İçeriğe geçmek için "Enter"a basın

Siber Güvenliğin Geleceği Hakkında CEO’ların Bilmesi Gerekenler

Yöneticiler, siber güvenlik riskleri konusunda bilgi veren ve karar vermelerine yardımcı olabilecek birçok rapor alıyor, okuyor, inceliyor. Ancak, bu yöneticilerin bazıları bu risklere karşı nasıl karar vermeleri gerektiğini ve kuruluşlarında hangi iyileştirmelerin yapılması gerektiğini anlamayabiliyor.

Günümüzün küresel iş çevresinde ise önemli risklerin ne olduğunu, neler olup bittiğini, ne gibi gelişmeler yaşandığını ve korunmak için neler yapılması gerektiğini tam olarak anlamak, özellikle yöneticiler ve yönetim kurulunda bulunan kişiler için çok önemli.

Risk analizleri doğru anlaşılmadığı takdirde verilen kararlar hatalı olabileceği gibi kuruluşları beklenmedik riskler ile de karşı karşıya bırakabilir.

Bu nedenle, tüm yöneticilerin kendi kuruluşlarında aşina olmaları gereken dört önemli bilgi güvenliği alanına özel olarak dikkat çekmek istiyoruz:

Risk Yönetimi

Sanal ortam, haksız gelir elde etmek, adını duyurup ünlü olmak, hatta kuruluşları ve hükümetleri çevrimiçi saldırılarla yıkmak için motive olmuş suçlular, eylemciler (hacktivistler) ve teröristler için giderek daha çekici bir hale geliyor. Genel olarak “siber saldırganlar” olarak adlandırabileceğimiz bu kişiler, büyük kuruluşların dahi yetişemediği bir yetkinlik derecesine ulaşabiliyor, aralarında iş birliği yapıyor ve bir adım önde olmaya devam ediyor.

Yönetici pozisyonundaki kişiler, CEO’lar diyelim, öngörülemeyen durumlar için hazırlıklı olmak zorunda. Bu da demek oluyor ki, kuruluşlar, beklenmedik ancak etkisi yüksek olabilecek olaylara karşı dayanabilecek esnekliğe sahip olmak zorunda.

Siber suçların hızla artışı, yasal zorunluluklar nedeniyle (örneğin Kişisel Verilerin Korunması Kanunu) başa gelen olaylardaki cezalar, teknolojinin sürekli olarak değişmesi ve saldırganların bu teknolojiyi genellikle bir adım önden yakalaması, güvenlik departmanlarına yapılan yatırımların yetersizliği gibi başlıklar birleştiğinde ortaya büyük bir sorun çıkıyor.

Öngörülemeyen durumlar ile karşılaşıldığında ne yapılacağının önceden bilinmesi, bir siber güvenlik duruşu belirlenmesi, siber güvenlik alanında risk yönetimi yapılması, beklenmedik hasarların en aza indirilmesini sağlayabiliyor.

İtibar Hasarını Önlemek

Günümüzde saldırganlar daha organize, saldırılar daha gelişmiş, tüm tehditler daha tehlikeli ve bunların her biri kuruluş itibarı için daha fazla risk anlamına geliyor. Marka itibarı ile birlikte müşterilerin, tedarikçilerin ve paydaşların güveni de siber suçluların hedefi durumunda. Hızı ve karmaşıklığı ile günlük olarak bile değişen tehdit ortamı, kuruluşları hem itibar hem de finansal anlamda bir anda büyük zarara uğratabiliyor.

Üst düzey yöneticilerin ve/veya CEO’ların, kendilerini ve kuruluşlarını bu yeni ortaya çıkan zorluklarla ve kuruluş itibarına zarar verebilecek saldırılarla başa çıkabilecek duruma getirmesi gerekiyor. “Hazırlıklı olmak” anahtar kelimemiz çünkü kuruluş itibarına yapılacak herhangi bir saldırıya ne kadar hızlı tepki verirseniz alacağınız sonuç o kadar etkili olacaktır.

