Gartner'ın en önemli tahminleri arasında siber güvenlik becerilerindeki açığın kapanması ve üretken yapay zekanın (GenAI) benimsenmesiyle çalışan kaynaklı siber güvenlik olaylarının azaltılması yer alıyor.
Küresel 100 kuruluşun üçte ikisinin, kişisel hukuki risk nedeniyle yönetici ve memur sigortasını siber güvenlik liderlerini de kapsayacak şekilde genişletmesi bekleniyor. Ayrıca, kötü bilgiyle mücadelenin şirketlere 500 milyar dolardan fazlaya mal olacağı tahmin ediliyor.
“GenAI ile mümkün olanın ötesine geçmeye başladıkça, başta beceri eksikliği ve güvensiz insan davranışları olmak üzere siber güvenliği rahatsız eden bir dizi kalıcı sorunun çözülmesine yardımcı olacak sağlam fırsatlar ortaya çıkıyor. İnsan unsuru çok daha fazla ilgi görmeye devam ettiğinden, bu yılki en önemli tahminlerin kapsamı kesinlikle teknolojiyle ilgili değil. Etkili ve sürdürülebilir bir siber güvenlik programı oluşturmak isteyen herhangi bir CISO, bunu bir öncelik haline getirmelidir,” dedi Gartner Analist Direktörü Deepti Gopal.
Siber güvenlik liderlerinin stratejik planlamasına ilişkin temel varsayımlar
Gartner, siber güvenlik liderlerine önümüzdeki iki yıl için aşağıdaki stratejik planlama varsayımlarını güvenlik stratejilerine dahil etmelerini öneriyor.
2028 yılına gelindiğinde, GenAI'nin benimsenmesi beceri açığını kapatacak ve giriş seviyesi siber güvenlik pozisyonlarının %50'sinde uzmanlık eğitimi ihtiyacını ortadan kaldıracak.
GenAI geliştirmeleri, kuruluşların doğru eğitimi olduğu kadar doğru yeteneği de arayan siber güvenlik çalışanlarını işe alma ve eğitme şeklini değiştirecek. Ana akım platformlar halihazırda sohbete yönelik geliştirmeler sunuyor ancak gelişecek. Gartner, siber güvenlik ekiplerinin, kullanıcıları çalışırken destekleyen dahili kullanım senaryolarına odaklanmasını öneriyor; İK ortaklarıyla koordinasyon sağlamak; ve daha kritik siber güvenlik rolleri için yakındaki yetenekleri belirleyin.
2026 yılına gelindiğinde, GenAI'yi güvenlik davranışı ve kültür programlarında (SBCP) entegre platform tabanlı bir mimariyle birleştiren kuruluşlar, %40 daha az çalışan kaynaklı siber güvenlik olayıyla karşılaşacak.
Kuruluşlar, etkili bir SBCP'nin temel bileşeni olarak kişiselleştirilmiş etkileşime giderek daha fazla odaklanıyor. GenAI, bir çalışanın benzersiz özelliklerini bağlam içinde ele alan hiper kişiselleştirilmiş içerik ve eğitim materyalleri oluşturma potansiyeline sahiptir. Gartner'a göre bu, çalışanların günlük işlerinde daha güvenli davranışlar benimseme olasılığını artıracak ve bu da daha az siber güvenlik olayıyla sonuçlanacak.
Gopal, “Henüz GenAI yeteneklerini benimsememiş kuruluşlar, çözüm yol haritasının bir parçası olarak GenAI'dan nasıl yararlandığını anlamak için mevcut harici güvenlik farkındalığı ortaklarını değerlendirmelidir” dedi.
2026 yılına kadar kuruluşların %75'i yönetilmeyen, eski ve siber-fiziksel sistemleri sıfır güven stratejilerinin dışında bırakacak.
Sıfır güven stratejisi kapsamında kullanıcılar ve uç noktalar yalnızca işlerini yapmak için gereken erişimi alır ve gelişen tehditlere göre sürekli olarak izlenir. Üretim veya kritik görev ortamlarında bu kavramlar, benzersiz güvenlik ve güvenilirlik odaklı ortamlarda belirli görevleri gerçekleştirmek üzere tasarlanmış yönetilmeyen cihazlar, eski uygulamalar ve siber-fiziksel sistemler (CPS) için evrensel olarak tercüme edilmez.
