Foote Partners LLC’nin baş analisti ve araştırma ortağı David Foote, siber güvenliğin geleceğinin sadece bugünle karşılaştırıldığında büyük ölçüde tanınmaz olmayacağına, aynı zamanda yapay zekanın dünyayı sürekli olarak yeniden şekillendirmesi nedeniyle “dağınık” ve “öngörülemez” olacağına inanıyor.
Mesleğin şu anki odağı esas olarak yönetilen hizmetler, bulut iş yükleri, uç noktalar ve kimliklerle ilgilenmek üzerinedir. Ancak Ekim ayı sonunda Nashville, Tennessee’de düzenlenen ISC2 Güvenlik Kongresi 2025’te yapılan sunumda Foote, her şeyin değişmek üzere olduğunu söyledi.
2030 yılına gelindiğinde, finanstan bina kontrollerine kadar neredeyse her iş sistemi, karar veren bir tür yerleşik yapay zeka aracısını içerecek. Bu kararlar paranın taşınmasını ve tedarikçilerle pazarlık yapılmasını içerecektir. Sonuçta siber güvenlik profesyonelleri akıllı fabrikalardan robotlara, implante edilebilir tıbbi beyin/bilgisayar arayüzlerine kadar her şeyi savunacak.
Foote, “Biyoloji ve teknolojinin bir araya geldiği ve bunu savunmaya çalıştığınız bir dünya hayal edin” dedi. “Bu çok farklı bir dünya.”
Yeni koruma araçları gerektiren diğer sistemler arasında hem insan bilinçli hem de nöromorfik cihazlar yer alacak. İnsan beyninde bulunan sinir sistemlerini taklit eden nöromorfik çipler şu anda IBM ve Intel gibi tedarikçiler tarafından geliştiriliyor. Bu teknolojiye dayalı sistemler yalnızca mevcut bilgisayarlardan daha hızlı olmakla kalmayacak, aynı zamanda yapılandırılmamış verileri işlemede de daha etkili olacak.
Tehdit her yerden gelecek
Bu arada siber güvenlik alanında ortaya çıkan önemli teknolojiler arasında otonom güvenlik ve kuantum şifreleme yer alıyor. Foote, kuantum bilgisayarların beş ila sekiz yıl gibi kısa bir sürede ortaya çıkmasını bekliyor ve bunun mevcut şifreleme teknolojisini işe yaramaz hale getireceğini söyledi.
Foote, “Siber güvenlik, tepkisel olmaktan ziyade öngörüye dayalı hale geliyor ve sıfır güven, artık standart hale geliyor; bu bir norm” dedi. “Kontrolünüz dışında bağımsız olarak çalışan otonom sistemleri ve aktörleri güvence altına alacaksınız.”
Bu, “tehditlerin sadece çevreden değil her yerden geleceği, çünkü çevre güvenliği olmadığı için çevre fikrinin ortadan kalktığı” anlamına geliyor, diye ekledi. Sonuç olarak, siber güvenlik profesyonellerinin rolü, “koruyucu” olmaktan, şirkete risk konusunda tavsiyelerde bulunmaya ve herkesin bu risklerin yönetilmesine katılmasını sağlamaya dönüşecek.
Bir diğer sonuç ise kimlik kavramının her zamankinden daha önemli hale gelmesidir. Foote, “Önce kimlik olacak, her şey kimlik” dedi. “Doğru güvenli sistemlere sahip değilseniz kimlik şu anda olduğundan çok daha tehlikeli hale gelecektir.”
Değişimi benimsemenin gerekliliği
Ancak böyle bir gelecekle uğraşmanın sonuçları korkutucu gelse de Foote, siber güvenlik profesyonelleri yaklaşan değişimi benimsemeye istekliyse “daha fazla fırsata sahip, geleceğe yönelik daha iyi bir kariyer düşünemediğine” inanıyor.
Bu fırsatlar, “daha yüksek maliyetlerle daha fazla siber saldırının olacağı, yeteneklere yönelik büyük talebin olacağı, büyüme için bolca alan ve sürekli gelişen teknolojiyle çalışma fırsatlarının olacağı, dünyanın herhangi bir yerinde çalışabilme, serbest meslek sahibi olma ve oldukça iyi para kazandırması gerçeğinden kaynaklanacak. Bu, BT işleri evreninde çok sık gördüğüm bir şey değil” dedi.
