Küresel düzeyde siber güvenlik tehditleri dijital teknolojilerin kullanımın yaygınlaşmasıyla artmaya devam etmektedir. Siber ve fidye yazılım tehditleri şirket verilerini riske atmaktadır. IBM’nin 2023 yılında yayınladığı “Veri İhlalinin Maliyeti Raporu” na göre, bir veri ihlalinin küresel ortalama maliyetinin 4.45 milyon Amerikan Dolarına ulaştığı görülmektedir[1].
Bu sorunlarla mücadele etmenin anahtarı olan siber güvenlik işgücü durumunu önceki yazımızda rakamlarla aktarmıştık. Bu alanda araştırma yapan kuruluşların raporlarında da görüldüğü gibi siber güvenlik sektöründeki uzman eksikliğiyle baş etmek günden güne zorlaşıyor.
İşgücü eksikliğinde yaşanan artışla kuruluşlar nasıl mücadele edebilir? Aşağıda açıklanan 4 yöntem şirketlerin mevcut çalışanlarının becerilerini arttırmaya ve işgücü eksikliğiyle mücadele etmeye yarar sağlayacaktır.
- Özel Sektör ve Akademinin Birlikte Eğitimler Düzenlemesi
Siber güvenlik veya bilgi teknolojilerinin herhangi bir alanında gelişmeler çok hızlı yaşanmaktadır. Her sene birçok alanda binlerce yeni ürün ve hizmet türü ortaya çıkmaktadır. Özel sektörün ortaya çıkan bu yeniliklere uyum sağlaması gerekmektedir. Örneğin, akademik programların ve eğitimlerin özel sektör kuruluşlarının ihtiyaç ve problemlerine cevap verecek şekilde düzenlenmesi bu duruma fayda sağlayabilir. Çünkü bir şirketin akademik bir kuruluş kadar verimli bir eğitim vermesi çok mümkün değildir. Dolayısıyla şirketlerin, üniversite ve eğitim kurumlarıyla işbirliği içinde düzenleyeceği eğitim programları daha sonuç odaklı olacaktır.
Örnek Uygulamalar:
- IBM ve Northeastern Üniversitesi: Cybersecurity Leadership Development Program (Siber Güvenlik Liderlik Gelişim Programı), öğrencilere ve mevcut çalışanlara ileri düzey siber güvenlik becerileri kazandırmak amacıyla hem teorik hem de uygulamalı eğitimler sunmaktadır.
- Palo Alto Networks ve NYU: Bu iki kurum, siber güvenlik eğitim programları düzenleyerek öğrencilere ve profesyonellere güncel tehditlerle başa çıkma yetkinliği kazandırmaktadır.
- İstanbul Teknik Üniversitesi (İTÜ) ve Turkcell: İTÜ Siber Güvenlik ve Kritik Altyapılar Uygulama ve Araştırma Merkezi, Turkcell ile iş birliği yaparak siber güvenlik eğitimleri ve projeleri yürütmektedir.
Diğer taraftan akademik kuruluşların da sektör dinamiklerini ve şirketlerin ihtiyaçlarını siber güvenlik sektöründe faaliyet gösteren kurumlar kadar bilmesi mümkün değildir. Şirketlerin de bu durumu göz önünde bulundurarak siber güvenlik alanında yeni eğitim programları geliştirmesi gerekmektedir. Örneğin, yeni nesil siber güvenlik uzmanlarını yetiştirmek için staj ve mentorluk programları önemli bir rol oynamaktadır. Bu programlar, öğrencilerin ve genç profesyonellerin gerçek dünya deneyimi kazanmalarına yardımcı olur. Örneğin bu konuda Cisco ve Google gibi dünya devleri kendi akademilerinde staj programları sunmaktadır. Ülkemizde ise hemen hemen tüm servis sağlayıcılarının hepsinde bu programlar mevcuttur. Türkiye Bilişim Derneği(TBD), genç yeteneklere bu konuda yardımcı olmaktadır. Ayrıca, Şişecam ve Arçelik gibi birçok büyük firma da kendi stajyer programları ile büyük bir katkı sağlamaktadır. Bu tarz uygulamaların yaygınlaşması işgücü ve yetenek eksikliğini gidermek için faydalı olacaktır.
- Mevcut Çalışanların Becerilerinin Arttırılması
Dijitalleşmenin günden güne daha fazla yayıldığı ve gelişen dijital teknolojilerin kullanımın arttığı bir ortamda siber güvenlik riskleri de beraberinde gelmektedir. Siber saldırı ve tehditleri de sürekli değişmektedir. Şirketlerin gelişen tehditlere cevap vermesi için kurum içi çalışan uzmanlarının yeteneklerini arttırmaya devam etmesi gerekmektedir. Örneğin, bulut bilişim güvenliği son yıllarda çok önem kazanan bir alandır. ISC2 raporuna göre 2024 yılında şirketlerin %44 gibi bir oranla en çok ihtiyaç duyacağı alan olarak belirttiği bulut bilişim güvenliğiyle ilgili yetkinlikleri çalışanlara kazandırmak gerekmektedir. Kuruluşların yeni gelişen bu alanlarda personel ihtiyacını dış kaynaklardan sağlamasından önce kendi iç kaynaklarına bu yetkinlikleri kazandırması daha faydalı olabilir.
