Trellix’e göre endüstriler GenAI’nın tam potansiyelini ve bunun siber güvenlik üzerindeki etkisini fark etmeye başladıkça yapay zekanın artan kullanımı CISO rolünü daha da karmaşık hale getiriyor.
GenAI’nin CISO sorumluluğu üzerindeki etkisi
GenAI, muazzam bir hızla kullanıma sunuldu ve CISO’ların kuruluşlarındaki kritik verileri güvence altına almaları için bir zorluk oluşturdu.
“GenAI ve AI, güvenlik operasyonlarını hem bozma hem de geliştirme potansiyeline sahip. Trellix’in CISO’su Harold Rivas, “Eşik bekçileri olarak CISO’lar büyük bir baskı altındalar” dedi. “CISO rolü kuruluşun sağlığı açısından hayati öneme sahiptir. Siber savunmalarımıza liderlik eden profesyonelleri desteklerken yapay zekayı nasıl benimseyeceğimizi belirlemek, tüm kuruluşlar ve ulusal güvenlik açısından kritik bir görevdir.”
GenAI’nin demokratikleşmesi, her beceri seviyesindeki profesyoneller tarafından kullanılabileceği ve beraberinde çeşitli faydaların yanı sıra potansiyel riskler ve zorluklar da getirebileceği anlamına geliyor. Aynı demokratikleşme, GenAI yeteneklerine erişimi kolay ve kötü niyetli siber aktörler için ekonomik hale getiriyor. CISO’nun rolü, gelişen bu ortamda yön bulmaları beklendikçe daha da önemli hale geldi.
CISO’ların %76’sı kuruluşlarında halihazırda GenAI kullanıyor, geri kalan %24’ün çoğu ise kullanmayı planlıyor. Yüzde 70’i şu anda geleneksel yapay zeka kullanıyor ve yüzde 26’sı önümüzdeki 12 ay içinde bunu yapmayı planladıklarını bildiriyor; en yaygın uygulamalar tahmine dayalı analiz yazılımı ve doğal dil işleme (NLP) araçlarıdır.
CISO’lar GenAI’nin kuruluşların işleyişinde devrim yaratacak güce sahip olduğunu biliyor. Halihazırda GenAI kullanan kuruluşlardaki katılımcıların %100’ü bunun siber güvenlik süreçlerini ve/veya teknolojilerini iyileştirdiğine/arttırdığına inanıyor.
Riskleri ve fırsatları dengelemek
Siber saldırıların artması, yapay zeka üzerindeki baskıların artması ve sorumlulukların artmasıyla birlikte CISO’ların %90’ının kendilerini artan baskı altında bulması şaşırtıcı değil. Yapay zeka ve GenAI’ye ayak uydurmak hayati önem taşıyor ve katılımcıların neredeyse tamamı kuruluşlarının daha fazlasını yapabileceğini söyledi.
Artan risk, GenAI’nin kendi siber güvenlik önlemlerini daha iyi güçlendirmesi ve hazırlaması konusunda bilinen potansiyelle dengeleniyor; CISO’ların %91’i beklentiler ve fırsatlar konusunda heyecanını ifade ediyor. Başarının önünü açan ankete katılan CISO’ların neredeyse yarısı halihazırda yapay zeka araçlarını güvence altına almak için çalışıyor; %45’i yapay zeka araçlarını gözden geçirmenin yanı sıra güvenlik çerçeveleri ve standartları da dahil olmak üzere yönetişimi uygulamak için bir yapay zeka komitesi geliştiriyor.
Yapay zeka önemli avantajlar sunabilir ancak ankete katılan CISO’ların %99,8’i, özellikle veri gizliliği, koruma ve etik kullanımla ilgili olmak üzere, daha yüksek düzeyde düzenleme gerektiren birden fazla alan olduğuna inanıyor.
CISO’lar kuruluşlarındaki bu tehditleri ve boşlukları zaten fark ediyor; yanıt verenlerin %62’si, GenAI içeren siber saldırıları başarıyla tespit etmek için kuruluşlarının iş gücüne tam olarak güvenmediklerini kabul ediyor. Yanıt verenlerin %99’unun son altı ayda bir siber saldırı yaşadığını bildirdiği ve %82’sinin siber saldırılarda genel bir artış yaşadığı göz önüne alındığında, bu özellikle endişe vericidir. Başlıca endişeler, GenAI’nin mümkün kılacağı siber saldırıların hızı, sıklığı ve ölçeği ile ilgilidir.
