Yazan: Reinier Moquete, CyberWarrior.com Kurucusu ve CEO’su
Saldırganlar kullandıkları araçları sürekli olarak geliştiriyor, savunucuların verileri nasıl koruduğunu öğreniyor ve içeri girecek boşlukları buluyor. Savunmacıların tüm delikleri kapatması gerekirken, saldırganların yalnızca bir tane bulması gerekiyor. Bunu, üretken yapay zeka modellerinin güvenlik açıklarını almaya ve bunları otomatik olarak kullanmaya hazırlandığı dönüşüm zamanlarında yaşadığımız gerçeğiyle birleştirirseniz, güvenlik açıklarıyla mücadele etme konusunda artan bir aciliyete sahip olursunuz.
Günümüzün mevcut siber güvenlik iş gücü talebe ayak uyduramıyor. 2022’de sektöre yaklaşık 500.000 işçi eklenmesine (toplam çalışan sayısının 4,7 milyona çıkarılmasına) rağmen aradaki fark, gerçek çalışan sayısından daha hızlı büyüyor.
İşletmelerin ve hükümetlerin K-12 okullarından kritik altyapıya kadar toplumu korumaya çalıştıkları doğru olsa da, sektör profesyonelleri için saldırganların inovasyon hızından etkilendikleri ve otomasyon ile yapay zekanın sonuçlarına hazır olmadıkları da açık. Zamanlarının çoğunu güvenlik uyarılarına yanıt vermek ve yangınları söndürmek için harcayan savunuculara karşı siber güvenlikte ilerleme sağlamak için teknoloji silah haline getiriliyor. Bankacılık sektörü gibi nadir istisnalar dışında, güvenlik programlarının hiçbir yerinde yenilik bulunmuyor çünkü bütçeleri kontrol edenler genellikle bunun değerini anlamıyorlar.
Yönetilen güvenlik hizmetleri sağlayıcılarıyla ortaklık kurmak, siber savaşlarla ve gelişmiş siber güvenlik tehditleriyle mücadele etmek için genellikle gereklidir. Sözleşmeli ortaklarla bile kuruluşların güvenlik programlarının diğer bileşenlerini yürütmek için ihtiyaç duyduğu dahili yetenek bulma konusunda hala bir boşluk var. Bu boşluğa ne sebep oluyor ve şirketler ve devlet kurumları artan siber güvenlik uzmanlığı ihtiyaçlarını nasıl karşılıyor?
- Pasif katılımcılardan oluşan bir orduyu değil, saldırganlarla aynı açlığa sahip olanları işe alın.
Siber güvenlik profesyonellerinin eksikliği, yeni insan sermayesi kaynaklarının geliştirilmesi için ortak çaba gösterilmesini gerektiren acil bir endişe kaynağıdır. Siber güvenlik yeteneklerini bulmak ve incelemek, işin kritik doğası nedeniyle zorlu bir süreçtir ve diğer alanlara kıyasla daha uzun işe alım döngülerine yol açar. Pek çok kuruluş, adayları etkili bir şekilde belirlemeyen veya gerçek dünyadaki becerileri değerlendirmeyen eski yöntemlere güveniyor ve bu da iş ihtiyaçlarıyla uyumsuzluğa yol açıyor.
Geçmişte, işe alım yöneticileri önceden var olan bilgi ve becerilere sahip adayları, özellikle de belirli problem çözme yeteneklerine sahip adayları arıyorlardı. Günümüzde çoğu güvenlik aracının yapay zeka destekli olduğu ve görevlerin büyük bir yüzdesini otomatik hale getirebildiği göz önüne alındığında, işe alım yöneticileri işe alım stratejilerinde bir değişimle karşı karşıyadır ve beceri gereksinimlerini tanımlamak ve bunlar için inceleme yapmak için farklı yollar benimsemek zorundadır. Artık odak noktası, genel mimari ve güvenlik programının çeşitli parçalarının nasıl bir araya geldiği de dahil olmak üzere büyük resmi anlama becerisine sahip, platform entegrasyonlarını yürütebilen ve yönetim tarafından tanımlanan önceliklere göre riskleri önceliklendirebilen yetenekleri bulmaktır.
Bir insan ordusuna ihtiyacınız yok; yeni şeyler öğrenmek için geceler ve hafta sonları kaç saat sürerse sürsün yeni şeyler öğrenmeye aç ve saldırganların sahip olduğu kararlılık düzeyine sahip kararlı siber savaşçılara ihtiyacınız var. Bir adım önde olmak için çalışmaya istekli, sürekli yeni tehditleri araştıran, yenilik yapan ve büyüyen kişileri işe almaya odaklanmalısınız.
- Fırsat eşitliğini ve sadık bir yetenek hattını sağlamak için giriş seviyesi mühendisleri yetiştirin.