Örnek Uygulamalar:
- Microsoft Cybersecurity Skills Initiative: Bu program, çalışanlara bulut güvenliği, yapay zekâ ve siber tehditlere karşı güncel eğitimler sunarak yeteneklerini geliştirmektedir.
- Google Cybersecurity Professional Certificate: Çevrimiçi kurslar aracılığıyla mevcut çalışanlara yeni yetkinlikler kazandırmaktadır.
- Türk Telekom Siber Güvenlik Akademisi: Türk Telekom, çalışanlarına ve dış katılımcılara yönelik çeşitli siber güvenlik eğitimleri sunarak sektördeki yetkinlikleri artırmayı hedeflemektedir.
Ayrıca yine ISACA[2] ve ISC2[3] raporlarına yansıyan diğer önemli alanlardan birisi de mevcut sosyal becerilerin önemidir. Örneğin aşağıdaki tabloda ISACA’nın araştırmasından yetenek eksikliğinin en çok hangi alanlarda yaşandığı görülmektedir. Özellikle iletişim, esneklik ve liderlik gibi sosyal becerilerin en başta çıkması dikkat çekmektedir. Şirketlerin, mevcut çalışanlarının teknik becerileriyle birlikte sosyal becerilerinin geliştirmeleri gerekliliği tablodan görünmektedir. IT alanında çalışan birçok mühendis ve uzmanın benzer sorunları olduğu bilinmektedir. Sosyal becerileri gelişecek uzmanların konulara daha bütünsel yaklaşma, kriz yönetimi ve liderlik etmesi mümkün olacaktır.
- Dış Kaynak Kullanımı
Şirketler, bazı siber güvenlik hizmetlerini yönetilen güvenlik hizmeti sağlayıcılarından (MSSP) dış kaynak olarak sağlayabilir. MSSP’ler şirketlerin beceri eksikliklerini aşmalarına yardımcı olurken sistemlerinin korunmasını da sağlamaktadır. MSSP’ler tehdit tespiti, olaylara müdahale ve uyumluluk yönetimi gibi alanlarda uzmanlaşmış uzmanlık ve kaynaklar sunar. İşletmeler, bir MSSP ile ortaklık kurarak, şirket içi kapsamlı işe alımlara ihtiyaç duymadan deneyimli profesyonellerden oluşan bir ekibe erişebilir. Dünyada IBM ve Deloitte; ülkemizden ise Turkcell, Türk Telekom ve STM gibi birçok örneği verebiliriz.
- Otomasyon ve Yapay Zekâ Teknolojilerinin Kullanımı
Siber güvenlikte otomasyon ve yapay zekâ odaklı çözümlerin kullanılması son zamanlarda en çok konuşulan konuların başında gelmektedir. Örneğin, Microsoft’un Copilot gibi yapay zekâ destekli siber güvenlik çözümleri, gelişmiş tehdit algılama ve yanıt sistemleri sunarak şirketlerin mevcut siber güvenlik ekiplerini güçlendirmektedir.
Otomasyon ise günlük analizi, tehdit korelasyonu ve güvenlik açığı taraması gibi rutin güvenlik işlemlerinin otomatikleştirilmesine yardımcı olabilir. Çünkün tekrar eden bu rutin işlerin otomatize edilmesi mevcut siber güvenlik uzmanlarının iş yükünün azalmasına katkıda bulunarak daha kritik işlere odaklanmalarını sağlayacak zaman yaratabilir. Dolayısıyla şirketler, siber güvenlik uzmanlarından daha iyi bir şekilde faydalanarak daha karmaşık ve stratejik çalışmalara odaklanabilir. Global ölçekte Crowdstrike, Darktrace bu alanda hizmet verirken, ülkemizden Binalyze örnek verilebilir.
Sonuç olarak yukarıda aktarılan başlıklar siber güvenlik sektöründe işgücü ve yetenek eksikliğinde yaşanan sorunların çözümü için örnek uygulamaları göstermektedir. Bunların dışında neler yapılabileceği ve alternatif çözüm önerileri sunan değerli yorumlarınızı bekliyoruz…
KAYNAKLAR
[1] IBM, Cost of a Data Breach Report 2023 – https://www.ibm.com/reports/data-breach
[2] State of Cybersecurity 2023 ISACA – https://www.isaca.org/resources/reports/state-of-cybersecurity-2023
[3] ISC2 Cybersecurity Workforce Study 2023 https://media.isc2.org/-/media/Project/ISC2/Main/Media/documents/research/ISC2_Cybersecurity_Workforce_Study_2023.pdf?rev=28b46de71ce24e6ab7705f6e3da8637e
Leave a comment