2021’deki veri ihlallerinin sayısı 2020’yi aşarken, 2022’de kurumsal güvenlik ekipleri üzerindeki baskı daha da artıyor. Ancak tükenmişlik, azalan personel morali ve yüksek çalışan devir hızı, büyüyen siber güvenlik tehdidini yönetmeye çalışan işletmeleri zor durumda bırakabilir.
Özellikle işverenler zaten büyük bir sorunla karşı karşıya olduğundan. Yalnızca siber saldırı girişimlerinin sayısı artmakla kalmıyor, aynı zamanda işverenler, sıkılaşan bir işe alım piyasası ve teknoloji sektörünü de etkileyen rekor düzeyde işten ayrılmalar nedeniyle ek baskıyla karşı karşıya.
Yetenekleri cezbetmek için verilen bu savaş, siber güvenliğe büyük darbe vurabilir. 500’den fazla BT karar alıcısının katıldığı bir ThreatConnect anketine göre, özel sektör şirketlerinin %50’sinde temel BT güvenliği teknik becerilerinde boşluklar var. Ek olarak, CIO’ların %32’si ve CIO’ların %25’i önümüzdeki altı ay içinde işlerini bırakmayı planlayarak işverenleri işe alım, yönetim ve BT güvenliği ile ilgili zorluklarla karşı karşıya bırakıyor.
Birçok çalışan, daha iyi ücret ve daha esnek çalışma koşulları beklentisinden etkileniyor. Ancak aşırı iş yükleri ve performans baskıları da zarar görüyor. ThreatConnect araştırması, yüksek stres düzeylerinin, yanıt verenlerin %27’si tarafından belirtilen, çalışanların işten ayrılmasının ilk üç nedeni arasında olduğunu gösteriyor.
Tükenmişlik siber güvenliği çeşitli şekillerde tehdit eder. İlk olarak, çalışan tarafında. Bilgi güvenliği şefi (CISO) Josh Yavor, “İnsan hatası, kuruluşlardaki veri ihlallerinin önde gelen nedenlerinden biridir ve veri ihlaline neden olma veya bir kimlik avı saldırısına düşme riski, yalnızca çalışanlar stresli ve tükenmiş olduğunda artar” diyor. /CISO) kurumsal güvenlik çözümleri sağlayıcısı Tessian’da.
Tessian ve Stanford Üniversitesi tarafından 2020 yılında yapılan bir araştırma, veri ihlali olaylarının %88’inin insan hatasından kaynaklandığını ortaya koydu. Ankete katılanların yaklaşık yarısı (%47) kimlik avı dolandırıcılığına kapılmanın ana nedeni olarak dikkat dağınıklığını belirtirken, %44’ü yorgunluk veya stresi belirtti.
Yavor, ZDNet’e “Neden? Çünkü insanlar stresli veya yorgun olduklarında bilişsel yükleri yüksektir ve bu da bir oltalama saldırısının belirtilerini tespit etmeyi çok daha zor hale getirir.”
Bilgisayar korsanları da bunun farkındadır: “Yalnızca hedef odaklı kimlik avı kampanyalarını daha karmaşık hale getirmekle kalmaz, aynı zamanda alıcıları, insanların yorgun veya dikkatlerinin dağılma ihtimalinin en yüksek olduğu öğleden sonra geç saatlerde hedefler. öğleden sonra ve akşam 6
Info-Tech Araştırma Grubu danışmanı Carlos Rivera, bir şirketin kimlik avı saldırılarına karşı savunmasızlığında tükenmişliğin oynadığı rolün göz ardı edilmemesi veya hafife alınmaması gerektiğine inanıyor. Bu nedenle, bir kuruluşun güvenlik bilinci programının bir parçası olarak bir kimlik avı simülasyon girişimi oluşturmak iyi bir uygulamadır, diyor ZDNet’e. Bay Rivera, “Bu program, ayda beş dakikalık ve üç ayda bir 15 dakikalık eğitim oturumlarına bölünebilen yılda bir saatlik eğitim uygulanarak optimize edilebilir”, diye açıklıyor.
“Eğitiminizin etkinliği üzerinde en fazla etkiye sahip olmak için, onu tipik olarak bilgisayar korsanları tarafından kullanılan taktikler, teknikler ve prosedürler olarak ortaya çıkan haberlerden konulara dayandırın.”
Analist Gartner tarafından yakın zamanda yayınlanan bir raporda, siber güvenlik yöneticisinin rolünün “yeniden çerçevelenmesi” gerektiğini savundu: öncelikle BT departmanı içindeki risklerle uğraşmak yerine, yönetici düzeyindeki bilgilerle ilişkili riskler hakkında kararlar almalı ve iş güvenliğini sağlamalıdır. liderler kapsamlı siber güvenlik bilgisine sahiptir.