Yüksek profilli siber ihlallerin günlük haber döngüsünün bir parçası haline gelmesi, CISO’ların kamu profilinin yükselmesi ve dolayısıyla onları yoğun inceleme altına almasıyla CISO rolünün sorumluluğu da artıyor. Yapay zeka ve GenAI’nin bu kuruluşlara dahil edilmesi aynı zamanda CISO’ların daha fazla incelenmesini de beraberinde getirdi ve katılımcıların %90’ı bunun kendilerini rollerinde artan sorumlulukla karşı karşıya bıraktığını kabul ediyor.
CISO’ların %89’u, GenAI araçlarını benimsemenin ve entegre etmenin, kuruluşlarındaki güvenlik operasyonları personel sorunlarının çözülmesine yardımcı olacağı konusunda hemfikir. CISO’ların tümü ayrıca GenAI’nin bir sonucu olarak ortaya çıkan herhangi bir işten çıkarmanın, GenAI araçlarını yönetme ve denetlemeye odaklanan kuruluş içinde yeniden tasarlanacağı konusunda anlaştılar.
Mevcut zorlu iş yüklerinde CISO’ların %91’i bu teknolojilerin oluşturduğu tehditlere odaklanmak için yeterli zamanları olmadığını ifade ediyor.
CISO’lar, GenAI’nin kuruluşlarının iş gücünün verimliliğini ortalama %38 oranında artırdığına veya artırabileceğine inanıyor.
CISO rolünün geleceği
Yapay zeka etrafında değişen düzenleyici ortam ve GenAI’nin ticari olarak benimsenmesi, iyi donanımlı CISO’ların ve kuruluşlarının bu değişen politikalara ve dış faktörlere nasıl uyum sağlayacağı sorusunu gündeme getiriyor. Genel olarak, yanıt verenlerin %97’si yapay zeka kullanımına ilişkin değişen düzenlemelerden endişe duyuyor; temel endişe alanlarından biri, yapay zekanın ulus devletleri altyapılarına gelişmiş kalıcı tehditler (APT’ler) yerleştirme konusunda cesaretlendirmek için kullanılmasıdır.
CISO’ların %92’si, AI ve GenAI’nin kendilerini bu roldeki gelecekleri hakkında düşünmeye sevk ettiğini ifade ederek, CISO’nun rolünü desteklemek ve kuruluşların sistemlerini etkili bir şekilde güvence altına almalarını sağlamak için politika ve düzenlemelerin nasıl uyarlanması gerektiği konusunda ciddi bir soru ortaya çıkardı. Artan stres seviyelerinin ana nedeni, siber güvenlik becerilerindeki boşluklar ve yapay zeka deneyimi ve bilgisine sahip yeni çalışanların işe alınması ihtiyacı (%48) oldu ve CISO’ların %38’i, mevcut çalışanların yapay zeka konusunda eğitilmesi gerekliliği nedeniyle stres seviyelerinin arttığını bildirdi.
Pritzker Kıdemli Başkan Yardımcısı ve CSIS Stratejik Teknolojiler Programı Direktörü James Lewis, “CISO’ların yapay zeka düzenlemelerinin değişmesine ilişkin endişeleri, politika yapıcılardan yapay zekanın kullanımıyla ilgili daha fazla düzenleme talep etmelerine yol açtı ve neredeyse hepsi önümüzdeki altı ay içinde buna ihtiyaç duyulacağı konusunda hemfikir” dedi. “Rollerinin doğasında olan riskler ve artan maruziyet ve sorumluluk konusundaki mevcut potansiyel göz önüne alındığında bu şaşırtıcı değil. CISO’ların ve kuruluşlarının küresel çapta benimsenmeye yönelik ölçeklenebilir çözümler geliştirmesine yardımcı olmak için endüstriler genelinde geçerli olan açık düzenleyici kuralların ve uyumluluk standartlarının olması gerekiyor.”