Sigorta ve risk danışmanlığı alanında küresel ölçekte faaliyet gösteren Marsh’ın yeni yayımladığı rapor, şirketlerin siber güvenlik önceliklerini netleştiriyor. Ankete katılan kuruluşların yaklaşık üçte ikisi, önümüzdeki 12 ay içinde siber risk önleme yatırımlarını artırmayı planladığını belirtiyor. Her dört kurumdan fazlası, bu artışın %25’in üzerinde olacağını söylüyor.
Araştırma, siber güvenliğin artık “IT içinde bir satır” olmaktan çıktığını, bütçede ayrı bir kalem ve yönetim kurulu seviyesinde tartışılan bir başlık haline geldiğini ortaya koyuyor. Özellikle müşteri verilerinin korunması ve operasyonel dayanıklılığın sürdürülmesi, bu kararların temel gerekçeleri arasında öne çıkıyor.
Yapılan harcamaların yönüne bakıldığında, şirketler en çok güvenlik teknolojilerine, olaylara müdahale ve hazırlık süreçlerine ve yeni siber güvenlik uzmanlarının istihdamına bütçe ayırmayı planlıyor. Yani sadece savunma duvarları değil, saldırı anında devreye girecek ekipler ve süreçler de güçlendirilmeye çalışılıyor.
Üçüncü taraf riskleri yönetilmeden siber güvenlik tamamlanmıyor
Rapor, son 12 ayda her 10 kurumdan 7’sinin en az bir önemli üçüncü taraf kaynaklı siber olaya maruz kaldığını gösteriyor. Tedarikçiler, dış hizmet sağlayıcılar ve iş ortakları, saldırganlar için sık kullanılan giriş noktaları haline gelmiş durumda.
Marsh’ın siber güvenlik yöneticileri, şirketlerin tedarikçileri için sistemli bir güvenlik çerçevesi kurması gerektiğini vurguluyor. Buna; tedarikçilerin düzenli olarak denetlenmesi, sözleşmelere açık güvenlik şartları konulması, erişim haklarının periyodik olarak gözden geçirilmesi ve artık kullanılmayan tedarikçilerin kontrollü biçimde sistemden çıkarılması gibi adımlar dahil ediliyor. Bu yaklaşım, teknik önlemlerle birlikte ilerleyen bir yönetişim ihtiyacına işaret ediyor.
Birleşik Krallık’ta baskı daha net hissediliyor
Araştırmanın bölgesel kırılımında Birleşik Krallık öne çıkıyor. Ülkedeki kuruluşların yaklaşık dörtte üçü, siber güvenlik harcamalarını artırmayı planladığını ifade ediyor. Bu eğilimde, son dönemde yaşanan saldırıların payı büyük.
Perakende sektörünü hedef alan sosyal mühendislik saldırılarının ardından otomobil üreticisi Jaguar Land Rover’a yönelik saldırı, üretimi bir aydan uzun süre sekteye uğrattı. Bu tür olaylar, siber riskin yalnızca itibar ve veri kaybı değil, doğrudan üretim ve gelir kaybı anlamına geldiğini netleştirdi. İngiltere’de yetkililer, şirket yönetimlerine siber dayanıklılığı yönetim kurulu gündeminin üst sıralarına taşımaları çağrısında bulunuyor.
Ankete katılan siber güvenlik liderlerinin kendi kurumlarına duyduğu güven ise bölgelere göre değişiyor. Orta Doğu ve Afrika bölgesinde katılımcıların %83’ü siber güvenlik kapasitelerine güvendiğini belirtirken, Asya-Pasifik bölgesinde bu oran %50’ye kadar düşüyor. Bu fark, hazırlık düzeyi, regülasyonlar ve kurumların olgunluk seviyesi gibi çeşitli etkenlerle açıklanıyor.