Sektör, SEC’in ihlali hızlı bir şekilde açıklama zorunluluğu gibi düzenleyici baskılar nedeniyle daha da kötüleşen tükenmişlik ve yüksek ciro sorunlarıyla boğuşuyor. Bu sorunu çözmek için şirketlerin, gerilimi hafifletmek ve yarının imrenilen mimarlarının önünü açmak için giriş seviyesi güvenlik mühendisleri yetiştirmesi gerekiyor. Ne yazık ki ve yetenek açığının temelini oluşturan nedenlerden dolayı, giriş seviyesi pozisyonlar genellikle diploma, uzun yıllara dayanan deneyim ve üst düzey sertifikalar gibi potansiyel adayları caydıran katı önkoşullara sahiptir.
Yetersiz hizmet alan topluluklar, siber güvenlik eğitimine erişimde sınırlı farkındalık, mali engeller, esnek olmayan programlar, dil kısıtlamaları ve teknoloji sınırlamaları dahil olmak üzere ek engellerle karşı karşıyadır. Bu alana katılım eksikliği, yeni bakış açıları ve farklı düşüncelerden doğan alışılmışın dışında çözümler fırsatını engellediği için önemli bir endişe kaynağıdır.
Söylendiği gibi, “Rahatlık zayıf adamlar yaratır, mücadele ise güçlü adamlar yaratır.”
Zorluklardan geçen insanlar genellikle en inatçı kişiler olarak büyürler; bunun en iyi örneği Amerika’nın göçmenlerin ve fırsat arayışında her şeyi riske atan insanların ülkesi olarak tarihidir. Bu büyük Amerikan deneyi sadece 250 yaşında, ancak biz tartışmasız dünya lideriyiz… neden öyle düşünüyorsunuz? Çünkü ahşap teknelerle okyanusları aşan, çöllerde yürüyen insanlar acımasızdır. Bu insanların ekonomik refah için çok az seçeneği var ve ailelerinin refahını iyileştirmeye yönelik engelleri aşma azmine sahipler.
Bu cesaret, bu açlık, kendilerini ve ailelerini yükseltmeye yönelik bu bağlılık, genellikle siyah şapkalı hackerların profilidir; ancak bu, mutlaka orta sınıf bir eğitimin sağladığı ayrıcalık ve rahatlık battaniyesi altında büyüyen savunucuların profili değildir. Öte yandan, ekonomik olarak haklarından mahrum olan insanlara bir fırsat verirseniz, masada yerlerini korumak için ne yapacaklarını görene kadar bekleyin. Bu yetenek havuzundan yararlanmak, yalnızca başarılı siber güvenlik programlarını değil, aynı zamanda bugün içinde yaşadığımız hızla gelişen küresel pazarda rekabet edebilecek başarılı şirketleri de tanımlayacaktır.
- Küresel yetenek çözümlerinden yararlanın
Mevcut pazar ortamında (“İnternet 3.0”) son on veya yirmi yılda var olan iletişim engellerinin çoğu ortadan kaldırıldı. Bu, kuruluşların coğrafi sınırların ötesinde faaliyet göstermelerinin, yetenek konusunda küresel bir yaklaşımı benimsemelerinin ve kurumsal stratejilerinin temel taşı olan ortak değere sahip iş modelleri aracılığıyla finansal sürdürülebilirlik sağlamalarının kapısını açıyor.
Çoğu ticari işlem için yalnızca mümkün olan en düşük maliyetle sonuç almak istiyoruz. Liderler, dört yetenek kümesine (tam zamanlı çalışanlar, yükleniciler, proje bazlı katılımlar ve yönetilen hizmetler) bakmalı ve maliyetleri optimize etmenin bir yolu olarak küresel yetenek ile yerel personeli entegre eden, kültürel olarak uyumlu bir iş gücü stratejisi oluşturmalıdır. Teknik yeteneklerin yuvası haline gelen bölgelerden biri de Latin Amerika.
Her iki ekip için de daha iyi bir iş/yaşam dengesi sağlamak amacıyla saat diliminin ABD’ye yakınlığından, maliyet tasarrufuna, dil yeterliliğine, esnekliğe, yetenek mevcudiyetine, mevzuata aşinalığa kadar Latin Amerika, önceden belirlenmiş küresel dağıtıma sahip olmayan, gelişmekte olan bir pazarın bir örneğidir merkezleri henüz Amerika’nın birincil yetenek tedarikçisi olmak için gerekli altyapıya sahip değil. Küresel yetenek tedarik zincirlerini entegre eden bir iş modeline sahip olmayan şirketler halihazırda rekabet açısından dezavantajlı durumdadır.
Güvenlik profesyonellerine olan talebi karşılamak için işbirliği şarttır. Giriş kriterlerini gözden geçirmek, erişilebilir eğitim seçenekleri sunmak ve çeşitli yetenek havuzlarından yararlanılmayan bir kararlılıkla yararlanan yetenek kaynak bulma programlarını teşvik etmek. Bu stratejileri benimseyerek siber dayanıklılık gelişebilir, giderek dijitalleşen dünyamızı koruyabilir ve küresel birbirine bağlılığın gücünü yansıtabilir.
Resim javi_indy tarafından Freepik’te
Reklam