Pandeminin kaosu artık dikiz aynasındayken, nihayet “her zamanki gibi iş”e geri döndük. Normal operasyonlara dönüş, baş bilgi güvenliği görevlilerinin (CISO’lar) artık daha rahat nefes alabileceği anlamına gelebilir, ancak bunun tersi doğrudur. Yeni araştırmalar, CISO’ların siber saldırılarla başa çıkmak için geçen yıla göre daha az hazırlıklı olduklarını ve daha fazla risk altında hissettiklerini gösteriyor.
“2023 CISO’nun Sesi” raporu, Proofpoint’in 1.600 CISO’yu kapsayan küresel anketi, yanıt verenlerin %68’inin önümüzdeki 12 ay içinde önemli bir siber saldırı yaşama riski altında hissettiğini ortaya koydu. Rapor ayrıca, ankete katılan güvenlik liderlerinin %61’inin, 2022’de %50 ve 2021’de %66 ile karşılaştırıldığında, kuruluşlarının hedefli bir siber saldırıyla başa çıkmak için hazırlıksız olduğuna inandığını ortaya koydu.
CISO’ların Yükselen Endişelerinin Nedenleri
2022’deki çalkantılı siber güvenlik olayları, CISO’ların artan bir endişeye dönüşünün ardındaki sebeplerden biri olabilir. Geçen yıl giderek daha yıkıcı hale gelen fidye yazılımı saldırıları görüldü. kapatılan kuruluşlar ve tüm ulusları sakat bıraktı. Aynı zamanda, Rusya’nın ABD havaalanlarına düzenlediği saldırılar gibi olaylarla jeopolitik gerilimler artmaya devam etti ve Çinli ulus-devlet aktörleri telekomları hedef alıyor. Sallantılı ekonomi sorunları çözmedi ve ankete katılan CISO’ların %58’i gerilemenin güvenlik bütçelerini olumsuz etkilediğini paylaştı. Tüm bu olaylar, güvenlik liderlerini gerginleştiriyor ve belki de güvenlik duruşlarına olan güvenlerini azaltıyor.
CISO’ların artan endişesinin bir başka açıklaması, pandemi anormalliği olabilir. Bir gecede uzaktan operasyonlara geçişin neden olduğu benzeri görülmemiş zorlukların üstesinden gelen güvenlik liderleri bir sakinlik hissettiler. Saldırı hacimleri azalmasa da, CISO’lar kuruluşlarının daha az risk altında olduğunu hissettikleri için kısa bir süre rahatladılar. Yine de uzak ortamlarını güvence altına alma yeteneği, CISO’lara yanlış bir güven duygusu vermiş olabilir. Normal operasyonlara dönüşle birlikte, pandemi sonrası güvenlik ölçümleri muhtemelen daha az güven verici göründü ve iyimserlik etkisini yitirdi.
Artan Baskılar CISO’nun İşini Sürdürülemez Hale Getiriyor
CISO’ların algılarını yeniden ayarlamalarının ardındaki sebep ne olursa olsun, azalan güvenleri, şirketin eski baş güvenlik görevlisinin gözaltına alınmasıyla sonuçlanan geçen yılki gişe rekorları kıran Uber davasının ortaya çıkardığı kişisel sorumlulukla ilgili yeni endişelerle daha da kötüleşiyor. ABD federal mahkeme kararının tehlikeli bir emsal teşkil edebilecek derin sonuçları var ve Proofpoint tarafından ankete katılan CISO’ların %62’si kişisel sorumluluk konusunda endişe duyduklarını kabul etti.
Anket ayrıca, CISO’ların %60’ının son 12 ayda tükenmişlik yaşadığını ve %61’inin iş beklentilerinin mantıksız olduğunu düşündüğünü ortaya koydu; bu, önceki yılki %49’dan büyük bir sıçrama. Bu artan baskıları siber güvenlik yetenek eksikliği gibi devam eden mücadelelere ve son işten çıkarma dalgası gibi yeni sorunlara eklediğimizde, CISO’nun rolünün sürdürülemez hale gelmesi şaşırtıcı değil.
