Forrester Research, yakın zamanda yumruk atmadan blog yazısısiber güvenlik tedarikçilerini yalnızca BT yöneticilerine doğru olmayan şeyler söylemekle kalmayıp, aynı zamanda kurumsal BT konusunda o kadar bilgisiz oldukları için kendi sahte aldatmacalarına gerçekten inandıkları için çağırdı.
Bu çetrefilli bir sorunu gündeme getiriyor. Satıcılar iş teknolojisi ihtiyaçlarını anlamasa bile BT direktörleri ve üst düzey yöneticiler kesinlikle anlamalıdır. Peki satıcı spini neden daha iyi bilen bir kitleyle çalışıyor? En olası cevap: Yalan söylemek ve abartmak pek çok satıcı için, özellikle de büyük teknoloji şirketleri için o kadar gülünç derecede yaygındır ki, herhangi bir satıcıyı yalan söylediği için suçlamak imkansızdır.
Ayrıca muhtemelen kurumsal siyasi sorunlar da söz konusu. CIO’lar, BT direktörleri ve CISO’ların hepsi, değişimin yaklaşık 18 ayda bir gerçekleştiği bu rollerde ezici bir çoğunlukla çok sınırlı bir süreye sahip olduklarını biliyor. Bu nedenle, ikramiye ve diğer teşvikleri alabilmeleri için riskten uzak durmaları gerekiyor.
Örneğin, bir CISO’nun şirketi için en iyi seçeneğin nispeten küçük, iki yıllık bir satıcı olduğuna inandığını varsayalım. CISO bu seçimi yaparsa ve bir şeyler ters giderse, CEO muhtemelen CISO’yu suçlayacaktır. Ancak bu CISO, Microsoft’u, Oracle’ı veya Google’ı seçerse ve bir şeyler ters giderse, muhtemelen suçu satıcı üstlenir. (Bunun bir nedeni var eskiden endüstri sloganıydı“Hiç kimse IBM’i satın aldığı için kovulmadı.”)
Forrester’ın güvenlik ve riskten sorumlu baş analisti Allie Mellen, satıcılar ve onların yalanlarını “The Blob” olarak adlandırıyor.
“Blob, kendi yankı odalarına o kadar kapılmış bir grup insanı temsil ediyor ki, bir dizi fikri kendi kendine güçlendiren tek bir birim haline gelmişler,” diye yazdı Mellen. “Ayrıca genellikle işi gerçekten yapanlarla da iletişimleri kopuyor. , kendi düşünce deneylerine o kadar kapılmışlar ki sahadaki gerçeği göremiyorlar: kariyerlerinin tamamı olmasa da büyük bir kısmı boyunca sektörde, satıcı pazarlama mesajları ile gerçeklik arasındaki çizgilerin kaybolduğu noktaya kadar kaynayan bir grup insan tamamen bocaladılar.”
Bu saçmalığa bazı örnekler verdi: “SIEM öldü.” Veya, “Yapay zeka tespit sorununu çözüyor.” Veya, “İyi bir önleme yönteminiz varsa tespite ihtiyacınız yok.” Veya “Otonom SOC/otomasyon, Bu yetenek eksikliğini sizin için halledin.
Bir röportajda Mellen, BT ve güvenlik yöneticilerinin neredeyse her zaman yalanların gerçek yüzünü tanıdığını, ancak bunları görmezden geldiğini ve ortaya çıkarabilecekleri anlamlı ayrıntılara göre kararlar aldıklarını söyledi. Yöneticilerin meslektaşlarıyla ağ oluşturma konusunu iki katına çıkarmaları ve halihazırda bir satın alma işlemi gerçekleştirmiş veya en azından test çalıştırmaları gerçekleştirmiş olan şirketleri bağımsız olarak belirlemek için ellerinden gelen her türlü taktiği kullanmaları gerektiğini savundu. (Satıcının mühendisleriyle konuşmakta ısrar etmenin, gerçeğe ulaşmanın başka bir iyi yolu olduğunu söyledi.)
Sekiz işletmenin CISO’su ve FIDO Alliance’ın yönetim kurulu üyesi Michael Oberlaender, Mellen’in iddiasına katılıyor. Ancak yalanları gören BT ve güvenlik liderlerinin yüzdesinin bu kadar yüksek olup olmadığını sorguluyor. “Tüm CISO’ların aynı kalitede olduğunu varsaymayın; hepsi aynı başlıkları paylaşıyor ancak aynı deneyimleri paylaşmıyor” dedi. Küresel CISO: Strateji, Taktikler ve Liderlik.
