EN

Siber Güvenlik Yetenek Açığı


Son iki yılda BT ekipleri, uzaktan ve hibrit çalışma modellerine hızla geçiş yapmak zorunda kaldığı için çoğu kuruluş için uyum sağlama yeteneği bir avantaj oldu.

Milyonlarca çalışanın güvenlik tedbirleri zayıf olan ev ofislerinden giriş yaptığı şirket ağının ani genişlemesi, kötücül siber aktivitelerde önemli artışlara yol açtı. 2021'de Fortinet Küresel Tehdit Ortamı Raporu, tek başına fidye yazılımı saldırılarında on kat artış olduğunu ortaya koydu.

Fortinet sponsorluğunda yapılan yeni bir ankete göre kuruluşların siber suçlarla mücadelede karşılaştıkları birçok zorluğun, doğrudan doğruya kalifiye siber güvenlik uzmanlarının eksikliğinden kaynaklandığını ortaya koyuyor.

Dünya çapında kuruluşların %80'I nedenini siber güvenlik becerileri ve/veya farkındalık eksikliğine bağlayabilecekleri bir veya daha fazla ihlal yaşadı.

Önemli gerçekliklerden biri, kuruluşların sertifikalı siber güvenlik personeli bulmak ve elde tutmak için uğraş vermek zorunda olmasıdır.

Küresel çapta şirket yöneticilerine göre:

- %60'ı siber güvenlik yeteneğini işe almak için mücadele ediyor

- %52 nitelikli çalışanları elde tutmak için mücadele ediyor

- %67'si, nitelikli siber güvenlik adaylarının eksikliğinin kuruluşları için ek riskler oluşturduğu görüşüne katılıyor

Kuruluşların artık her zamankinden daha fazla nitelikli siber güvenlik uzmanlarına ihtiyacı var; bu nedenle kuruluşların %76'sı yönetim kurullarının artık BT ve siber güvenlik personel sayısında artış önerdiğini belirtiyor.

Siber güvenlik her kuruluşu etkiler:

Kuruluşların %80'i son 12 ay içinde bir veya daha fazla ihlal yaşadı. %19'u beş veya daha fazla ihlali doğruluyor. Neredeyse %40'ı, düzeltilmesi bir milyon dolardan fazlaya mal olan ihlallere maruz kaldı.

Yeteneğin işe alınması ve elde tutulması bir sorundur:

Ankete katılanların %67'si, beceri eksikliğinin kuruluşları için ek siber riskler oluşturduğuna katılıyor. Bu nedenle, kuruluşların %76'sının artık BT ve siber güvenlik personel sayısında açıkça artış öneren bir yönetim kurulu var. Bununla birlikte, kuruluşların %60'ı siber güvenlik yeteneklerini işe almak için mücadele ederken, %52'si onu elde tutmak için uğraş veriyor.

Kuruluşlar sertifikalı becerilere sahip bireyler arıyor:

Karar alıcılarının %95'i teknoloji odaklı sertifikaların hem rollerini hem de ekiplerini olumlu etkilediğine inanıyor. Bu nedenle, lider kuruluşların %81'i sertifika sahibi kişileri işe almayı tercih ediyor. Ancak %78'i sertifikalı aday bulmanın zor olduğunu belirtiyor, bu nedenle kuruluşların %91'i çalışanlarının eğitimi ve sertifikasyonu için ödeme yapmaya hazır.

Kuruluşlar daha fazla çeşitlilik arıyor:

Dünya çapında 10 liderden 7'si kadınları ve yeni mezunları işe almanın en büyük üç zorluk arasında sayıyor. %61'i azınlıkları işe almanın da ilk üç zorluk olduğunu söylüyor. Zorluklara rağmen veya belki de bu zorluklar nedeniyle, 4 kuruluştan 3'ü daha fazla kadın işe almak için resmi süreçler uyguladı ve son üç yıl içinde her 10 kuruluştan 9'u kadınları ve yeni mezunları aktif olarak işe aldı.

Siber güvenlik bilincini artırmak hala zorlu bir görev:

Kuruluşların %87'si siber farkındalığı artırmak için bir eğitim programı uyguladı. Ancak liderlerin %52'si, çalışanlarının hala gerekli bilgiye sahip olmadığına inanıyor. Bu durum, bu eğitim programlarının verimliliği sorusunu gündeme getirmektedir. Bir farkındalık eğitim programı olmayan kuruluşların %66'sı bir program oluşturma niyetindedir.

Bu anket, şu konumlarda bulunan 1223 BT ve siber güvenlik karar vericisi ile gerçekleştirildi:

Arjantin  Avustralya Brezilya  Kanada Kolombiya Fransa Almanya Hong Kong Hindistan Endonezya İsrail İtalya Japonya Malezya Meksika Hollanda Çin Halk Cumhuriyeti Filipinler Yeni Zelanda Singapur Güney Afrika Güney Kore İspanya İsveç Tayvan Tayland Birleşik Arap Emirlikleri Birleşik Krallık Amerika Birleşik Devletleri

Katılımcılar çeşitli sektörlerden, en iyi temsil edilen sektörler teknoloji (%28), imalat (%12) ve finansal hizmetler (%10).

