seti ve kaynağın hayata geçirilmesini gerektirir. Bir CISO, yeni bir gizlilik programı başlatmak için en iyi kaynak olabilir, ancak sonuçta onların ofisi olgun bir program için doğru yer değildir. Gizlilik, şirket verilerine, bu verilerin nasıl ve neden kullanıldığına ilişkin en derin bilgiye sahip kişiler tarafından en iyi şekilde uygulanır.
Potansiyel yeni gizlilik yükünün yanı sıra güvenlik tehditleri ve ihlalleri de artmaya devam ediyor. CISO’ların ve güvenlik ekiplerinin yalnızca harekete geçmekle kalmayıp aynı zamanda hızlı hareket etme riski de her zamankinden daha yüksek. Buluta hızlı geçiş, geleneksel veri merkezleriyle sağlanandan daha düşük görünürlük nedeniyle birçok ekibin müdahale yetenekleri konusunda kendilerini rahat hissetmelerini zorlaştırdı. Modern, bulut öncelikli veri güvenliği araçları mevcuttur, ancak bunlar başlangıçta veri operasyon ekipleri için geliştirildiklerinden CISO dostu olmayabilirler. Sorun, daha dağınık veri kaynakları ve veri sağlayıcıları nedeniyle daha da kötüleşiyor ve veri bağlamının anlaşılmasını neredeyse imkansız hale getiriyor.
Veri bağlamı (verilerin tüm bağlantılarını ve kesişimlerini ve bunların her birinin değerini veya riskini, bir yan ürün olarak dahi olsa anlamak), olaylara müdahaleyi önceliklendirirken önemli bir değere sahip olabilir. Günümüzde çoğu güvenlik kuruluşu, anlayabilecekleri ve eyleme geçebilecekleri bir dilde veya çıktıda ihtiyaç duydukları bağlama sahip değil; veri operasyon ekipleri için de durum tam tersi: Verileri anlıyorlar ancak gizlilik ve güvenlik gereksinimleri konusunda yardıma ihtiyaçları var.
Siber Güvenlik Becerileri Açığının Doldurulmasına Yardımcı Olacak Etkili Stratejiler
Bu beceri eksikliği karşısında kuruluşların insan yeteneği eksikliğini tamamlamak için atabileceği birkaç adım var. Öncelikle güvenliği iş kültürlerinin bir parçası olarak benimsemeleri gerekiyor; bu da üst düzey yöneticilerden pazarlamaya ve veri uygulayıcılarına kadar işin tüm kollarını güvenlikle ilgili en iyi uygulamalar konusunda eğitmeye çalışmaları gerektiği anlamına geliyor. Bu, mevcut yetenek hacminde eksik olanı güçlendirecek ve kuruluş çapında daha fazla uyum yaratarak güvenliğin üstesinden birlikte gelmelerini sağlayacaktır.
CISO rolünü yükseltmek ve onu üst düzey liderlik ekibinin ve hatta yönetim kurulu odasının bir parçası haline getirmek de kritik öneme sahiptir, ancak bu raporlama yapısıyla daha az, görünürlükle daha fazla ilgilidir. Yeni kurallar ve düzenlemeler, işletmelerin iç güvenlik standartlarını ve ölçümlerini nasıl raporladıklarına daha fazla odaklanıyor. CISO’ların, ek ekip üyeleri ekleme ve iş için doğru kişileri işe alma konusunda bir gerekçe oluşturabilmeleri için bu standartları ve ölçümleri etkili bir şekilde iletmek üzere yönetim kurulu odasında bir sıraya sahip olmaları gerekir.
Ayrıca kuruluşlar, daha sıkı teknoloji bütçelerine rağmen otomasyona yatırım yapmaya devam etmelidir. İşletmeler, daha sıkıcı arka uç işlerini halleden, ayrıntılı analiz ve sonraki adımları sağlayan araçlardan yararlanarak, geniş ölçekte güvenliği sağlarken pahalı insan işgücü maliyetlerini de azaltabilir. Bu araçlar aynı zamanda ekiplerin daha değerli işlere ve projelere odaklanmasını mümkün kılarak yeteneklerin elde tutulmasına katkıda bulunur. Bugün, hangilerinin kritik olduğunu belirlemek için uyarıları incelemek için sayısız saatler harcanıyor. Bunun gibi sıradan görevlerin otomatikleştirilmesiyle ekip üyeleri yüksek değerli projelere daha fazla zaman harcayabilir, bu da kendilerini daha tatmin olmuş hissetmelerine ve ayrılma olasılıklarının azalmasına neden olabilir.
Daha fazla siber beceriye olan talebin yakın zamanda ortadan kalkmayacağı açık. Biden yönetiminin siber stratejisi gibi yeni talimatların yürürlüğe girmesiyle birlikte teknoloji şirketleri ve hizmet sağlayıcılar, kamu sektörü müşterileri ve nihayetinde onların hizmet sağlayıcıları tarafından daha da fazla incelemeye tabi tutulacak. Bu baskı, ekosistem genelinde güvenlik konusundaki aciliyeti arttırdığından birçok açıdan bu olumludur. Ancak kuruluşlar, insan yeteneği eksikliğini giderecek yöntemlere yatırım yapmalıdır. Şimdi gelecekte işlerini ve müşterilerini daha da büyük bir riske sokmamak için.