Bilgi güvenliği endüstrisinde konsolidasyon
Bilgi güvenliği sektörü “sıcak” olduğu için, herkes harekete geçmeye çalışırken sektöre yatırım aktı. Her alanda birden fazla araç vardır; hepsi başarılı olamaz. Ayrıca, büyük oyuncular muhtemelen küçük oyuncuları satın alarak tekliflerini artıracaktır. Bu, teknoloji genelinde olur ve (sanki) durgunluklar ısırmaya başlar gibi, bazı pazarlıklar yapmak için iyi bir zaman. Ayrıca, bazı araçlar özellikle iyi değildir; hepsi gerçek bir çekiş elde etmek için çok küçük bir boşluğu dolduruyor. Son olarak, bütçeler daraldıkça, muhtemelen bazı zayiatlar olacaktır.
Siber güvenlik işe alım piyasası bir gerçeklik kontrolüne sahip olacak
Bir numarada olduğu gibi, bilgi güvenliği işleri de “sıcak” ve bir süredir böyle. Bir eksiklik, çeşitli sertifikaların ortaya çıkmasına yol açtı – hepsi de hayalinizdeki işe girmenize yardımcı olduğunu iddia ediyor – bunların çoğu gerçek dünyada pek kullanışlı değil. Buna bağlı olarak, bütçeler küçüldükçe çılgın maaşlar ödenmeyecek, bu da muhtemelen insanların sertifikaları çılgın maaşa geri dönmenin bir yolu olduğunu düşünmeleri anlamına gelecek ve bu kısır döngüye giriyoruz. Infosec’te, bazıları işleri için daha fazla eğitime/deneyime ihtiyaç duyan birçok insanımız var. Buna sahip değiller, bu yüzden (yanlış kararlar vererek) daha fazla risk getiriyorlar ve bu da bu sorunu daha da artırıyor.
Saldırı yüzeyi yönetim araçları ortadan kalkacak
Saldırı yüzeyi yönetimi güzel ve “akıllıca” idi, ancak bu platformların şu anda yaptıklarının %90’ını yapan diğer araçlar tarafından tüketilecek. Kulağa alaycı gelmiyor ama bunların çoğunun risk sermayedarlarının hızlı para kazanmak için yaptıkları çoğunluğa dayalı oyunlar olduğundan şüpheleniyorum. Araçlar, standart araçların sahip olmadığı bir veya iki özellik ekler. Umarım bu, birinin bu şirketleri satın alması için yeterli bir sebeptir. Bu alandaki tüm ürünlerin kötü olduğunu söylemiyorum ama ne kadar değer kattıklarını veya neden bunu ayrı bir ürün olarak ortaya çıkarmamız gerektiğini merak ediyorum.
Daha fazla kişi ofise dönecek
Ofise dönüş kaçınılmazdır – ofisler maliyetlidir, şirketlerin onlardan geri dönüş alması gerekir ve Zoom üzerinden fikir tesadüfleri oluşmaz. Geçtiğimiz iki yıl boyunca, uzaktan erişim şirketler için kritik öneme sahipti ve müşterilerin ilgilendiği alanlarda arttığını gördük. İnsanlar ofise dönecek ve öncelikler muhtemelen değişecek. Bu da, muhtemelen, uzaktan erişim sistemlerinin daha güçlü bir şekilde yama yapılmasına ihtiyaç duymasına yol açacaktır.
Hükümet daha fazla düzenleme getirecek
Hükümetin birçok iyi fikri var ama ne yazık ki bunlar esas olarak tüm büyük oyunculardan etkileniyor, bu da şirketlerin %5’i için pratik şeyler aldığımız anlamına geliyor. Şu anda SBOM (software bill of materials) çok popüler ve ilk maddeye göre araçları zaten bu alanda görüyoruz. Bulabildiğimiz kitaplıklara, onlar için yayınlanan CVE’lere vb. sahip açık kaynaklı yazılımlar için iyi bir fikir. Ancak dev ticari kullanıma hazır yazılım parçaları için bunun o kadar kolay olduğundan emin değilim. Ayrıca, bu daha küçük yazılım üreticileri için ciddi bir ek yük olacaktır.
Aynı zamanda, muhtemelen bazıları yardımcı olabilecek ancak gerçekliğe dayandırılması gereken daha fazla yasanın çıkarıldığını göreceğiz. Özel sektör bunlardan haberdar olacak ve “geçişte onları engellemeye” çalışacak (bunun geçmişte olduğunu biliyoruz). Uzun vadede, bu inisiyatifler sonunda kâr amaçlı egzersizler ve dolayısıyla oynamak için ödeme yaptıkları için bu da yardımcı olmuyor.
Örneğin, tüm sektör için bazı değerli istihbaratlarımız vardı, bilgi paylaşımından sorumlu kuruluşa gittik ve ücretsiz olarak sağlamayı teklif ettik (kelimenin tam anlamıyla bir e-posta yazın ve paylaşabilirler). Ancak bize, bir konferansta konuşmak için 20 bin dolar ödersek bilgiyi paylaşabileceğimiz söylendi. Size birisinin evinizi nasıl ateşe vereceğini anlatmak istiyorum ama bunu ancak ev sahipleri derneğinize ödeme yaparsam yapabilirim.