Bazı yöneticiler bu işte yeni olabilir, bazıları ise teknoloji veya güvenlik konusunda anlamlı bir temele sahip olmayabilir. “Satıcı iddialarını incelemek ve doğrulamak için bilgi ve anlayışa ihtiyaç var. Bazıları aslında satıcıların onlara söylediği Kool-Aid’e inanıyor” dedi.
Bu geçerli bir nokta ama gerçek bu kadar siyah ve beyaz olmayabilir. Orada inanmak ve sonra var gerçekten inanmayı o kadar çok istiyorsun ki, kendi kendine gerçekten inanmaya ikna etmeye başlıyorsun. Kuruluşun XYZ yapmak için bir yazılıma ihtiyacı varsa ve ürününün bunu sağladığını yazılı olarak beyan etmek isteyen bir satıcınız varsa, inanmayı seçmek hayatınızı çok daha kolaylaştırabilir.
Oberlaender, somut bir yaklaşımın kavram kanıtlarını (POC’ler) mümkün olduğunca zorlamak olduğunu söyledi. “Ortamınızda deneyin” ve teste yönelik keyfi bir süre sınırı gibi satıcı kısıtlamalarına karşı çıkın. “Genellikle anlamlı POC’ler 90 günden uzun sürüyor.”
Ayrıca işletmeleri “en az dört veya beş tedarikçiyle” POC yapmak için yeterli finansman sağlamaya çağırdı.
Bir başka uyarı: BT karar vericileri, satıcıların gizlilik anlaşmalarını (NDA) dayatmasından şüphelenmelidir. POC yapmış diğer kişilerle ne öğrendiklerini anlamak için konuşmak isteyeceksiniz; eğer onların bir Gizlilik Anlaşması imzalamasını istemiyorsanız, öyle mi? Bu aynı zamanda satıcının ne söyleyeceğinizden endişelendiğine dair soruları da gündeme getirir. Not: Gizlilik sözleşmesi istemek ile ısrar etmekten farklıdır.
Daha genel anlamda konuşursak, satıcının yanıltıcı reklamını gözden geçirmeye çalışırken şu temel soruları aklınızda bulundurun: Bu teklifi yönetmek için kaç kişiye ihtiyacınız olacak? Ortamınızdaki uygulamalar ve araçlarla ne kadar iyi çalışıyor? Ne kadar elden tutmak gerekiyor ve bu toplam sahip olma maliyetini nasıl etkiliyor?
Basit gerçek şu ki, görünüşte daha az güçlü olan bir seçenek, eğer daha az dikkat gerektiriyorsa, kendi kendine davranıyorsa ve çok fazla çatışmaya ve başka sorunlara neden olmuyorsa daha iyi bir seçim olabilir. Ekibinizin yangınları söndürmek için sınırlı zamanı var.
Bu konuyla ilgili bir LinkedIn tartışmasında Derek Andrews (Adını vermeyi reddettiği büyük bir kar amacı gütmeyen kuruluşun siber güvenlik operasyonları ve olay müdahalesi müdürü) bunu şu şekilde ifade etti: “Blob, 20 yıllık teknik anlayışa sahip BT liderleri arasındaki krizin sonucudur. Pazarlama aldatmacasının kurbanı oluyorlar çünkü satın aldıkları ürünlerin gerçekliğini, çözmeleri gereken sorunları ve yaratacakları sorunları anlamıyorlar. Bu nedenle pek çok satış ekibi, mühendisler odadayken veya görüşme sırasında satış konuşması yapmak istemiyor. Sihirli kristalleri ve FUD’u satmak onlar için çok zor.
“Forrester ve Gartner bu damla sorununda hatasız değiller, zira birçok yönden bu sorunun oluşmasına yardımcı oldular.”
Andrews’un endüstri analistlerinin abartılı reklamın en azından bir kısmını paylaştığı yönündeki iddiası haksız değil. Ve teknoloji gazetecilerinin de bir satıcının doğrulanmamış iddialarını çoğaltmamak ve büyütmemek konusunda dikkatli olmaları gerektiğini itiraf etmeliyim.
Pek çok yönden gelen bu kadar çok heyecan varken, CIO’ların ve CISO’ların izlenecek en iyi yönü bilmeleri için nesnel ayrıntılar bulma konusunda çok çalışmaları zorunludur.
Forrester analisti Mellen’in gönderisinde belirttiği gibi: “…İyi haberler var: Bu şekilde olmak zorunda değil! Siz de The Blob’un yayılmasını durdurmaya yardımcı olabilirsiniz. …Bir uygulayıcıyı dinleyin. Teorik değil, gerçek teknik sorunları derinlemesine ele alan konuşmalara katılın. Statükoya meydan okuyun ve duyduğunuz tek seferlik yorumlardan daha eleştirel ve daha derin düşünün.”
Telif Hakkı © 2023 IDG Communications, Inc.