Vay, vay, vay. Kedinin siber uzaydan ne sürüklediğine bakın. Siber güvenlik sektörü Houdini'yi gururlandıracak bir sihirbazlık numarası yapıyor: aynı anda danışman ücretlerini şişiriyor ve piyasayı şaşkın acemilerle dolduruyor. Bir bilmeceye sarılmış, ironiyle servis edilen bir paradoks. Bunun kutlanacak bir şey olduğunu düşünebilirsiniz ama durun bakalım. Bu küçük sirk gösterisi bizi, BT gazilerinin geceleri uyanık kalmasına neden olan dış kaynak kullanımı fiyaskosunu anımsatan muhteşem bir yüz üstü düşmeye hazırlıyor olabilir. O halde, bu dijital dramanın perdesini aralayalım ve çok geç olmadan bu el çabukluğunu fark edip edemeyeceğimize bakalım. Siber güvenlik topluluğu bir zamanlar yoldaşlık duygusu ve ortak amaç duygusuyla övünürdü. Ancak bu ruh, fiyatlandırma ve algılanan değer açısından dibe doğru bir yarışla aşındı. Ücretsiz veya son derece düşük maliyetli eğitim ve hizmetler sunarak, sektör farkında olmadan bu becerilerin ve çabaların içsel değerinin çok az olduğu mesajını veriyor.
Siber güvenlik uzmanlığının değer kaybetmesi, sektördeki " etkileyici kültür "ün yükselişiyle daha da kötüleşiyor. Son yıllarda, siber güvenlik alanında kişisel markalarını oluşturmaya ve etkileyici olmaya odaklanan bireylerin sayısında bir artış oldu. Bu seslerden bazıları değerli içgörüler sağlarken, alan gerçek uzmanlıkları veya deneyimleri ne olursa olsun düşüncelerini paylaşmaya istekli kişilerle dolup taştı.
Kendini ilan eden uzmanların bu şekilde çoğalması, siber güvenlik bilgi alanında ezici bir gürültüye yol açtı ( Alyssa Miller'ın "Infosec Rockstars vs Influencers" başlıklı makalesine bakın) . Sosyal medya platformları ve çevrimiçi forumlar, çeşitli kalitede tavsiyeler, ipuçları ve "eğitimler" ile dolup taşıyor. Ne yazık ki, nicelik genellikle kaliteyi bastırıyor ve öğrencilerin değerli bilgileri salt spekülasyonlardan veya aşırı basitleştirilmiş açıklamalardan ayırt etmesini zorlaştırıyor.
Ücretsiz veya düşük maliyetli içerik bolluğu, yüksek kaliteli siber güvenlik eğitiminin kolayca erişilebilir ve ucuz olması gerektiği yönünde yanlış bir algı yaratır. Sonuç olarak, kapsamlı, denetlenmiş ve güncel kurslar sunan SANS Institute , CISA (Cybersecurity and Infrastructure Security Agency) ve Cybrary gibi saygın eğitim sağlayıcıları genellikle aşırı pahalı olarak algılanır.
Gerçek şu ki, yüksek kaliteli, güncel siber güvenlik eğitimi geliştirmek ve sürdürmek önemli kaynaklar ve uzmanlık gerektirir. Ancak, binlerce dolara varan kurs ücretleriyle karşı karşıya kalan birçok hevesli siber güvenlik uzmanı, daha uygun fiyatlı veya ücretsiz alternatifleri tercih eder. Bu seçim, finansal açıdan anlaşılabilir olsa da, gerçek dünyadaki siber güvenlik senaryolarında ciddi sonuçlar doğurabilecek bilgi ve becerilerde boşluklara yol açar.
Bu eğilim kısır bir döngü yaratıyor. Daha fazla insan ücretsiz veya ucuz kaynaklara yöneldikçe, yüksek kaliteli eğitim programları için daha az finansal destek oluyor. Bu, tam da yetenekli profesyonellere olan ihtiyacın en yüksek olduğu zamanda, siber güvenlik eğitiminin genel kalitesinde bir düşüşe yol açabilir.
Ayrıca, kişisel markalaşma ve etkileyici statüsüne odaklanmak, siber güvenliğin temel misyonundan, yani sistemleri, verileri ve insanları korumaktan dikkati uzaklaştırabilir. Hedef, derin bir uzmanlık geliştirmek yerine takipçi toplamak olduğunda, sektör bir bütün olarak zarar görür.
Durum, yeniden canlandırılan Battlestar Galactica serisinden ünlü bir alıntıyı ürkütücü bir şekilde yansıtıyor: " Bütün bunlar daha önce de oldu. Bütün bunlar tekrar olacak. " Gerçekten de, benzer kalıpların diğer teknoloji sektörlerinde de, özellikle 2000'lerin başındaki dış kaynak kullanımı patlamasında ortaya çıktığını gördük.
O dönemde, birçok Amerikan şirketi, önemli ölçüde daha düşük işçilik maliyetlerine ilgi duyan Hindistan gibi ülkelere yazılım geliştirmeyi dış kaynak olarak yaptırmak için acele etti. Bu strateji kısa vadede ekonomik olarak mantıklı görünse de, ABD teknoloji sektörü için çok kapsamlı sonuçları oldu - daha fazla ayrıntı için Kalyan Chakraborty ve William Remington'ın " BT Hizmetlerinin Offshore Dış Kaynak Kullanımının ABD Ekonomisine Etkisi " adlı araştırma makalesini okuyun:
İş Dışı Kaynak Kullanımı: Özellikle BT alanında olmak üzere önemli sayıda ABD hizmet sektörü işi yurtdışına taşındı. 2015 yılına kadar 3,4 milyon ABD hizmet sektörü işinin yurtdışına taşınacağı tahmin ediliyordu. Bu değişim, şirketlerin yazılım ve hizmet fiyatlarını düşürmesine, üretkenliği artırmasına ve yeni teknolojilere ve iş fikirlerine yatırım yapmasına olanak tanıyan dış kaynak kullanımıyla ilişkili maliyet tasarruflarından kaynaklandı.
