Siber güvenlik becerileri krizi, kuruluşların %71’ini etkileyen ve siber güvenlik uzmanlarının üçte ikisinin son iki yılda işin daha da zorlaştığını belirtmesine neden olan çok yıllık bir serbest düşüşle devam ediyor; kuruluşların %60’ı ise sorumluluktan kaçmaya devam ediyor. ESG ve ISSA’nın yeni bir raporuna göre.
Giderek zorlaşan bir ortamda siber güvenlik alanında kariyer yapmak giderek zorlaşıyor
Ankete katılanların %66’sı siber güvenlik uzmanı olarak çalışmanın son 2 yılda daha da zorlaştığını düşünüyor, %27’si ise çok daha zor olduğunu belirtiyor. İş yükünün karmaşıklığı, personel sıkıntısı ve bütçe açıkları gibi iç sorunlar, tehlikeli tehdit ortamı ve mevzuata uyum zorlukları gibi dış sorunlarla birleşerek bu mesleği giderek daha da zorlaştırdı.
Ankete katılanların %81’i, kariyerlerinin artık daha zor olmasının nedeni olarak artan siber güvenlik karmaşıklığını ve iş yükünü belirtiyor. %59’u genişleyen saldırı yüzeyi nedeniyle siber saldırıların arttığına işaret ediyor ve %46’sı siber güvenlik ekibinin yeterli sayıda personele sahip olmadığını belirtiyor.
%43’ü bütçe baskılarının ve mevzuata uyum karmaşıklığının arttığını ve daha fazla zorluk yarattığını kabul ediyor. Siber güvenlik profesyonellerinin %8’i, kuruluşlarında işlerini zorlaştıran bir veya daha fazla yıkıcı güvenlik olayı yaşadı.
Çoğu siber güvenlik uzmanı kariyer seçimlerinden pek memnun değil
Siber güvenlik uzmanları, yoğun bir iş yükü, ilgisiz işletme yöneticileriyle çalışma, iş girişimlerinin gerisinde kalma ve yeni BT projelerinin güvenlik ihtiyaçlarına ayak uydurma gibi günlük iş stresiyle karşı karşıyadır. O halde neden güvenlik profesyonellerinin yarısından azının mevcut işlerinden çok memnun olduğuna ve güvenlik profesyonellerinin %50’sinin bu yıl mevcut işlerinden ayrılacaklarının çok muhtemel, muhtemel veya bir şekilde muhtemel olduğunu iddia etmelerine şaşmamak gerek.
Küresel siber güvenlik beceri eksikliği azalmadan devam ediyor
Kuruluşların %71’i, siber güvenlik becerileri eksikliğinin kendilerini etkilediğini bildiriyor; son araştırmadaki %57’ye göre ciddi bir artış, siber güvenlik ekibinin iş yükünün artmasına (%61), doldurulmamış açık iş taleplerine (%49) ve yüksek iş yüküne yol açıyor. Katılımcılara göre personel arasında tükenmişlik (%43) var.
Dahası, ankete katılanların %95’i siber güvenlik becerileri eksikliğinin ve buna bağlı etkilerin son birkaç yılda iyileşmediğini belirtirken, %54’ü (2021’e göre %10 artışla) durumun daha da kötüleştiğini söylüyor. Katılımcılar, güvenlik becerileri eksikliğinin en şiddetli olduğu alanları belirlemeleri istendiğinde uygulama güvenliği, bulut güvenliği ve güvenlik analizi ve araştırmalarına dikkat çekti.
Katılımcıların %60’ı kuruluşlarının siber beceri eksikliğini azaltmak için daha fazlasını yapabileceğine inanırken, %36’sı çok daha fazlasını yapabileceklerini belirtiyor. Katılımcılar, kuruluşlarının güvenlik profesyonellerinin ücretlerini artırabileceğini, gelişmiş parasal olmayan teşvikler sağlayabileceğini, İK profesyonellerini ve işe alım görevlilerini eğitebileceğini ve devam eden beceri eksikliğini daha iyi gidermek için siber güvenlik eğitimlerine olan bağlılıklarını artırabileceğini söylüyor.
CISO’lar sorumluluğu üstlenmeli
CISO’ları başarılı kılan nitelikleri belirtmeleri istendiğinde %71’i liderlik veya iletişim becerilerine işaret etti. CISO’nun etkinliği değişkenlik gösteriyor – Yanıt verenlerin %31’i CISO’larının çok etkili olduğunu iddia ediyor, %40’ı CISO’larının etkili olduğuna inanıyor ve %26’sı CISO’larının kısmen etkili olduğunu söylüyor.
Anket katılımcılarına ayrıca kuruluşlarının siber güvenlik programlarını nasıl iyileştirebilecekleri de soruldu. En önemli yanıtlar arasında BT ve güvenlik uzmanları için siber güvenlik eğitimlerinin artırılması, kuruluşun siber güvenlik kültürünün iyileştirilmesi, daha fazla personelin işe alınması, siber güvenlik bütçesinin artırılması ve temel güvenlik hijyeni ve duruş yönetiminin iyileştirilmesi yer aldı.
ISSA International Yönetim Kurulu Başkanı Candy Alexander şunları söyledi: “Kuruluşların çoğunluğu için siber güvenlik, iş kolaylaştırıcı veya büyüme etkeni olmaktan ziyade bir maliyet merkezi veya uyumluluk zorunluluğu olarak görülmeye devam ediyor.” “Siber güvenlik uzmanları, aşırı çalışma, aşırı stres ve yetersiz personele rağmen kurumu korumakla görevlendiriliyor. Kuruluşların ‘yeterince iyi güvenlik’ yapmaktan kurtulabilecekleri bir dönem vardı, ancak o günler geride kaldı. Acımasız, AI destekli siber saldırılar ve genişleyen saldırı yüzeyleri, yetersiz yatırım yapılan siber güvenlik programlarını alt edecek ve aşacak yeni sorunların bir örneğidir. Üst düzey yönetimin, iş hedeflerinin ancak siber güvenliğin işletmelerinin günümüzün tehdit ortamında her gün başarılı bir şekilde faaliyet göstermesine olanak sağlaması durumunda mümkün olabileceğini anlaması gerekiyor.”