Siber Güvenlikte Yetenek Açığı: İşgücü ve İhtiyaçlar Arasındaki Boşluk
Uzun zamandır siber saldırı haberlerinin gelmediği bir gün yaşanmıyor. Yakın zamanda yaşanan en dikkat çekici saldırı haberlerinden birisi ABD’den geldi. 2024 yılında UnitedHealth Group, alt şirketi Change Healthcare’in sistemlerine yapılan fidye yazılımı saldırısında kişisel ve sağlık bilgileri çalındı. Saldırı, ABD genelinde sağlık hizmetlerinde büyük kesintilere yol açtı ve şirket, etkilenen sistemleri restore etmek ve sağlık hizmeti sağlayıcılarına destek sağlamak için 6 milyar dolardan fazla ön finansman sağladı[1]. Bu ve benzer saldırıların oluşturduğu tehditler ve ekonomik kayıplar günden güne artmaktadır. Bunun gibi artan tehditler önemli kuruluşların gündeminde yer almaktadır.
Nitekim Dünya Ekonomik Forumu (WEF) tarafından yayınlanan Küresel Riskler Raporu 2024’e göre, çevresel risklerden sonra, önümüzdeki yıllarda küresel çapta karşılaşılacak en büyük risklerden biri olarak siber güvenlik öne çıkıyor[2]. Benzer şekilde şirket yöneticileriyle yapılan birçok araştırmada, yöneticiler, önümüzdeki yıllarda şirketleri için en çok kaygı duydukları alanlardan birisi olarak siber güvenliği görmektedir.
Peki, bu artan kaygılar ve siber saldırılar karşısında sektördeki iş gücü ve yetenek havuzu yeterli mi?
Siber Güvenlik İş Gücündeki Durum
Önde gelen kuruluşlardan ISC2 tarafından yayınlanan 2023 yılı raporu, siber güvenlik alanında iş gücünün önceki yıla göre %8.7 artış göstererek 5.5 milyon kişiye yaklaştığını gösteriyor. Ancak bu artış yeterli gözükmemektedir. Aynı raporda belirtilen araştırmalar, dünya genelinde sektörde hala 4 milyon civarında açık pozisyon olduğunu ve 2023 yılında iş gücü eksikliğinin %12.6 oranında arttığını ortaya koyuyor[3].
Bu konuda araştırmalar yapan bir diğer önemli kuruluş olan ISACA’nın 2023 raporu da dikkat çekici veriler sunmaktadır. Aşağıdaki tabloda, kuruluşların siber güvenlik ekiplerinin mevcut durumlarını araştıran bir soruya olan yanıtları verilmiştir. 2022’de kuruluşların %62’si, 2023’te ise %59’i siber güvenlik ekibinde eksiklikler olduğunu belirtmiştir[4]. Önceki yıla göre biraz düşüş olsa da şirketlerin büyük bir kısmı siber güvenlik ekiplerindeki eksikliği belirtmektedir.
Şirketlerin Yaşadığı Zorluklar
ISACA’nın aynı raporunda dikkat çeken bir diğer konu da şirketlerin siber güvenlikteki açık pozisyonlarını ne kadar sürede doldurduklarıdır. Aşağıdaki tabloya göre başlangıç seviyesindeki pozisyonları doldurmak için ortalama 3-6 ay süre gerektiğini ifade eden şirketlerin oranı %38 iken, daha deneyimli güvenlik uzmanları için bu süre daha da uzayabiliyor.
Buna benzer bir durum ISC2’nin raporunda da görülmüştür. Araştırmaya katılan şirket yöneticileri, geçtiğimiz bir yılda en çok zorluğu iş gücü ve yetenek eksikliğinde(%45) yaşadıklarını belirtmişlerdir. Aynı araştırmada önümüzdeki bir yılda karşılaşmayı bekledikleri zorluklar içinde işgücü ve yetenek eksikliği %43 oranında ikinci sırada görülmektedir[5]. İki kuruluşun da araştırmaları açıkça gösteriyor ki, özellikle açık pozisyonların doldurulmasının zaman alması, siber güvenlik süreçlerini ciddi şekilde tehdit etmekte ve diğer çalışanların iş yükünü arttırmaktadır.
Nitelikli İşgücüne Olan İhtiyaç
Raporlar, siber güvenlikte en çok talep edilen yetenekler arasında bulut güvenliği ve yapay zeka gibi nispeten yeni gelişen alanların öne çıktığını gösteriyor.
