Siber güvenlik stratejilerinin yönetim kurulu seviyesinde katılımla hazırlanması ve şirket genelinde uygulanması siber tehditlerin önlenmesinde büyük önem taşıyor.
Burçin Olgaç, Trend Micro Teknik Lider
Günümüzdeki siber risk ortamı göz önüne alındığında, şirketlerin yönetim kurullarını sürece yeterince entegre etmeyen kurumsal yaklaşım, çeşitli güvenlik zafiyetlerine neden oluyor. Küresel siber güvenlik pazarının lider şirketi Trend Micro, Enterprise Strategy Group (ESG) [1] tarafından yürütülen ve iş süreçlerine güvenlik entegrasyonuyla ilgili sistemik zorlukları ortaya çıkaran özel bir çalışma yürüttü. Bu çalışmalar sonucunda oluşturulan rapor, bir kurum içinde siber güvenlik stratejileri üzerinde katılımı ve mutabakatı artırmak için en etkili yolları ortaya koyuyor.
Kurumların alışkanlıkları bazen giderilmesi gereken problemlerin habercisi olabiliyor. Son yapılan araştırma, kurumların yalnızca yüzde 23’ünün güvenliğin stratejik iş girişimlerine uyumlu hale getirilmesine öncelik verdiğini gösteriyor. Rapor, bu temel zorlukları gidermek için üç temel öneri getiriyor:
1. İş-güvenlik uyumunu iyileştirmek için bir Üst Düzey Bilgi Güvenliği Yöneticisi (CISO) atayın.
2. CISO’ların kurullarıyla daha iyi iletişim kurmasına yardımcı olmak için yukarıdan aşağıya, ölçülebilir bir program oluşturun.
3. CISO’ların doğrudan CEO’lara rapor vermesi için raporlama yapılarını yeniden düzenleyin.
Çalışma ayrıca, yönetim kurulu üyelerinin siber güvenlik konusunda daha donanımlı ve ilgili olduklarında, bu konuda daha zor sorular sorduklarını, güvenlik ile ilgili karşılaştıkları sorunlara daha derinlemese bakabildiklerini ve bu sayede teknik konulardan ticari konulara geçiş yapma olasılıklarının daha yüksek olduğunu ortaya koyuyor.
Ankete katılanların büyük çoğunluğu (yüzde 82), kurumsal siber saldırıların daha geniş bir alana yayıldığını ve iş süreçlerinin teknolojiye her zamankinden daha fazla bağımlı olması nedeniyle siber risklerin son iki yılda arttığını ifade ediyor.
Geçtiğimiz yıl dijital dönüşüm süreçleri şirketler tarafından hızla benimsendi desek doğru bir noktadan yaklaşmış oluruz. Fakat yine raporun gösterdiklerine bakarsak, siber güvenliğe verilen önemin hangi seviyede kaldığını da net olarak görmüş oluruz. Araştırmaya katılanların yalnızca yüzde 41’i güvenliği öncelikli alan olarak görürken, yüzde 21’lik kısım, bunu, teknolojinin bir alt bölümü olarak niteliyor.
Siber güvenlikte önceliklendirme eksikliği, özellikle yönetim kurulu seviyesinde net bir şekilde görülüyor. Ankete katılanların yüzde 85’i, yönetim kurulunun iki yıl öncesine kıyasla güvenlik kararları ve stratejisiyle daha fazla meşgul olduğunu iddia etseler de bu yöneticiler, genellikle büyük bir ihlal, yeni uyumluluk gereksinimleri veya bir CISO tarafından bir güvenlik programı oluşturulması gibi gerekçelerle, pasif bir şekilde sürece dahil edildiklerini ifade ediyor.
Ankete katılanların yüzde 44’ü ise, yönetim kurullarının birçok kritik siber güvenlik operasyonuna sınırlı katılımı olduğunu belirtiyor. Bu katılım eksikliğinin anlamı ise, birçok kurulun uyum ve koruma gerekliliklerini karşılamak için yalnızca asgari düzeyde fon sağlamaya hazır olduğu.
“Yeterliyi hedefleyen” güvenlik yaklaşımı, günümüzün siber risk ortamı göz önüne alındığında beklentileri karşılamıyor. Bu rapor, yönetim kurulu katılımındaki eksikliğin zayıf siber hijyene ve iş süreçlerine düzgün şekilde entegre edilmeyen güvenliğe yol açabileceğini vurgulayan CISO’ların görüşlerinin çoğunu yansıtıyor. Şirketlerde siber güvenlik kültürü CEO’ların ve şirket yöneticilerinin liderliği ile yaratılması büyük önem taşıyor. Bu, tüm çalışanları organizasyonu korumada bir rolleri olduğuna inanmaya da teşvik ediyor.
Yönetim Kurulunda Siber Güvenlik raporunun tamamını okumak için: https://resources.trendmicro.com/rs/945-CXD-062/images/ESG-eBook-TrendMicro-Cyber-C-Suite-Boardroom-Dec2020.pdf
Raporla ilgili daha fazla bilgi edinmek için aşağıdaki webinar’ı izleyin: https://resources.trendmicro.com/WBN-ESG-Cybersecurity-Boardroom.html?linkId=109490866
[1] Çalışma, orta ölçekli (500-999 çalışan) ve kurumsal sınıf (1.000’den fazla çalışan) kuruluşlarda çalışan, Kuzey Amerika (ABD ve Kanada) ve Batı Avrupa’daki (İngiltere, Fransa ve Almanya) 365 üst düzey iş, siber güvenlik ve BT uzmanının katıldığı web tabanlı bir anketten derlenmiştir.