Bu, CISO’ların yönetim kurullarında şampiyonlara her zamankinden daha fazla ihtiyaç duyduğu bir zamandır. Proofpoint raporu, bu konuda bir umut ışığı vererek, çözülmekte olan bir CISO yönetim kurulu ilişkisini gösteriyor — CISO’ların %62’si, siber güvenlik konularında yönetim kurullarıyla aynı fikirde olduklarını söylüyor. Bu eğilim son üç yılda yukarı yönlü bir yörüngede olmuştur.
Verileri Korumak Birinci Önceliktir – ve Büyük Bir Zorluk
CISO’nun Sesi raporu, veri korumanın CISO’lar için en önemli öncelik olmaya devam ettiğini gösteriyor. Büyük İstifanın dalgalanma etkisi ve çalışan devir hızı, veri kaybı sorununu daha da kötüleştiriyor — ankete katılan güvenlik liderlerinin %63’ü son 12 ayda önemli bir hassas veri kaybıyla uğraştığını bildirdi ve %82’si, kuruluştan ayrılan çalışanların buna katkıda bulunduğunu söyledi kayıp. Teknoloji sektöründe gördüğümüz çok büyük işten çıkarmalar, özellikle bir sorun olabilir çünkü çalışanlar, çıkarken kurumsal verileri yanlarında götürmekle kendilerini haksız ve haklı hissedebilir.
Yaygın veri kaybına rağmen, CISO’ların %60’ı verileri korumak için yeterli kontrollere sahip olduklarına inanıyor. Bu iyimserlik şaşırtıcı, özellikle de CISO’ların güvenlik duruşlarına olan güven eksikliği göz önüne alındığında. Ekonomik belirsizlik devam ettikçe ve teknolojinin ötesinde daha fazla sektör ortaya çıktıkça sorunun daha da kötüleşeceğini umuyoruz. üretme ile Danışmanlık – toplu işten çıkarmalar peşinde koşun.
Tedarik Zinciri Tamamen Güvenli
Güvenlik liderlerinin fazlasıyla iyimser olduğu bir başka alan da tedarik zinciri güvenliğidir. Proofpoint tarafından ankete katılan CISO’ların yaklaşık üçte ikisi, tedarik zinciri riskini azaltmak için uygun kontrollere sahip olduklarını söyledi. Ancak, günümüzün karmaşık ve birbirine bağlı tedarik zincirini korumak son derece zordur ve sektörün çözemediği bir sorundur.
Çoğu kuruluş, bir dizi ortak ve tedarikçiye büyük ölçüde güvenirken, üçüncü taraf riskini kavrayamaz. Tehdit aktörleri bunu çok iyi biliyor, bu yüzden güvenin silah haline getirildiği yeni bir çağa girdik. Bir örnek olarak, araştırma geçen yıl kötü amaçlı bileşenler kullanan tedarik zinciri saldırılarının sayısında %633’lük şaşırtıcı bir artış buldu. Tedarik zinciri güvenliğinin bir ulusal güvenlik meselesi ve yeni bir sistemin parçası haline gelmesinin birçok nedeninden biri de budur. ulusal siber strateji Birleşik Devletlerde.
İyi haber şu ki, ankete katılan CISO’lar arasında önümüzdeki 12 ayda tedarikçi riskinin ele alınması en önemli önceliklerden biri olacak. Bu bulgular, güvenlik liderlerinin tedarik zinciri güvenliğinin kritik olduğunu fark ettiğini gösteriyor. Soru, güvenlik bütçeleri dengede kalırsa, bu alana yeterli kaynakları ayırmaya devam edip edemeyecekleridir.
Güvenlik Riski İş Riskidir
Ek düzenleyici inceleme, artan tedarik zinciri saldırıları, veri koruma – tüm bu zorluklar yatırımcı, tüketici ve çalışanların kuruma olan güvenini etkiler. Kurumsal başarı için güven daha önemli hale geldikçe, hem CISO’lar hem de yönetim kurulları için güvenlik riskine iş riski olarak bakmak ve kuruluşlarındaki sistemik riskin sonuçlarını anlamak önemlidir. Karmaşık siber güvenlik sorunlarını çözmek sektör çapında bir çaba gerektirse de, her şey kurumsal düzeyde başlar ve CISO’lar bu diyaloğu yönetmelidir.