Yeni bir rapor, Avustralya’nın mevcut siber güvenlik becerileri havuzunun düşünülenden daha küçük olduğunu ortaya çıkardı.
Güvenlik sağlayıcısı StickmanCyber tarafından ABS nüfus sayımı ve işgücü verilerinin analizine dayanan bir analiz olan Avustralya’nın Siber Güvenlik ve Teknik Beceri Açığı raporu, ülke genelinde 10.000 teknik rol açığını ortaya çıkardı. Her 240 Avustralya işletmesine karşılık yalnızca bir siber güvenlik uzmanı bulunmaktadır.
Avustralyalı güvenlik uzmanlarının eksikliği, bölgedeki son dönemde yaşanan çok sayıda veri ihlalinin kısmen sorumlusudur ve gelecekteki siber güvenlik olaylarının riskini artırmaktadır.
Avustralya’da BT becerilerinin mevcut durumu
Rapora göre, BT beceri açığına çeşitli faktörler katkıda bulunuyor.
İlk olarak, siber tehditlerin gelişen doğasıyla birlikte hızlı bir teknolojik değişim yaşanıyor. Bu durum, mevcut işgücüne dahil edilmesinin kolay olmadığı, ileri düzeyde uzmanlık bilgisine sahip profesyonellere yönelik bir talep yarattı.
Sonuç olarak, bu becerilere sahip insanların arzı, talebin gerisinde kalıyor.
StickmanCyber CEO’su Ajay Unni’nin TechRepublic ile yaptığı röportajda söylediği gibi: “Siber güvenlik nispeten yeni bir disiplindir ve ancak son on yılda ortaya çıkmıştır. Teknik uzmanlığı stratejik gözetimle harmanlayan çok disiplinli bir yaklaşım gerektirir. Ne yazık ki, bu benzersiz becerilere sahip yetenek havuzu sınırlıdır; büyük işletmeler bu profesyoneller açısından genellikle küçük işletmeleri geride bırakmaktadır.”
İşletmeler üzerindeki etkisi
Beceri eksikliği, genellikle büyük şirketlerin kaynaklarından yoksun olan ve ücretler için “silahlanma yarışı” içinde rekabet etme mücadelesi veren küçük ve orta ölçekli işletmeler için özellikle zorlayıcı olacaktır. Sonuç olarak, boşluğu doldurmak için giderek daha fazla yönetilen güvenlik hizmeti sağlayıcılarına yöneliyorlar.
Unni, şirketlerin bu yaklaşımdan memnun olmaya başladığını söyledi.
“Siber güvenliğin dış kaynak kullanımı, BT, muhasebe ve hukuk fonksiyonlarının dış kaynak kullanımı kadar yaygın hale geliyor” diye açıkladı. “Ancak bunun etkili olabilmesi için kuruluşların net hedefler belirlemesi ve işin kapsamını tanımlaması gerekiyor. Bu, makul bir maliyetle yüksek kaliteli bir sonuç elde etmelerini sağlıyor.”
Ancak yalnızca MSSP’lere güvenmek sürdürülebilir ve uzun vadeli bir çözüm değildir. Yönetilen hizmetler en iyi şekilde dahili ekiplerle işbirliği halinde çalışır ve KOBİ’lerin hâlâ siber riskleri yönetmek ve azaltmak için dahili yeteneklerini geliştirmenin yollarını araması gerekmektedir. Bu, mevcut personelin eğitimi ve becerilerinin artırılmasının yanı sıra alana yeni yeteneklerin çekilmesine stratejik olarak odaklanmayı gerektirir.
Hükümet girişimleri ve bunların etkinliği
Bu arada Avustralya hükümeti siber güvenliğin öneminin farkına vardı ve beceri açığını gidermek için çeşitli programlar başlattı. Bu çabalar arasında hem federal hem de eyalet düzeyinde birden fazla kurumun kurulması ve ulusal bir siber güvenlik koordinatörünün atanması yer alıyor.