Ek olarak:

- Ankete katılanların %12'si şirket sahibi
- %34'ü üst düzey yönetici (C-level) pozisyonlarına sahip
- %6'sı başkan yardımcısı
- %14'ü departman başkanı
- %34'ü yönetici
- %64 erkek
- %35'i kadın

Kuruluşlar ihtiyaç duydukları nitelikli siber güvenlik yeteneğine sahip olmadıklarında saldırılara karşı daha savunmasız hale gelirler. Veriler bunu doğruluyor; dünya çapındaki liderlerin üçte ikisi (%67), kuruluşlarındaki beceri eksikliği nedeniyle karşılaştıkları ek riskler konusunda endişelerini dile getiriyor. Her kıtadaki liderler bu endişeyi paylaşıyor

Siber güvenlik artık yönetim kurulu düzeyinde bir öncelik:

İhlallerin artan ve somut maliyetleri göz önüne alındığında, siber güvenlik yönetim kurulu düzeyinde bir öncelik haline geliyor. Küresel olarak, bir yönetim kuruluna sahip kuruluşların %88'i, yönetim kurullarının artık özellikle siber güvenlik hakkında sorular sorduğunu bildiriyor. Bu tartışmaların bir sonucu olarak, dünya genelindeki yönetim kurullarının %76'sı BT ve siber güvenlik için personel sayısının artırılmasını öneriyor.

İşe alma zorlukları:

Nitelikli siber güvenlik uzmanları bulmak ve işe almak zor.

Küresel olarak, liderlerin %60'ı kuruluşlarının işe alımla mücadele ettiğini kabul ediyor.

Daha fazla analiz, bunun bazıları için diğerlerinden çok daha büyük bir sorun olduğunu gösteriyor:

- Brezilya (%97), Fransa (%77) ve Kuzey Amerika (%69) işe alımda zorlanıyor.

- Çin Halk Cumhuriyeti (%33) ve İspanya (%29) daha az sorun bildirmektedir.

Bunun nedeni, bu bölgelerde bulunan nitelikli siber güvenlik uzmanlarının sayısı olabilir. Her bir bölgedeki siber güvenlik endüstrisinin olgunluk düzeyinden de etkilenme ihtimali var.

Çalışanı Elde Tutma:

Hazırda kalifiye profesyoneller olmadığında, kuruluşların işgücünü büyütmek için yapabilecekleri sınırlı.

Şirketlerin uzun vadede kendilerini eksiksiz biçimde korumaları için yapabilecekleri en önemli şey en iyi çalışanlarını elde tutmaya odaklanmalarıdır.

Küresel olarak liderlerin %52'si, kuruluşlarının siber güvenlik yeteneklerini elde tutmak için mücadele ettiğini kabul ediyor. Ancak, önemli bölgesel farklılıklar var:

- Tayland (%91), Brezilya (%84) ve İsrail (%80) elde tutma ile ilgili önemli sorunlar bildirmektedir.

- İtalya (%30), Meksika (%28) ve Çin Halk Cumhuriyeti (%25) daha az sorun bildirmektedir.

En önemli beceri açığı nedir?

Siber güvenlik yeteneği arayan kuruluşlar için önemli bir zorluk, çok çeşitli güvenlik ve BT ağıyla ilgili roller ve uzmanlıklar için insanları işe almaları gerekliliğidir.

Kurumlar işe alım için hangi rolleri arıyor:

- Bulut Güvenliği Uzmanı %50
- SOC Analisti %42
- Güvenlik Yöneticisi %42
- Güvenlik Mimarı %40
- Güvenlik Farkındalık ve Eğitim Yöneticisi %37
- Ağ Mimarı %34
- DevSecOps Uzmanı %32
- Olay Müdahale Uzmanı %32
- Uyumluluk Uzmanı %27
- Penetrasyon Testi Uzmanı %27
- NOC Operatörleri %21
- Diğer %1

Bulut güvenliği uzmanları ve güvenlik operasyonları (SOC) analistleri, siber güvenlikte en çok aranan roller arasında olmaya devam ediyor ve sırayı güvenlik yöneticileri ve mimarları takip ediyor. Ancak kuruluşlar sadece keyfi olarak işe alımları artırma peşinde değil. Bilinçli olarak, giderek daha karmaşıklaşan bir tehdit ortamıyla başa çıkabilecek donanımlı, uzmanlaşmış yeteneklerden oluşan ekipler oluşturmaya çalışıyorlar. Şirketlerin pandemi sırasında operasyonlarını hızlı bir şekilde buluta taşımaları nedeniyle ortaya çıkan bir öncelik olarak küresel kuruluşların %50'si bulut güvenliği uzmanları arıyor.  Zorluk ise doğru çalışanları bulmakta.