Giriş seviyesi pozisyonları yurtdışına taşıyarak, Amerikan şirketleri istemeden yerel yetenek havuzlarında bir boşluk yarattılar. Yeni mezunlar kariyerlerinde ilerlemek için gereken deneyimi edinmeyi giderek daha zor buldular. 15 yıl ileri saralım, ABD artık deneyimli kıdemli geliştiriciler ve teknik yöneticiler -on beş yıl önce bu giriş seviyesi işlerde dişlerini kesmiş profesyoneller- açısından bir kıtlıkla karşı karşıya.
İronik olarak, dış kaynak kullanımı dalgası artık Hindistan gibi erken benimseyenlere karşı dönüyor. Şirketler giderek daha ucuz işgücü kaynakları ararken veya otomasyona yönelirken, Hintli teknoloji çalışanları kendilerini yıllar önce Amerikalı meslektaşlarının karşılaştığı zorluklarla karşı karşıya buluyor.
Siber güvenliğin mevcut durumuyla paralellikler açık ve endişe verici. Siber güvenlikte insan unsurunu küçümseyerek -ister ücretsiz eğitim, ister dip hizmet fiyatlandırması, ister yapay zekaya aşırı güven olsun- bu kritik alanda benzer bir yetenek açığı yaratma riskine giriyoruz.
Siber güvenlik sektörü bu tarihi derslerden ders çıkarmalıdır. Yenilik ve maliyet etkinliği önemli olsa da, bunlar insan yeteneği ve uzmanlığının geliştirilmesi pahasına olmamalıdır. Siber tehditlerin karmaşık, sürekli gelişen doğası, yalnızca yetenekli değil aynı zamanda sürekli gelişen ve uyum sağlayan bir iş gücü gerektirir.
İlerledikçe, yeni teknolojilerden yararlanmak ve insan uzmanlığına değer vermek arasında bir denge kurmak hayati önem taşıyor. Yalnızca siber güvenlik profesyonellerinin becerilerini ve çabalarını tanıyarak ve uygun şekilde telafi ederek gelecekteki dijital tehditlere karşı sağlam ve etkili bir savunma sağlayabiliriz.
Bu endüstri eğilimlerinin döngüsel doğası, kısa vadeli kazanımların genellikle uzun vadeli zorluklara yol açtığını hatırlatır. Siber güvenliğin geleceğinde yol alırken, bu döngüyü kırmak ve hem inovasyona hem de insan uzmanlığına değer veren sürdürülebilir bir model inşa etmek için çabalayalım.
Siber güvenlik sektörü kritik bir zorlukla karşı karşıya: ücretsiz ancak genellikle vasat eğitim ve aşırı doymuş bir bilgi ortamıyla desteklenen uzmanlık ve hizmetlerin değersizleşmesi. Geçmişteki dış kaynak kullanım hatalarını anımsatan bu eğilim, alanın gelişen dijital tehditlere karşı etkinliğini baltalama tehdidinde bulunuyor. Siber güvenliğin geleceğini güvence altına almak için paydaşlar şunları yapmalıdır:
Recognize the true value of expert knowledge and quality training
Critically evaluate information sources and invest in reputable education
Prioritize building a skilled workforce over personal brand promotion
Bu temel sorunların ele alınmasıyla sektör, bütünlüğünü koruyabilir, yetenek havuzunu iyileştirebilir ve giderek karmaşıklaşan tehdit ortamında dijital altyapımızı koruma kapasitesini artırabilir.
ThreatGEN kurucuları ve benim aramda ücretsiz eğitim ve düşük maliyetli hizmetlerin siber güvenliği nasıl yok ettiğine dair devam eden bir tartışmayı takdir etmek istiyorum. Clint Bodungen , Aaron Shbeeb ve Matthew Anderson bunu ilk elden hissettiler. Jeff Whitney ve Gary Leibowitz yönetim kurulu üyeleri olarak bu yaygın " ücretsiz zihniyetle " mücadele etmeye yardımcı oluyorlar.
Ayrıca, bunu başka bir bakış açısından deneyimleyen en iyi arkadaşım Patrick Anderson'a da teşekkür etmek istiyorum - BT dış kaynak kullanımı süreci ve uygulaması. Patrick ve ben, Eddie Tipton ile birlikte, 1999'dan 2003'e kadar Systems Evolution Incorporated'da ortaktık ve EDS, Accenture ve diğer büyük danışmanlık firmaları gibi şirketlerle kıyı dışı kaynak kullanımının bir parçasıydık. Systems Evolution'ın (o zamanlar halka açık bir şirketti) evriminin ilerleyen dönemlerinde, Teksas eyaletinin en büyük özel yazılım geliştiricisi olan Duration Software'i satın aldık. Chris Montgomery , Rich Steinle , Frank Prevatt ve Scott Friesen ve diğerleri, kıyı dışı dalgayla rekabet ettiğimiz için dış kaynak kullanımının sonraki aşamalarını anlıyorlar.
Son olarak, düşüncelerimi cilalamak için Anthropic'in Claude'unu ve düşüncelerimi vurgulayan referanslar için Perplexity'nin arama motorunu kullandığımı açıklıyorum.
Orijinal makalenin LinkedIn'deki bağlantısı aşağıdadır.