Siber güvenlik uzmanlarına olan talep, mevcut arzı geride bırakmaya devam ediyor. 2021’de alana 700.000’den fazla profesyonel katılmış olsa da, (ISC)² 2021 Siber Güvenlik İş Gücü Çalışmasına göre siber güvenlik iş gücü açığı dünya çapında 2,72 milyondur.
Siber güvenlik personeli sıkıntısı, daha fazla ihlal ve veri hırsızlığı dahil olmak üzere gerçek hayatta sonuçlar doğuruyor. Bununla birlikte, gerçek etki daha nüanslıdır – ve kuruluşlar ve uluslar için siber savunma için daha temeldir. Personel eksikliğinin siber güvenlik uzmanları ve kuruluşları üzerindeki etkisini daha iyi anlamak için araştırmamızı genişlettik.
Siber Güvenlik İş Gücü Boşluğunu Yıkmak
(ISC) göre2 AraştırmaSiber güvenlik uzmanlarının %67’si kuruluşlarında siber güvenlik iş gücü sıkıntısı olduğunu bildiriyor ve bu da artan siber risk anlamına geliyor. Bu profesyonellerin yüzde altmışı, kuruluşlarının aşırı veya orta düzeyde bir siber saldırı riski altında olduğuna inanıyor. Elbette, her organizasyonun bir dereceye kadar riski vardır, ancak organizasyonu korumak için araçlara veya kaynaklara sahip olmayan, yeterli personele sahip ekiplere sahip kuruluşlarda risk artar.
Siber güvenlik iş gücü açığı bu yıl küçülürken, yaklaşan bir zorluk olmaya devam ediyor. Boşluğu işlevsel alanlara ve role göre bölmek, yeni girenlerin ve kariyer değiştirenlerin nerede önemli bir fark yaratabileceğini belirlemeye yardımcı olur. Boşlukların nerede olduğunu daha iyi anlamak için GÜZEL Çerçeveyedi üst düzey ortak siber güvenlik iş işlevi grubunu, 30’dan fazla farklı uzmanlık alanını ve 50’den fazla ayrıntılı iş rolünü açıklar.
Siber güvenliğin tüm alanları işgücü açığından etkilenir; bununla birlikte, siber güvenlik uzmanlarının işgücü ihtiyaçlarının ciddi olduğuna inandıkları en önemli üç işlevsel alan şunlardır: güvenli tedarik (%48), analiz (%47) ve koruma ve savunma (%47).
Siber Güvenlik İş Gücü Boşluğunun Siber Güvenlik Profesyonelleri Üzerindeki Etkisi
Çalışma, siber güvenlik personeli zayıf düştüğünde somut olumsuz sonuçların olduğunu doğruladı. Kuruluşlarında personel eksikliği olmasaydı hangi sorunların önlenebileceği sorulduğunda, siber güvenlik uzmanlarının en önemli yanıtları şu şekilde oldu:
- Yanlış yapılandırılmış sistemler (%32)
- Risk değerlendirmesi ve yönetimi için yeterli zaman yok (%30)
- Kritik sistemleri yamalamak için yavaş (%29)
- Süreç ve prosedürdeki gözetimler (%28)
- Acele dağıtımlar (%27)
Bu sorunların çoğu, bildirilen veri ihlallerinin ve fidye yazılımı saldırılarının temel nedenleridir. Ancak, mevcut kaynak seviyeleriyle tüm bunların özeti, düşmanlarımıza karşı etkili bir şekilde savunmak için günde yeterli sayıda insan veya saatin olmamasıdır.
Bu, siber güvenlik uzmanlarını uygulamanın hatası değildir. Birçok kuruluş, daha fazla teknoloji satın alarak soruna para harcar, ancak siber güvenlik ekibinde yeterli personel yoksa veya teknolojinin nasıl kullanılacağı konusunda etkin bir şekilde eğitim almamışsa, siber saldırıları reddetmek zordur.