Fortinet Siber Yetenek Boşluğu 2023 raporuna göre en çok ihtiyaç duyulan 5 yetenek yukarıda görülmektedir. Bulut güvenliği %46’lık bir oranla dikkat çekmektedir[6]. ISC2 raporunda da benzer bulgulara rastlanmaktadır. Raporda şirketlerin bulut güvenliği, yapay zekâ gibi becerilere sahip uzmanlara olan talebinin arttığı görülmektedir. Örneğin, Eylül 2023’te Microsoft AI araştırmacıları GitHub’da açık kaynak eğitim verilerini yayınlarken yanlışlıkla 38 terabaytlık özel veriyi ifşa etti. Bu olay, Azure’un SAS belirteçlerini yanlış yapılandırmaları sonucu tüm depolama hesabına erişim izni verilmesiyle gerçekleşti ve hassas bilgiler, özel anahtarlar, şifreler ve iç Microsoft Teams mesajlarını içeriyordu[7]. Özellikle bu hadise de bile konunun önemini göstermektedir.
Dijitalleşmenin Rolü ve Gelecek Öngörüleri
Dijitalleşme, iş yapış biçimlerimizi derinden etkileyerek siber güvenlik risklerini de artırıyor. Özellikle, internete bağlı cihazlar (IoT) ve otonom araçlar gibi yeni teknoloji alanlarındaki hızlı gelişmeler ve şirketlerin mevcut faaliyetlerini giderek daha da dijital teknolojilerle sürdürmesi görülen durumlardır. Halihazırdaki yetenek ve iş gücü eksikliği, bu hızla dijitalleşen dünyada sadece daha da belirginleşecek ve bu sürpriz olmayacaktır. Bu durumda şirketler, bu açığı kapatmak ve geleceğin güvenlik ihtiyaçlarını karşılamak için ne gibi stratejiler geliştirebilir?
Bu yazıda işlediğimiz konular, siber güvenlik sektöründe karşılaşılan en büyük zorluklardan sadece birkaçını ortaya koyuyor. İşgücü ve yetenek eksikliği, siber güvenlikte sürdürülebilir bir gelecek için üstesinden gelinmesi gereken temel bir sorun olarak öne çıkıyor. Bir sonraki yazımızda, şirketlerin bu zorlukların üstesinden gelmek için hangi adımları attığını ve hangi yenilikçi stratejileri uygulamaya koyduğunu ele alacağız.
Peki sizce şirketler bu zorluklarla başa çıkmak için hangi stratejileri benimsemeli? Yorumlarınızla katkıda bulunmayı unutmayın!
KAYNAKLAR
[1] Security Week – UnitedHealth Says Patient Data Exposed in Change Healthcare Cyberattack – SecurityWeek
[2]The Global Risk Report 2024 World Economic Forum – https://reliefweb.int/report/world/global-risks-report-2024-19th-edition-insight-report?gad_source=1&gclid=Cj0KCQjwlN6wBhCcARIsAKZvD5jUEHq9BGmwGBPvruD1lR1e-LdUIlkZblx4oLa6eH70MnQxLA1JeKcaAtjkEALw_wcB
[3] ISC2 Cybersecurity Workforce Study 2023 https://media.isc2.org/-/media/Project/ISC2/Main/Media/documents/research/ISC2_Cybersecurity_Workforce_Study_2023.pdf?rev=28b46de71ce24e6ab7705f6e3da8637e
[4] State of Cybersecurity 2023 ISACA – https://www.isaca.org/resources/reports/state-of-cybersecurity-2023
[5] ISC2 CYBERSECURITY WORKFORCE STUDY 2023 https://media.isc2.org/-/media/Project/ISC2/Main/Media/documents/research/ISC2_Cybersecurity_Workforce_Study_2023.pdf?rev=28b46de71ce24e6ab7705f6e3da8637e
[6] 2023 Cybersecurity Skills Gap FORTINET Training Institute – https://www.fortinet.com/content/dam/fortinet/assets/reports/2023-cybersecurity-skills-gap-report.pdf
[7] Microsoft – https://msrc.microsoft.com/blog/2023/09/microsoft-mitigated-exposure-of-internal-information-in-a-storage-account-due-to-overly-permissive-sas-token/
Leave a comment