2027 yılına gelindiğinde küresel 100 kuruluşun üçte ikisi, kişisel hukuki risk nedeniyle yönetici ve memur (D&O) sigortasını siber güvenlik liderlerine sunacak.
SEC'in siber güvenliği açıklama ve raporlama kuralları gibi yeni yasa ve düzenlemeler, siber güvenlik liderlerini kişisel sorumluluğa maruz bırakıyor. İlgili raporlama ve açıklamalar için CISO'nun rol ve sorumluluklarının güncellenmesi gerekmektedir. Gartner, kuruluşların kişisel sorumluluğu, mesleki riski ve yasal masrafları azaltmak için, diğer sigorta ve tazminatların yanı sıra D&O sigortasıyla rolünü karşılamanın faydalarını keşfetmesini öneriyor.
2028 yılına gelindiğinde işletmelerin kötü niyetli bilgilerle mücadeleye yönelik harcamaları 500 milyar doları aşacak ve bu da pazarlama ve siber güvenlik bütçelerinin %50'sini tüketecek.
Yapay zeka, analitik, davranış bilimi, sosyal medya, Nesnelerin İnterneti ve diğer teknolojilerin birleşimi, kötü aktörlerin son derece etkili, kitlesel özelleştirilmiş kötü bilgi (veya yanlış bilgi) oluşturup yaymasına olanak tanır. Gartner, CISO'ların kurumsal çapta kötü amaçlı bilgi önleme programlarını yönetme, tasarlama ve yürütme sorumluluklarını tanımlamalarını ve dayanıklılığı test etmek için kaos mühendisliğini kullanarak sorunla mücadele eden araç ve tekniklere yatırım yapmalarını öneriyor.
2026 yılına kadar kimlik ve erişim yönetimi (IAM) liderlerinin %40'ı, IAM ile ilgili ihlallerin tespit edilmesi ve bunlara yanıt verilmesi konusundaki birincil sorumluluğu üstlenecek.
IAM liderleri genellikle doğru yatırımı teşvik etmek için güvenlik ve iş değerini ifade etmekte zorlanır ve güvenlik kaynağı bulma ve bütçe oluşturma tartışmalarına katılmazlar. IAM liderlerinin önemi artmaya devam ettikçe, her biri artan sorumluluk, görünürlük ve etkiye sahip farklı yönlerde gelişecekler. Gartner, CISO'ların, IAM programını ve güvenlik girişimlerini uyumlu hale getirerek paydaşlara IAM'in oynadığı rol hakkında görünürlük sağlayarak geleneksel BT ve güvenlik silolarını kırmalarını öneriyor.
2027 yılına kadar kuruluşların %70'i, şüpheli davranışları daha etkili bir şekilde tanımlamak için veri kaybı önleme ve içeriden risk yönetimi disiplinlerini IAM bağlamıyla birleştirecek.
Birleştirilmiş kontrollere olan ilginin artması, satıcıları kullanıcı davranışı odaklı kontroller ile veri kaybı önleme arasında örtüşmeyi temsil eden yetenekler geliştirmeye teşvik etti. Bu, güvenlik ekiplerinin veri güvenliği ve içeriden risklerin azaltılmasında ikili kullanıma yönelik tek bir politika oluşturmasına yönelik daha kapsamlı bir dizi yetenek sunar. Gartner, kuruluşların veri riskini ve kimlik riskini tanımlamasını ve bunları stratejik veri güvenliği için birincil direktif olarak birlikte kullanmasını öneriyor.
2027 yılına kadar siber güvenlik fonksiyonlarının %30'u, uygulama güvenliğini doğrudan siber uzman olmayanlar tarafından kullanılacak ve uygulama sahiplerinin mülkiyetinde olacak şekilde yeniden tasarlayacak.
İş teknoloji uzmanlarının ve dağıtılmış dağıtım ekiplerinin yarattığı uygulamaların hacmi, çeşitliliği ve bağlamı, özel uygulama güvenliği ekiplerinin üstesinden gelebileceği risklerin çok ötesinde risklere açık olma potansiyeli anlamına gelir.
Gopal, “Boşluğu kapatmak için siber güvenlik fonksiyonlarının, yalnızca siber risk bilgisine dayalı kararları özerk bir şekilde vermek için gereken kadar yetkinlik oluşturmak amacıyla teknoloji ve eğitimin bir kombinasyonunu kullanarak bu ekiplerde minimum etkili uzmanlık oluşturması gerekiyor” dedi.