Chartered Institute of Information Security (CIISec) tarafından yapılan araştırmaya göre, siber güvenlik uzmanları sektörün “patlama” yaşadığını bildiriyor ancak personelin %22’si güvenli olmayan saatlerde çalıştığını belirtiyor. Güvenlik Mesleği Araştırması 2022-2023’te ortaya çıkan bu araştırma, sektörün şu andaki durumu hakkında fikir veriyor.
Ekonomik çalkantı zamanlarında endişelenmek doğaldır. Son istatistikler, halkın yaklaşık 10 üyesinden 1’inin, yaşam pahalılığı krizinin etkilerini yönetmeye yardımcı olmak için ‘yasadışı veya yasa dışı çevrimiçi davranışlara’ yönelmeyi düşündüğünü gösterdi. Bu, mali açıdan işler kötüye giderse birçok kişinin siber suça başvurabileceğini gösteriyor ki bu, zaten aşırı zorlanmış siber profesyoneller için kötü bir haber. CIISec raporu bunu destekliyor. Rapora göre, siber güvenlik uzmanları özellikle dolandırıcılık (%78 olarak belirlendi) ve içeriden gelen tehditlerden (%58) kaynaklanan riskin artmasından endişe duyuyor.
Peki tehditlerin artması durumunda en çok kim zarar görecek? Rapor, bundan en çok küçük işletmelerin etkileneceğini öne sürüyor. Daha az fonun olacağı göz önüne alındığında, tehditlere karşı korunmak için daha az kaynağa sahip olabilecekleri ve sonuçta bir saldırıya karşı daha az dayanabilecekleri ve daha az iyileşebilecekleri göz önüne alındığında.
Endişe, bir güvenlik uzmanının rolüyle el ele gidiyor gibi görünüyor; ekonomik durumlarla ilgili ekstra endişenin hiçbir faydası yok. Neyse ki, CIISec araştırması mesleklerin neredeyse %80’inin ‘iyi’ veya ‘mükemmel’ kariyer beklentilerine sahip olduğunu söylediğini ve %84’ten fazlasının sektörün ‘büyüdüğünü’ veya ‘patlama’ yaşadığını söylediğini ortaya çıkardı. Rapor, profesyonellerin güvenlik fonksiyonunun büyük ölçüde “durgunluğa dayanıklı” olduğuna inandığını iddia ediyor.
Ekonomik belirsizlik konusundaki iyimserliğe rağmen rapor, sektörün hâlâ stres ve aşırı çalışma gibi sorunlarla boğuştuğunu vurgulamaya devam ediyor. Ankete katılanların %22’si Birleşik Krallık Hükümeti tarafından zorunlu kılınan haftada 48 saatten fazla çalışıyor ve %8’i Dünya Sağlık Örgütü’ne göre güvenli ve güvensiz çalışma saatleri arasındaki sınırı işaret eden 55 saatten fazla çalışıyor.
Ayrıca Centripetal tarafından yapılan son araştırma, siber güvenlik profesyonellerinin %90’ının tatilde çalıştığını ortaya çıkardı. Profesyonellerin yalnızca %9’u izinleri sırasında iletişimlerini (Slack, e-posta, diğer iş iletişimleri) hiç kontrol etmediklerini söyledi.
Genellikle siber güvenliğin, profesyonellerin büyük sorumluluk hissettiği 24 saat süren bir uygulama olduğunu kabul ediyoruz. Centripetal anketi, ankete katılan siber güvenlik uzmanlarının neredeyse üçte birinin (%32) kişisel yaşamlarının her gece iş nedeniyle kesintiye uğradığını söylediğini ortaya çıkardı. Haftada en az bir kez etkilenip etkilenmedikleri sorulduğunda bu sayı %70’e çıkıyor. Açıkçası, profesyoneller kapatamazlar. Kişisel sorumlulukla ilgili soruların yeniden artmasıyla birlikte (Solar Winds CISO SEC vakasına bakın), profesyonellerin tükenmeye devam etmesi şaşırtıcı değil.
Bu yılın başlarında Cato Networks, CIO’ların BT tükenmişliğiyle doğrudan nasıl başa çıkabileceğine dair bir e-Kitap yayınladı. APAC’taki Cato Networks’ün Ürün Pazarlama Direktörü Demetris Booth, konuyla ilgili bir blogda, “sıradan faaliyetler döngüsünün” profesyonellerin kendilerini “rakipsiz” hissetmelerine neden olabileceğini öne sürdü.
“BT ekiplerinin zamanı sonsuz bakım ve izlemeyle doldurması yerine, CIO’lar BT ekiplerini daha büyük iş hedeflerine ulaşacak işlere odaklayabilirler. SASE, tekrarlanan görevleri otomatikleştirerek BT’nin stratejik iş hedeflerine odaklanmasını sağlar. Ayrıca tekrarlanan görevler, manuel hatalara daha az yatkın hale geliyor.”
Booth ayrıca üst düzey yöneticiler için endişenin genellikle yetenekleri elde tutma endişelerinden kaynaklanabileceğini öne sürüyor. Diyor:
“Yakın zamanda yapılan bir LinkedIn anketine göre, eğitim ve mesleki gelişim sağlamak BT profesyonellerinin başarılı olmasına yardımcı oluyor ve bu da onları görevlerinde daha uzun süre kalma konusunda motive edebiliyor. Bu faydalar, iş yerinde daha fazla tatmin elde eden BT profesyonellerinden, beceri boşluklarını dışarıdan doldurmak zorunda olmayan CIO’lara kadar her yerde ve herkes tarafından hissedilmektedir. Bu, kuruluşun teknoloji aracılığıyla büyüme ve iş sürekliliğine yönelik iddialı planlara ulaşmasını sağlıyor.”
Bu, endüstrinin insanlardan ziyade beceri eksikliğinden muzdarip olduğunu öne süren CIISec raporunda da tekrarlanan bir şey.
Ayrıca profesyonelleri kutlamak, patronların personeli mutlu etmesinin kolay bir yolu olabilir. Sonuçta siber güvenlik genellikle nankör bir görev olarak görülüyor. Booth şunu tavsiye ediyor: “BT ekibiniz kullanıcılardan olumsuz geri bildirimler alıyorsa kendilerini stresli hissediyor olabilirler. Zayıf ağ performansı, güvenlikteki hatalı tespitler ve sürekli kullanıcı şikayetleri, bir sonraki “acil durum” telefon görüşmesi konusunda onların korku ve kaygı duymasına neden olabilir.” Booth, bu yükü azaltmak için araçların kullanılabileceğini tavsiye ediyor.
Son olarak ‘insanlar’ sektörün en büyük silahı ve mücadelesidir. Siber güvenlik uzmanları harika şeyler yapıyor ancak kazara içeriden gelen tehditler ve tükenmişliğin bir sonucu olarak yapılan hatalar konusunda endişeler var. CIISec raporunda, sektör hem beceri eksikliğiyle mücadele etmeye hem de meslektaşlarını eğitmeye devam ederken, ankete katılanların %71’i güvenlik konusunda karşılaştıkları en büyük zorluğun “insanlar” olduğunu söylüyor. Bu, kuruluşların riski azaltacak en iyi uygulamaları hayata geçirmekte zorlandığı süreçle (%21) karşılaştırılıyor. Siber güvenlik profesyonellerinin yalnızca %8’i teknolojinin bir zorluk olduğuna inanıyor.