En zor doldurulan pozisyonlar:

- Bulut Güvenliği (bulut ve veri merkezi, uygulama güvenliği, vb.): %57
- Güvenlik Operasyonları (SOC platformları, gelişmiş tehdit koruma, uç nokta güvenliği, vb.): %50
- Ağ Güvenliği (Güvenlik Duvarı, WAN edge, vb.): %49
- Yazılım Geliştirme Güvenliği: %42
- Risk Yönetimi: %38
- Güvenlik Değerlendirme ve Test: %34
- Erişim Yönetimi: %22
- Uyumluluk: %19
- Hiçbiri: %5

Küresel olarak, bulut güvenliği (%57) ve güvenlik operasyonları (%50), işe alım için en zorlu alanlardır ve bunu ağ ve yazılım geliştirme ile ilgili güvenlikteki teknik roller izlemektedir.

Siber güvenlik yeteneklerini işe alma ve elde tutma zorluğunun merkezinde sertifikasyonun önemi yer almakta. Sertifikalı profesyoneller küresel ölçekte aranıyor. Küresel olarak kuruluşların %91'i, bir çalışanın siber güvenlik sertifikası alması için ödeme yapmaya hazır olduklarını iddia ediyor. Hindistan ve Çin Halk Cumhuriyeti'nde, liderlerin %100'ü işe alırken sertifikalı kişileri arıyor. Kuzey Amerika'da, kuruluşların %85'i sertifikalı kişileri işe almayı tercih ettiğini bildiriyor.

Zorluk sadece daha fazla insanı işe almakta değil, aynı zamanda daha yetenekli ve daha çok-yönlü ekipler oluşturmaktadır. İşletmeler bir dizi farklı rol için nitelikli yeteneğe ihtiyaç duyarken, küresel şirketlerin %89'u işe alım planlarının bir parçası olarak açık çeşitlilik hedeflerine de sahiptir.

Küresel olarak, BT yöneticilerinin %70'i, kadınların ve yeni mezunların işe alınmasını ilk üç zorluk olarak görüyor. Bu kesimlerden işe alımın daha büyük çabalar gerektirmesinin sonucu olarak Latin Amerika'daki (%93) ve Kuzey Amerika'daki (%90) kuruluşların çeşitlilik hedeflerine sahip olmaları daha olasıdır.

Yeni mezunlar, işe alınması en kolay olanlardır ve karar vericilerin yalnızca %24'ü bunu zor bulduklarını bildirmiştir. Karşılaştırıldığında, Kuzey Amerika kuruluşlarının %33'ü, yani tam olarak üçte biri, azınlıkları işe almakta zorlandıklarını söylüyor ki bu, Asya Pasifik'teki kuruluşların %43'ünden oldukça düşük.

Bununla birlikte, kuruluşların %45'i nitelikli kıdemli çalışan bulmanın zor olduğunu bildirirken, %18'i bunun çok zor olduğunu söylüyor.

Karar vericiler ayrıca, bu gruplardan bireyleri işe almanın, bazı dikkate değer farklılıklarla birlikte, şimdi de pandemi öncesi kadar zor olduğunu düşünüyor. Örneğin, kuruluşların %24'ü pandemiden bu yana kadınları işe almanın daha kolaylaştığını bildirirken, siber güvenlik iş gücünün saflarına daha fazla kadının katıldığı görülüyor.

Siber güvenlik bazen tamamen teknolojik bir alan gibi görünebilir:

Ancak kuruluşların güvendiği teknolojinin ötesine baktığınızda siber güvenlik, çalışanlarınızın kuruluşu korumak için birlikte ne kadar iyi çalıştığıyla ilgilidir.

Kuruluşların çok yönlü zorlukların üstesinden gelebilmesi için şunları yapması gerekir:

- Ağ ve güvenlikle ilgili çeşitli roller için kalifiye, yetenekli ve sertifikalı kişileri bulmak ve işe almak
- Hedefledikleri uzman ekipleri oluşturmak için araştırmalarını  ve odaklarını çeşitliliğe genişletmek
- Çalışanların becerilerini geliştirmelerini, sertifika almalarını ve mesleki gelişimlerini sürdürmelerini mümkün kılarak çalışanları elde tutma yeteneklerini geliştirmek
- Hem teknik hem de teknik olmayan tüm çalışanlara kritik siber hijyen becerilerini geliştirebilmeleri için siber güvenlik farkındalık eğitimi sağlamak

Neyse ki, kuruluşlar tüm bu cephelerde iyileştirmeler yapabilmek için bilinçli bir şekilde çaba sarf ediyor. Ancak, siber savaşın herhangi bir cephede kazanılmadığını hatırlamak gerekiyor. Siber güvenlik, bir kuruluşu korumak için birlikte çalışan bütün bir insan ve teknoloji sistemini gerektirir. Bu, kuruluşu korumak için yetkilendirilmiş, nitelikli ve sertifikalı insanlarla başlar.

Yazar: Fevziye TAŞ / BeyazNet Bilgi Sistemleri Denetim Uzmanı