Analist, 2026 yılına kadar orta düzey yöneticilerin %50’sinin iş sözleşmelerinde yer alan siber güvenlik riskine ilişkin performans gereksinimlerine sahip olacağını tahmin ediyor. Bu, siber güvenlik liderlerinin bugün kendi yetki alanlarına giren BT kararlarının çoğu üzerinde daha az doğrudan kontrole sahip olacağı anlamına geliyor.
Gartner’ın araştırma direktörü Sam Olyaei, “Siber güvenlik liderleri yorgun, çok çalışıyor ve ‘her zaman açık’ modunda” dedi. “Bu, kuruluşlarındaki paydaş beklentilerinin artan uyumsuzluğu nedeniyle son on yılda rolün esnekliğinin doğrudan bir yansımasıdır.”
Yavor ayrıca tükenmişliğin güvenlik ekiplerini nasıl etkilediğini ve tüm organizasyon için dalgalanma etkilerini düşünmenin kritik olduğunu söylüyor. Tessian’ın araştırmasına göre, güvenlik yöneticileri haftada ortalama 11 saat daha fazla çalışıyor ve her on yöneticiden biri haftada 24 saate kadar daha fazla çalışıyor. Bu zamanın çoğu, çalışan hatalarının neden olduğu tehditleri araştırmak ve düzeltmek için harcanıyor ve oturumu kapattıklarında bile, CISO’ların yaklaşık %60’ı stres nedeniyle işten ayrılmayı zor buluyor.
“CISO’lar bu kadar yüksek düzeyde tükenmişlik yaşarlarsa, bunun tüm organizasyon ve birlikte çalıştıkları insanlar üzerindeki etkisini bir düşünün. Ekipler sürekli olarak tükenirse iyi insanları kaybedersiniz.”
Fazla çalışmayı yüceltmek
Siber güvenlikle ilgili kültür de değişmeli. Yavor’a göre, bu kültür yanlış bir şekilde fazla mesaiyi ve şirketin iyiliği için kişisel refahın feda edilmesini putlaştırıyor. “Güvenlik yöneticileri olarak, en heyecan verici hikayelerimizden bazıları, tüm geceyi organizasyonu savunmak veya bir tehdidi araştırmak için harcamayı içeriyor. Ancak kahramanlığa duyulan ihtiyacın genellikle bir başarısızlık durumuna işaret ettiğini ve bunun sürdürülebilir olmadığını çoğu zaman fark edemiyoruz.” diyor.
“Liderler olarak, CISO’ların örnek olarak liderlik etmeleri ve ekiplerini sürdürülebilir operasyonel çalışma için hazırlamaları çok önemlidir. Belirlenen sınırlara güvendiğinizden – görev başında olduğunuzda, görev başında olduğunuzdan – ve tüm ekibin desteklendiğini hissediyor.” Rivera, uzaktan çalışmanın artan popülaritesinin, personelin daha uzun saatler çalışma eğilimini artırabileceğine ve bunun da “tükenmişliğe, açıklanmayan devamsızlıklara ve bazı durumlarda, beklenenden daha yüksek bir devir hızına katkıda bulunabileceğine” işaret ediyor.
Rivera, güvenlik ekiplerinin tükenmişlik ve fazla çalışma konusunda kurumsal farkındalığı artırmak için diğer departmanlarla birlikte çalışması gerektiğini söylüyor, bu da yöneticilerin tek hata noktalarını belirlemesine ve şirket içinde bir direnç kültürü aşılamasına yardımcı olabilir.
Rivera, “Kuruluşlar, geliştirme sürecinde güvenliği mümkün olduğunca erken uygulamaya koyduklarında ve bu hedefi otomatikleştirmek ve desteklemek için araçlar kullandıklarında daha az risk alırlar” diyor.
Teknik açıdan, sürekli iyileştirme/sürekli teslimat (CI/CD) hattı oluşturmak ve entegre geliştirme ortamı (IDE) gibi araçları devreye almak, kuruluşlara en iyi başarı şansını verecektir. “Bir IDE, bir kaynak kodu düzenleyicisi, bir hata ayıklayıcı ve geliştiriciye self servis yetenekleri sağlamak ve hataları neredeyse gerçek zamanlı olarak belirlemek için otomasyon araçlarını oluşturur. Statik analiz güvenlik testi ve otomatik açık kaynak analizi ile birleştirilmiş bir geliştirme ortamı. inşa boru hattı, kusurları etkili bir şekilde azaltacaktır” diye ekliyor Rivera.
Herhangi bir iş işlevi gibi, iletişim de önemlidir. CISO’ların kapasite kısıtlamalarını daha iyi iletmeleri gerekiyor, bu da Yavor’un kendi sınırlamalarını kabul etmek için kuruluş içinde bir emsal oluşturacağını söylüyor.
“Şu anda sahip olduğumuz kaynaklar ve kısıtlamalarla bunları yapmak benim için imkansız” demekten çekinmeyin.
“Güvenlik sektöründe talihsiz bir kahramanlık eğilimi var ve bu zihniyetin değişmesi gerekiyor.”
Kaynak: “ZDNet.com”