Kuruluşunuzdaki Boşluğu Gidermek: İnsanlar ve Teknoloji
Kuruluşlarının işgücü eksikliğini tersine çevirmek için liderler, işgücü ihtiyaçlarını belirlemek için siber güvenlik ekipleriyle birlikte çalışarak teknoloji yerine insanlara öncelik vermelidir; daha fazla kişiyi işe almaya ve onları iyi bir şekilde tazmin etmeye yatırım yapın; organizasyonun ihtiyaçlarına uygun teknolojiyi uygulamak; ve siber güvenlik personelini bu araçların nasıl kullanılacağı konusunda eğitin. Siber Güvenlik İş Gücü Araştırmasına göre, kuruluşların gelecek yıl yapmayı planladıkları en iyi insan yatırımları eğitim (%36), esnek çalışma koşulları (%33), sertifikalar (%31) ve çeşitlilik, eşitlik ve kapsayıcılık inisiyatiflerine odaklanıyor ( %29).
Siber güvenlik uzmanları, süreç ve teknolojilerle tamamlanan önce insan yaklaşımlarının, işgücü açığını kapatmanın en iyi yolları olduğu konusunda hemfikirdir. Önerilen ilk üç odak alanı, mevcut personeli geliştirmek (%42), yeni personeli işe almak (%31) ve gelecekteki personeli geliştirmek (%23). Profesyonellerin yalnızca %17’si, siber güvenlik operasyonlarında yapay zeka/makine öğrenimi ve otomasyonun en büyük potansiyel etkiye sahip olduğunu belirleyerek, tek başına teknoloji yatırımlarının daha fazla insanın yerini tutmayacağının sinyallerini verdi.
Açık olmak gerekirse, teknoloji kritiktir. İnsanlar ve teknoloji arasında simbiyotik bir ilişki vardır: Daha fazla personel, organizasyonun daha fazla teknolojiyi etkin ve verimli bir şekilde kullanmasını sağlar. Dolayısıyla insana yapılan yatırımlar, teknolojiye yapılan planlı yatırımları sınırlamaz. Kurumlar, siber güvenlik ekiplerini desteklemek için önümüzdeki yıl bulut hizmeti sağlayıcılarına (%38), manuel siber güvenlik görevleri için zeka ve otomasyona (%37) ve mevcut süreçler için zeka ve otomasyona (%37) yatırım yapmayı planlıyor.
Geçen yılın manşetleri, siber güvenlik faaliyetini yönetim kurulu odasında düzenli bir konuşma konusu haline getirdi. Aslında, (ISC)² C-Suite’deki Ransomware araştırmasına göre, ABD’li yöneticilerin %67’si ve İngiltere’deki yöneticilerin %72’si son zamanlardaki çok sayıda siber saldırıdan sonra siber güvenlik ekipleriyle daha sık iletişim kuruyor. Artık herkes dikkatini verdiğine göre, şimdi harekete geçme zamanı.
Bir yıl daha büyük ihlal manşetlerinin ardından, en önemli fidye yazılımı endişeleri
ABD ve Birleşik Krallık’taki yöneticiler arasında düzenleyici yaptırımlara (%38), veri veya fikri mülkiyet kaybına (%34) maruz kalırken, bunu eşit olarak (%31 her biri) çalışanlar arasında güven kaybı, sistem kesintisi nedeniyle iş kaybı ile ilgili endişeler takip ediyor. Fidye ödedikten sonra bile verilerin gizliliğinin ihlal edilebileceğine dair belirsizlik ve itibar zararı. Yöneticilerin %71’i, kuruluşlarının bir fidye yazılımı saldırısını ele almaya hazır olduklarından emin olsa da, yöneticiler, savunmayı iyileştirmek için teknolojiye ve personele yatırım yapma konusunda güçlü bir isteklilik ifade ediyor. Bu isteklilik, siber güvenlik liderlerinin kurumsal hazırlıklarını proaktif olarak yönetim ekibiyle ele almaları ve insanlara, teknolojiye ve süreçlere yapılan yatırımları tartışmaları için şimdi uygun bir zaman olduğunu gösteriyor.