Tedarikçi Zincirini Güvenli Hale Getirmek

Bilgi güvenliği konusunda sızıntıların nereden kaynaklandığına baktığımızda, genellikle kilit noktalardan bir tanesi tedarikçi zinciri oluyor. Tedarikçi zinciri olarak adlandırdığımız sürecin, günümüz küresel ekonomisinin bel kemiği olduğunu düşünebiliriz ve işletmeler, büyük tedarikçi zincirinde yaşanabilecek aksaklıkları yönetme konusunda giderek daha fazla zorlanıyor. Buna bağlı olarak, CEO pozisyonundaki kişiler de, tedarikçi zincirlerinin pek çok risk faktörüne ne kadar açık olduğu konusunda endişe duymalı. Kuruluşlar, tedarikçi zincirlerinin en zayıf halkalarına odaklanmalı.

Eylül 2018’de yayınladığımız “Üreticiden Tüketiciye Zararlı Yazılım: Tedarikçiden doğan siber riskler” başlıklı yazıda belirtildiği gibi:
Yeni trend bize siber saldırganların hedef aldıkları kuruluşta herhangi bir güvenliği açığı bulamasalar bile amaçlarına ulaşabildiklerini gösteriyor.

Tedarikçiden kaynaklanabilecek siber olayların riskini azaltmak için, kuruluş bünyesinde yapılacak kontroller yeterli olmayacaktır. Bu nedenle, özellikle yakın çalıştığımız tedarikçilerle siber güvenlik konusunda da iş birliği yapmak önemlidir.

Veri paylaştığımız veya sistemlerinizin entegre olduğu tedarikçilerin kendi içlerinde siber güvenlik süreçlerini nasıl yürüttüklerini anlamak ve bizim standartlarımıza yakınlaşmaları için yol göstermekte fayda var.”

Günümüzde, küresel pazardaki karmaşık düzen göz önünde bulundurulduğunda, her güvenlik sorununun öngörülmesi ve engellenmesi mümkün değil. Burada hayatımıza “proaktif” kelimesi giriyor ve proaktif olmak sizin ve tedarikçilerinizin kötü bir olay yaşandığında hızlı ve akıllıca, doğru tepkiler verebilmeniz anlamına geliyor. Kimi zaman kulağa gerçek dışı gelse bile aslında tamamen olası senaryolarda, bu gibi durumlara hazır olmak ve bir olay yaşandığında esnek olabilmek, rekabetçiliği, finansal sağlığı, kuruluşun itibarını ve hatta kuruluşun yaşamına devam edebilmesini sağlayabilir.

 (“Tedarikçi Kaynaklı Siber Riskler” danışmanlığı kapsamında düzenlediğimiz 2 günlük çalıştay sırasında verdiğimiz eğitimin giriş sunumuna https://www.slideshare.net/AlperBasaran/tedarikci-siber-risk-workshop-giris adresinden ulaşabilirsiniz)

Çalışan Farkındalığı ve Kalıplaşmış Davranışlar

Kuruluşların en büyük sermayesi insan olmaya devam ediyor. Tüm yıllık raporlarda ve CEO konuşmalarında insan sermayesinin ne denli önemli ve büyük olduğundan bahsedilmeye de haliyle devam ediliyor. Bunun arkasında yatan neden, farkındalık ve eğitim konularının çalışanların memnuniyeti de dâhil, kuruluşa pek çok değer katması. Farkındalık ve eğitim, CEO’lar tarafından “yatırım getirisi” oldukça yüksek bir konu başlığı ve hatta bir zorunluluk.

Kuruluşlar zaman içerisinde demografik olarak değiştikçe, hedefleri değiştikçe, yapıları değiştikçe, bilgi güvenliği konusunda davranış değişikliği de kaçınılmaz oluyor.

Bugünün siber güvenlik ortamına bakıldığında, güvenlik bilinci konusundaki ana madde “risk” olmak durumunda ve yeni belirlenecek bilgi güvenliği davranışları “risk nasıl azaltılır” üzerine olmalı. Buna göre yeni davranış kalıpları belirlenmeli. Sadece farkında olmak yeterli olmadığından artık somut davranışlara geçilmesi gerekiyor.

Çalışanların davranışlarının değişmesini sağlayacak somut adımlar atabilmek, CEO ve üst yönetim ekibinin ortaya çıkması muhtemel sorunlara doğru cevap verebilmesini beraberinde getirecektir.

Paylaş

İlk yorum yapan siz olun

    Bir cevap yazın

    E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir