Hiç kimse güvenlik sorunlarından bağışık değildir: Facebooksızdıran veritabanları, JBS ve Microsoftrezil için büyük ihlaller Koloni boru hattı veri kesmek – herkes duyarlıdır. Ve son iki yılda uzaktan operasyonlar bir zorunluluk haline geldiğinden, kötü niyetli aktörler bundan faydalandı. acele uygulamalar ve zayıf güvenlikli sistemlerveritabanlarına her zamankinden daha kolay sızıyor.
Günümüzde siber güvenlik, 1 trilyon dolarlık sorun bu, siber güvenlik yeteneklerini işe almanın, işe almanın ve geliştirmenin önemini vurguluyor. Fidye yazılımı enfeksiyonlarından güvenliği ihlal edilmiş hesaplarda kripto madenciliğine kadar, çoğu güvenlik kazası insan hatasına kadar izlenebilir. Çalışanlar bunalmış ve fazla çalışmış hissettikçe, hatalar – örneğin bulut yanlış yapılandırmaları veya veri önbelleği izinlerini açık bırakma – gerçekleşmesi kaçınılmazdır.
Yine de dünya yardım etmek için daha fazla siber uzmanlık aradıkça, güvenlik becerileri açığı büyümeye devam ediyor. Güvenlik uzmanlarının yüzde doksan beşi
kıtlığın şimdi pandeminin ilk günlerinden daha kötü olduğunu söylüyorlar. Herkes bu büyük krizin acısını hissederken, şirketler umutsuzca ihtiyaç duydukları yetenekleri güvence altına almak için ne yapabilir? İki önemli değişiklik yapmak geliyor: yetenekleri nasıl belirledikleri ve geliştirdikleri konusunda daha açık fikirli olmak ve siber güvenlik bakımlarının bir kısmını yönetilen hizmet sağlayıcılara atamak.
Beceri Farkını Kapatmak İçin İki Vardiya
Günümüzün pek çok eksikliğinde olduğu gibi, siber güvenlik yeteneği ikilemi de basit bir arz ve talep denklemine dayanıyor. Güvenlik becerilerine olan talep tüm zamanların en yüksek seviyesi Üst üste beşinci yıldır, birden çok güvenlik alanı, özel bulut operasyonları ve güvenliği, ağ iletişimi, uyumluluk kurulumları ve DevSecOps bilgisi dahil olmak üzere bu becerilere sahip olan üstesinden gelinemez bir yetenek kıtlığı var. Neredeyse tüm kuruluşlar (%87) bu eksiklikten etkilenir.
Soruna ek olarak, dünyanın en büyük ve en çok nakit sıkıntısı çeken işletmeleri – Capital One, Amazon ve Deloitte – daha fazla güvenlik yeteneğini işe almak için büyük işe alım çılgınlığı devam ediyor. Aslında, talep o kadar yüksek ki deneyimli siber güvenlik yeteneği sorabilir bu devasa oyunculardan astronomik maaşlar için, şirketlerin çoğunu yetenek rekabetinin dışında fiyatlandırıyor.
Gibi Bu becerilere olan talep, mevcut yetenekleri geride bırakmaya devam ediyor, şirketlerin nasıl işe aldıklarını ve dahili büyümeyi nasıl kolaylaştıracaklarını yeniden düşünmelerinin zamanı geldi. Güvenlik işleri tarihsel olarak yüksek ve genellikle gereksiz gereksinimlerbaşka türlü nitelikli adaylar için giriş engelleri yaratmak.
Örneğin, bazı giriş seviyesi iş ilanları, yalnızca yıllarca çalışılarak elde edilebilecek son derece spesifik profesyonel sertifikalar ve kapsamlı uygulamalı güvenlik deneyimi gerektirir. Aslında, araştırmacılar daha fazla siber güvenlik yeteneğinin mevcut olduğunu söylüyor, ancak dört yıllık derece, güvenlik sertifikaları ve önceki deneyim gibi iş kriterleri yetenek havuzunu yapay olarak sınırlamak. Gartner güvenlik liderlerine “siber güvenlik için nerede ve nasıl aradıklarını” geliştirmelerini ve işte beceri kazanma potansiyeli olan adayları değerlendirmeye başlamalarını tavsiye ediyor. Benzer şekilde, şirket içi gelişime de yatırım yapmak akıllıca olur, dışarıdan işe alımlar aramak yerine gelecek vaat eden dahili yetenekleri eksik beceriler konusunda eğitmek.
Değişen işe alma ve çalışan yetiştirme yaklaşımlarıyla paralel olarak, şirketlerin de zihniyetlerini değiştirmeleri gerekiyor. Çok sayıda küçük şirket, siber güvenliğin geliştirilmesini bir sorun olarak görüyor – ihlallerin yalnızca büyük şirketlerde olduğunu varsayıyorlar ve bu nedenle büyümeye odaklanıyor ve bunun yerine ürün güncellemelerine öncelik veriyorlar. Ancak KOBİ’ler, siber saldırılar tarafından hedef alınmaya karşı bağışık değildir. Aslında, geçen yıl her beş ihlal kurbanından biri KOBİ’lerdive siber güvenliği bir öncelik haline getirmeyerek kendilerine bir kötülük yapıyorlar.
Ve siber güvenlik söz konusu olduğunda şirketlerin bunu yalnız başına yapması gerekmiyor. Bu, şirketlerin bilgi işlem bulut sunucularını ve verileri güvende tutmak için ihtiyaç duydukları korumaya sahip olmalarını sağlamada rol oynayan satıcılarla ortak bir sorumluluk olabilir. Bulut ekosistemlerini kurmak veya işletmek için zaten yönetilen hizmet sağlayıcılara güvenen KOBİ’ler, sağlayıcılarının güvenlik özelliklerinden de yararlanarak beceri açığını kapatabilir. Etkili bir yönetilen hizmet sağlayıcı, sistemlerin ve ağların güvenliğini sağlamanın yükünü omuzlayabilir, sertifikalı profesyonellerden rehberlik ve eğitim sunabilir, güvenlik güncellemelerini yönetebilir, yedeklemeleri sürdürebilir ve uyumluluk gereksinimlerini karşılayabilir.
Yeni Yetenek Beklemeyin – Siber Güvenliğe Öncelik Verin
Yetenek eksikliğini gidermek, şirketlerin hem içe hem de dışa bakmalarını gerektirir. Dahili olarak, güvenlik ekiplerinin bilgi ve becerilerini geliştirmelerine yardımcı olmak için geliştirme ve eğitime daha fazla odaklanmak şarttır. Ama dışarıda da yapılacak işler var. Şirketler, işe alım şekillerinden yönetilen hizmet sağlayıcılara nasıl dayandıklarına kadar, mevcut kıtlık durumunu anlamlı yollarla değiştirme fırsatlarına sahiptir. Güvenlik liderlerinin işinin kritik bir başarı faktörü, metodik olarak tasarlanmış güvenlik yeteneği kuluçka ve geliştirme programları aracılığıyla kritik yetenek açığını en aza indirmeye ve diğer iş işlevlerinden veya güvenlik hizmeti sağlayıcılarından güvenlik odaklı profesyonelleri sürece dahil etmeye odaklanır.
Siber güvenlik yeteneği eksikliği hiçbir yere gitmiyor – bunun işletmenizi tehditlere karşı savunmasız hale getirmesine izin vermeyin.
yazar hakkında
Bilgi güvenliği kıdemli direktörü olarak Joseph Zhou, Akamai’nin bulut bilişim operasyonlarının siber güvenlik programı, mimarisi ve operasyonlarını yönetiyor. Zhou, kurumsal güvenlik mimarisi, ağ güvenliği, iş sürekliliği, güvenlik bilinci eğitimi ve daha fazlasını kapsayan bir güvenlik uzmanları ekibine liderlik ediyor. Role zengin bir endüstri deneyimi getiriyor ve daha önce Evive ve Transworld Systems’da CISO rollerinde görev yaptı.