Ancak daha önce TechRepublic’te belirtildiği gibi, siber güvenliğe olan bu ilgi ve bağlılık, potansiyel olarak daha derin bir beceri mücadelesi için iyi niyetli bir katalizör olabilir.
Üstelik bu çabaların etkinliği hâlâ tartışmalıdır. Unni’nin dediği gibi, “Bu girişimler olumlu olsa da çoğu zaman koordinasyondan yoksundurlar. Kurumların çokluğu parçalanmış çabalara yol açabilir.
“Beceri geliştirme konusunda daha birleşik bir yaklaşıma, özellikle de eğitim ve kaynaklara erişimin sınırlı olduğu kırsal ve uzak bölgelerde bu becerilerin geliştirilmesine gerçekten ihtiyaç var.”
Kısa vadeli çözümler: acil açığı kapatmak
Unni’ye göre Avustralya kuruluşlarının, eğitim kurumlarının ve hükümetlerinin bu zorluklara hem kısa hem de uzun vadeli çözümler üzerinde koordinasyon sağlaması gerekiyor. Kısa vadede, daha küçük siber güvenlik firmaları yeni mezunlara mentorluk yapabilir ve onlara uygulamalı deneyim sağlayabilir.
Unni, “Küçük firmalar yeni mezunları kanatları altına alıp eğitmeli” dedi. “Daha büyük şirketlerin genellikle lisansüstü programları vardır, ancak bunlar genellikle çok rekabetçidir ve erişilmesi zordur. Daha küçük firmalar daha kişiselleştirilmiş mentorluk sunarak eğitim ve endüstri gereksinimleri arasındaki boşluğun kapatılmasına yardımcı olabilir.”
Ayrıca hükümetlerin, mezunları bu alana girmeye teşvik etmek için siber güvenlik kurumlarında staj imkanı sunmasını da önerdi. Unni, “Bu, paha biçilmez gerçek dünya deneyimi sağlayacak ve sektörün taleplerini karşılamaya hazır, yetenekli profesyonellerden oluşan bir hat oluşturmaya yardımcı olacaktır” dedi.
Uzun vadeli stratejiler: sürdürülebilir bir iş gücü oluşturmak
Bu arada, BT becerilerindeki eksikliğin doğru şekilde ele alınması uzun vadeli, çok yönlü bir yaklaşım gerektirir. Eğitim kurumları, müfredatlarını siber güvenlikteki en son gelişmeleri yansıtacak şekilde güncelleyerek önemli bir rol oynayabilir. Bu sadece teknik becerileri değil aynı zamanda eleştirel düşünmeyi, problem çözmeyi ve stratejik planlamayı da içerir.
Üstelik siber güvenlik alanının daha kapsayıcı hale getirilmesine acil ihtiyaç var. Kadınlar sektörde önemli ölçüde yetersiz temsil edilmeye devam ediyor. StickmanCyber araştırmasının belirttiği gibi siber güvenlik profesyonellerinin yalnızca %16’sı kadındır.
Bu, mevcut yetenek havuzundan tam olarak yararlanmak için tersine çevrilmesi gereken bir trend.
Unni, “35 yılı aşkın bir süredir BT ve siber sektöründe yer alan biri olarak, yaptıkları işte muhteşem olan birçok kadınla çalıştım” dedi. “Bunun sektör genelinde olmaması için herhangi bir neden görmüyoruz. Ulusal siber güvenlik koordinatörümüzün kadın olmasıyla daha fazla kadının mesleğe girmesini teşvik edeceğini umuyorum.”
Avustralya, siber güvenlik konusunda yavaş ilerleyerek kendisini bir çukura kazdı. Sorunu çözmek ciddi bir çaba gerektirecektir. Bu, eğitime yatırım yapmak, hedefe yönelik eğitim programları sunmak ve yeterince temsil edilmeyen grupların alana girmesi için yollar oluşturmak amacıyla özel ve kamu sektörü genelinde ulusal bir çaba anlamına gelir.
Kaynak: https://www.techrepublic.com/article/stickmancyber-report-australia-cybersecurity-skills-crisis/