Son yıllarda ekonomik baskılardan dolayı organizasyonlarda genel bir maliyet kısıntısı yaşandı. Birçok kuruluş, yaşam maliyeti krizinin yanı sıra maliyetleri etkileyen enflasyonist baskılar nedeniyle müşteri talebinde bir düşüş gördü. Daha yüksek faiz oranları ve kuruluşların sermaye maliyetlerinin artması da diğer bir faktördür.
Siber güvenliğe yapılan harcamalarla ilgili bir yorgunluk hissi de var. İşletmelerin siber harcamaları her yıl istikrarlı bir süre boyunca artıyor ve gerçekler ne kadar gerçek olsa da kuruluşların şimdiye kadar kendilerini korumak için gerekli yatırımları yaptıklarını hissetme eğilimi ortaya çıktı. Siber tehdit ortamının giderek yoğunlaşması ve düzenleyici baskıların artması.
Son olarak, büyük tedarikçilerin uyumlu, birleşik siber çözümler yaratmasıyla siber yazılımın ‘platformlaştırıldığını’ gördük. Bu, CISO’ları harcamalarında ölçek ekonomilerini benimsemeye teşvik ederek ‘daha azıyla daha fazlasını’ yapmalarına olanak tanıyor. Bu, tek kullanımlık yazılım çözümlerine yapılan harcamaların azalmasına yol açtı.
Tüm bu faktörlerin bir araya gelmesi, birçok kuruluşta son 12 ila 18 ay içinde siber bütçelerin sabit kalmasına katkıda bulunuyor.
Kuruluşlara güvenliğin değerli bir ‘kesinti’ olduğunu hissettiren şey nedir?
Bu alanda harcama, uyumla yüksek oranda ilişkilidir; çoğu zaman risk iştahından daha fazladır. Uyumluluk eylemi harekete geçirir ve bu da, kuruluşun uyumluluğa ulaşıldığını hissetmesi durumunda, siberle ilgili aciliyet duygusu ortadan kalktıkça harcamaların durma noktasına geldiği bir duruma yol açar.
EMEIA’daki finansal hizmetler için DORA ve Avrupa Birliği’ndeki (AB) kritik altyapılar için NIS2 gibi bazı sektörler uyumluluk konusunda yoğun baskı yapıyor. Siber güvenliğe yapılan harcamalar bu sektörlerde düzenleyici çerçevelerin talepleriyle orantılı olarak daha güçlü, ancak düzenlemelerin daha az külfetli olduğu sektörlerde harcamalar ölçülebilir şekilde yataylaşıyor.
CISO’lar ve güvenlik liderleri bütçelerini korumak için nasıl lobi yapabilirler?
Perspektifte bir değişime şiddetle ihtiyaç duyulan yer burasıdır. Siber harcamaların sadece bir risk yönetimi maliyeti değil, bir değer yatırımı olduğu gerçeğinin ortaya konması gerekiyor. Kuruluşların siberi, değeri çeşitli şekillerde açığa çıkaran kolaylaştırıcı bir ekosistem olarak görmeye başlaması gerekiyor. Öncelikle, kuruluş genelinde yapay zekanın uygulanmasına olanak sağlayabilir. Bir diğeri için satın almaların etkinleştirilmesine yardımcı olabilir. Güçlü bir platform oluşturmak aynı zamanda organizasyonu müşterilerin gözünde farklılaştırabilir. Bütün bunlar somut değere katkıda bulunuyor.
Bu, siberi yalnızca bir maliyet olarak gören bir perspektiften, onu desteklediği ürün ve hizmetlerin ürettiği değere doğrudan bağlanan kolaylaştırıcı bir altyapı olarak anlayan bir bakış açısına doğru önemli bir zihniyet değişimidir.
Bu yeni bakış açısı, işletmelerin siber için yalnızca merkezi finansmana güvenmek yerine, yeni girişimler için bütçelerinin bir kısmını sibere ayırabileceklerini düşünmelerini sağlamalı; optimal bir siber altyapının girişimin başarısının gerekli bir koşulu olduğu temelinde .
Risk azaltma ile harcama arasındaki somut bağlantıyı göstermek için Siber Risk Ölçümü’nü kullanarak siber harcamanın etkinliğini ölçmek de faydalıdır.
CISO’lar ve güvenlik liderleri bütçelerini nasıl artırabilir?
Siberin mümkün kılabileceği en önemli şeylerden biri yapay zekadır ve bu, tüm alanda en hızlı hareket eden ve en hızlı büyüyen değişim katalizörü haline gelmektedir. Hiç şüphe yok ki yapay zeka, siber suçluların yaptıkları işte daha iyi olmalarına olanak tanıyan bir siber tehdit çarpanıdır: daha iyi kötü amaçlı yazılım, daha iyi kimlik avı vb.
Bu, işin koruyucularının da daha iyi hale gelmesi gerektiği anlamına geliyor. Bu da kuruluşların suçlulara ayak uydurabilmesini sağlamak için sürekli yatırım yapılmasını ve uyguladığımız araç ve çözümlerin sürekli olarak geliştirilmesini gerektirecek.
Siber suçlular daha etkili siber saldırılar oluşturmak için yapay zekadan faydalandıkça, kuruluşların yapay zekaya yapay zeka ile karşı koyması gerekecek. Özellikle Tehdit Tespiti ve Yanıtı, Otomatik Test ve Kullanıcı Erişim Hakları yönetimi ile ilgili temel kullanım örneklerinde siber savunmayı otomatikleştirme fırsatlarına bakmak önemlidir.
EY’nin araştırması, siber güvenlik alanında en iyi performansı sergileyen kuruluşların temel göstergelerinden birinin, gelişen teknolojiyi (özellikle otomasyonu) tutarlı bir şekilde hızlı bir şekilde benimsemeleri olduğunu gösteriyor. Bu teknoloji dostu yaklaşımı benimseyen şirketler saldırılardan en az zarar gören şirketler oluyor.
2025 için tehdit görünümü
Mevcut büyük tehditler (fidye yazılımı, kimlik avı ve tedarik zinciri saldırıları) devam edecek ve karmaşıklığı artmaya devam edecek. Bunun yanı sıra, Operasyonel Teknolojinin (OT) ve Nesnelerin İnterneti’nin (IoT) daha fazla hedeflenmesini bekliyoruz.
Yapay zeka uygulamalarının kuruluşlar ve sektörler genelinde hızlı bir şekilde büyümesinin yeni güvenlik açıkları oluşturacağını ve bunun sonucunda da bu hızlı değişimin kaçınılmaz bir parçası olarak daha fazla veri ihlalinin meydana geleceğini beklemek mantıklı olacaktır.
Son olarak diğer önemli gelişme, siber suçluların yapay zekayı kullanma ve dağıtma şekli olacak. Saldırganlar GenAI’yi silah olarak kullandıkça, kötü amaçlı yazılım saldırılarının yoğunluğunun artması muhtemeldir. Gelişimin hızı, savaşın her iki tarafında da eşit derecede etkili olma kapasitesine sahiptir; kuruluşların kayıtsız kalmayı göze alamamasının nedeni tam da budur.
Richard Watson, EY’de küresel ve APAC siber güvenlik danışmanlığı lideridir