Siber güvenliğe yatırım yapma telaşı yerini ekonomik ters rüzgarlara bırakıyor ve bir maliyet merkezi olarak görülen siber güvenlik, bütçe kesintilerini yakından izliyor.
2023’teki bu kargaşanın siber güvenlik tedarikçi ortamını olumsuz etkileyerek bir konsolidasyon çılgınlığına yol açması bekleniyor. Hatta bir CISO, potansiyel pazar hareketinin bir kısmını bir yangın satışına eşitledi.
Kaynaklar kısıtlı olsa bile, siber güvenlik yöneticilerinin yönetmeliklere uyması beklenir. CISO’nun masasından, Uber’in CISO’sunun geçen yıl verdiği suçlu kararının ardından durum tespitinin ne anlama geldiğine de büyük ilgi var.
Siber Güvenlik Dalışı, araştırmacılara ve analistlere bu yıl siber güvenlik işinde ne görmeyi beklediklerini sordu. Dört uzmanın verdiği yanıt şu şekilde:
(Yanıtlar uzunluk ve netlik için düzenlendi)
Dell’Oro Group araştırma direktörü Mauricio Sanchez:
Satıcı ve çözüm konsolidasyonu devam edecek. Pozitif pazar ivmesine sahip büyük satıcılar, pazardaki daha küçük balıkları kapsadıkça daha da büyüyecektir.
Güvenlik, yönetim kurulu düzeyinde bir görüşme olduğundan ve bütçe önceliğine sahip olduğundan, güvenlik bütçeleri 2023’te büyük ölçüde etkilenmeyecek. Bir ihlal nedeniyle manşetlere çıkmak istememenin yanı sıra, Uber CISO’nun mahkumiyeti durum tespiti ne anlama geldiği konusunda şok dalgaları yarattı.
Güvenlik bütçeleri etkilenmeden kalsa bile bütçelerin nasıl harcandığı değişmeye devam edecek. Kuruluşlar, geleneksel güvenlik altyapısına (örneğin güvenlik duvarları) daha az, hibrit çalışma ve bulut uygulamalarının güvenliğini sağlamak için bulut tarafından sağlanan, SaaS tabanlı güvenliğe daha fazla odaklanacak.
Mary galliganDeloitte’un ABD siber kriz yönetimi lideri
Siber tehdit ortamı gelişmeye ve daha karmaşık hale gelmeye devam ettikçe, yönetim kurulunun siber risk gözetiminde oynadığı rol giderek daha önemli hale geliyor.
Kuruluşlar sürekli büyümenin yanı sıra müşteri güvenine de öncelik verdiğinden, yönetim kurulu siberi müşteriler, satıcılar, çalışanlar ve hissedarlar arasında daha güçlü ilişkiler geliştirmek için stratejik bir kolaylaştırıcı olarak konumlandırmaya yardımcı olabilir.
Sağlam bir siber güvenlik duruşunun doğrudan mali etkiye sahip olabileceği değeri kabul etmek, kurulların siber güvenlik risk yönetimi faaliyetlerini daha etkin bir şekilde denetlemesine olanak tanır.
Son SEC önerileri yönetişimi, risk yönetimini, stratejiyi ve yatırımcılara zamanında bildirimi vurgulamak, liderleri bu girişimlerin merkezinde siber risk ve yönetim kurulu ile mevcut ve gelecekteki iş modellerini geliştirmeyi ve şekillendirmeyi düşünmeye teşvik etmelidir.
Digital Shadows’ta CISO ve stratejiden sorumlu Başkan Yardımcısı Rick Holland:
Ekonomik ters rüzgarlar, siber güvenlik satıcısı manzarasında türbülansa yol açacaktır. Bazı satıcılar turları artıracak, diğerleri ise artık bedava para çağı sona erdiği için iflas edecek.
Güvenlik alıcıları, siber güvenlik girişimlerini düşünürken durum tespiti yapmalıdır. Dünün havalı yeni satıcısı, yarının önemli satışı olabilir.
Ekonomi aynı zamanda konsolidasyonu da yönlendirecek, dışarıda 4.000’den fazla siber güvenlik satıcısı var ve hayatta kalanların çoğu diğer satıcıların platformlarında özellik haline gelecek.
Lucia Milica, Prova noktası küresel yerleşik CISO:
Akranlarımla konuşurken, CISO’nun rolünün gelecek yıl daha da önem kazanacağını görüyorum. Başarılı siber saldırıların sayısı ve oluşturdukları yaygın hasar, yeni düzenleyici incelemelerle birlikte kaynama noktasına ulaşıyor.
ABD Menkul Kıymetler ve Borsa Komisyonu’nun önerdiği raporlama gereklilikleri, halka açık şirketleri çok daha şeffaf olmaya ve siber savunmalarını güçlendirmeye zorlayacak. Bütün bunlar CISO’ya düşecek.
Eski Uber CISO için verilen son suçlu kararının da kanıtladığı gibi, bir ihlal olması durumunda suçlamanın yanı sıra yeni sorumluluklar da olacak. Sektörümüz zaten kalifiye profesyonelleri işe almakta zorlanıyordu, bu nedenle bu tür kararlar daha da büyük zorluklar yaratıyor.
CISO artık gündemdeyken, yönetim kurullarıyla olan ilişki değişmelidir. …
Potansiyel kişisel sorumluluğun artan baskıları, yalnızca yönetim kurulu-CISO ilişkisindeki gerilimi artıracak ve bir kuruluşun güvenliği için büyük sonuçlar doğuracaktır. Ana kopukluk, her iki tarafın da aynı iş dilini konuşmamasıdır.
CISO’lar, siber güvenlik açıkları ve risklerinin öyküsünü liderlikte yankı uyandıracak şekilde anlatmayı öğrenmelidir. Bu konuşmalar, güvenliğin teknik jargonu yerine düzenli olarak ve iş diliyle yapılmalıdır.