Örneğin, iş gücü eksikliği açısından ISC2, bugün halihazırda yaklaşık 4,8 milyon profesyonelden oluşan küresel bir açık olduğunu tahmin ediyor. Daha da kötüsü, Dünya Ekonomik Forumu, işverenlerin yalnızca %14’ünün siber güvenlik hedeflerine ulaşmak için gerekli yeteneğe sahip olduklarından emin olduğunu gösteriyor.
Bugün zaten talep gören, ancak gelecekte daha da talep görecek olan temel uzmanlık sosyal becerilerdir. Yapay zeka, şu anda uygulayıcılar tarafından gerçekleştirilen bilgi işinin giderek artan miktarını üstlendiğinden, işletmeyle etkili bir şekilde iletişim kurabilen ve iş birliği yapabilenlere özellikle büyük değer verilecek.
Foote, “Gelecekte makinelerle çalışıyor olacaksınız, ancak aynı zamanda daha önce hiç çalışmadığınız insanlarla, daha önce hiç çalışmadığınız şirketlerin etki alanlarıyla da çok daha fazla işbirliği yapacaksınız” dedi. “Dolayısıyla, takım halinde çalışma ve takım halinde iyi performans gösterme, değişme, öğrenme, öğrendiklerini unutma, yeniden öğrenme, başarısız olma, vites değiştirme yeteneğiniz; bu son derece önemli olacak.”
Yaratıcı düşünmeyi, liderliği ve sosyal etkiyi, dayanıklılığı, esnekliği ve çevikliği içeren bu becerilerin, “inovasyon ekonomisine geçtikçe” giderek daha hayati hale geleceğine inanıyor. Çünkü şirketlerin “hayatta kalmalarına” yardımcı olma konusunda çok önemli olacaklar.
Foote, “2030’da şirketler, yedekleme sistemlerinin kaybolduğu ve geri yükleme bile yapamadıkları kadar kötü bir ihlal yaşadıktan sonra hala işlerinde kalıp kalamayacaklarını merak edecekler” diye uyardı. “Kulağa korkutucu geliyor ama bu şeyleri savunabilecek bir konumda olmanız gerekecek, bu da oyununuzu geliştirmenizi gerektiriyor.”
İş anlayışına sahip, çok yönlülük uzmanlarına talep
Ancak bunu daha fazla sertifika alarak veya yeniden sertifika alarak yapmanızı “yardım etmeyeceği” gerekçesiyle önermiyor. Bunun yerine işin sırrı, teknik düşünceden ziyade daha fazla iş geliştirmektir.
Foote, “Güvenlik bir şirketin yaşayıp yaşamaması konusunda hakim faktörse, işletmenin sizden ne istediğini ve daha önce hiç katılmadığınız karar alma süreçlerine ne kadar derinlemesine dahil olacağınızı anlamak için daha fazla iş konferansına, hatta İK konferanslarına gitmeniz gerekecek” dedi.
İşverenler arasında artan bir başka değişiklik de, genel veya uzman pratisyenler yerine “çok yönlü” olarak adlandırılan kişilere olan ilginin artmasıdır; talebin önümüzdeki yıllarda artması muhtemeldir. Çok yönlülük uzmanları bir veya iki spesifik alanda derin teknik becerilere sahiptir, ancak aynı zamanda alanlar arası okuryazarlığa ve iş bağlamı anlayışına da sahiptirler.
Foote, “Şirketler istihbarat, olay müdahalesi, yapay zeka güvenliği, kimlik, endüstriyel kontrol sistemlerine sahip birini istiyor; bunu tek bir kişide istiyorlar ve aynı zamanda geniş alan bilgisine sahip olmasını istiyorlar, böylece yalnızca tek bir noktada değil, şirketin her yerinde çalışabilecekler,” diye ekledi.
İlginçtir ki, bugün ile 2030 arasında işverenlerin “odadaki en akıllı teknoloji uzmanına” daha az ilgi duyacağını söyledi. Bunun yerine odak noktası, “ekibinizi sağlıklı ve etkili tutarken makineler, riskler ve düzenlemeler… ile iş hedefleri arasında geçiş yapabilecek” profesyoneller bulmak olacaktır.
Foote, buradaki kilit noktanın “araçlar otomatikleştikçe işin daha insani hale gelmesi” olduğunu söyledi. Bu daha fazla insan çalışması, yapay zekanın risklerini, sonuçlarını ve etiğini anlamayı içerir.
Değişimle üst düzeyde ilgilenmek
Bu arada, siber güvenlik kademelerinin en üst seviyesindeki bir başka değişiklik, bilgi güvenliği şefi (CISO) ofisinin ortaya çıkmasıdır. O zamandan beri mesleği bırakan eski CISO’lar arasındaki yüksek tükenmişlik seviyelerinin ardından gelen ofis, birbirini tamamlayan iki liderden oluşuyor. Her biri, genellikle tek bir kişide bulunması zor olan uzmanlık ve güçlü yönleri sergileyebilir.
Birincisi, siber güvenlik ekibini yöneten ve destekleyen teknik profesyoneldir. İkincisi ise daha iş odaklı, genellikle eski bir iç danışman olan, stratejiye odaklanan ve üst düzey yöneticiler ve paydaşlarla etkileşime giren kişidir.
İşe alım danışmanlığı CyberSN’nin kurucusu ve CEO’su Deidre Diamond’ın son birkaç yılda gördüğü benzer ve bağlantılı bir hamle, güvenlik direktörü rollerinin oluşturulmasıydı. “Geçmişte sadece CISO’lar, mühendisler veya analistler vardı ama ikisinin arasında hiçbir şey yoktu” dedi. “İpucu yok, güvenlik müdürü yok, bu da yatırıma işaret ediyor.”
Bu güvenlik direktörlerinin çoğu stratejiye odaklanıyor ve bazı çevrelerde ilk kez “özel kalem” olarak anılıyorlar. Genellikle yönetişim, risk ve uyumluluk veya mimari geçmişinden gelen Diamond, bu rolün giderek “siber yetenekler ve değişimin gerçekleşme hızı konusunda gerçekten bilgi sahibi olmak açısından kritik” olacağına inanıyor.
“Sadece strateji almaktan ve hedefe ulaştıklarından emin olmaktan değil, aynı zamanda bu stratejideki boşlukların nerede olduğunu, siber yeteneklerin nerede olduğunu göstermekten ve her hareket veya değişiklik olduğunda bunun üzerinde durmaktan sorumlular. Bu çok iş gerektiriyor” dedi.
Başarı, iyi eğitimli ve motive olmuş bir iş gücüne eşittir
Merdivenin alt sıralarında yer alan Diamond, son yıllarda işverenlerin işe aldığı yeni kişilerin sayısındaki düşüşe dikkat çekti; kendisi bunu “hepimiz için bir sorun, çünkü bunlar gelecekteki insanlarımız” olarak tanımladı.
Mesela stajyer alan kuruluşların sayısı son üç yılda azaldı. Ancak bunun nedeni istekli adayların azlığı değil, bunun yerine “Fortune 250 veya üzeri olmadıkları sürece” şirket içinde onları eğitecek insan ve zaman eksikliğinden kaynaklanıyor, diye açıkladı.
Diamond, “Bu hâlâ bizim için bir sorun ve ortadan kalkmadı” dedi. “Aslında durum daha da kötüleşti çünkü son 18 ay içinde ilk kez siber güvenliği diğer ülkelere dışarıdan sağlamaya başladık ve bu da oldukça fazla, bu da insanları orada eğittiğimiz anlamına geliyor ve bu da burada daha az vasıflı profesyonele sahip olmamıza neden oluyor.”
Daha da kötüsü, profesyonellerin bu noktaya ulaşması beş ila sekiz yıl sürdüğünden, çok yetenekli mühendis veya mimar sayısında da önemli bir eksiklik var.
Diamond, “Bu uzun bir zaman. Dolayısıyla beceri eksikliği mevcut ve bu kesinlikle bir eğitim sorunu” dedi. “Eğitim ve bütçe için parası olan firmalar için bile insanların bunu almaya zamanı yok.”
Ancak Foote, hazır olsun veya olmasın değişimin mutlaka gerçekleşmesi gerektiğine inanıyor; bu da siber güvenlik profesyonellerinin hazırlıklı olması gerektiği anlamına geliyor. Ona göre, kuruluşların yatırım getirisi elde etmek, buna ulaşmak için uygun iş planları geliştirmek ve buna göre personel oluşturmak için yapay zeka açısından ne istediklerini ve neye ihtiyaç duyduklarını netleştirmeleri için yaklaşık 12 ayları var.
Ancak bu yeni dünyada başarının sırrının sadece sistemleri savunmaktan ibaret olmayacağına dikkat çekti. Güvenli ekosistemler, etik yapay zeka politikaları ve hepsinden önemlisi iyi eğitimli ve motive olmuş bir iş gücüne dayanan dayanıklı bir kültür inşa etmekle ilgili olacak.