Yönetim Kurullarının Dikkate Alması Gereken 5 Siber Güvenlik Sorusu
Günümüzde hızla yaşanan dijitalleşme ve uzaktan çalışma modelleri nedeniyle kuruluşlar, güvenlik ihlallerinde artış görmeye başladı. Üstelik önceden siber saldırıları önleme görevi ağ güvenlik ekiplerinde iken artık yönetim kurulları, kurumsal verilerin koruyucusu olarak görülüyor ve bundan sorumlu tutuluyor.
Bu nedenle yönetim kurullarının sadece siber güvenliği gündemlerine alması değil, aynı zamanda kurumsal liderlik ile koordinasyon halinde periyodik olarak siber güvenlik stratejileri uygulaması gerekiyor. Bu da birçok kuruluşta akıllara şu soruyu getiriyor: Yönetim kurulu ihlal durumunda zararı en aza indirmenin yanı sıra şirketi korumak için ne gibi adımlar atabilir (veya atmalıdır)?
Deloitte'in “Yönetim Kurulunun Siber Güvenlikte Değişen Rolü” başlıklı raporunda bu gibi sorular ele alınıyor ve daha güvenli, daha dirençli ve daha çabuk toparlanabilen kuruluşlar oluşturmada tepeden aşağı (top-down) yaklaşımın ne denli önemli olduğunun altı çiziliyor. Dağıtık ortamlarda ve uzaktan çalışmanın zorunlu kıldığı ortamlarda potansiyel saldırı yüzeylerinin artmasına bağlı olarak şirketlerin ve yönetim kurullarının siber güvenlik açısından daha sağlam bir tutum geliştirmek için dikkate alabilecekleri beş soruyu sizler için derledik.
- Siber alanla ilgili hususları ele almak için bütüncül bir yaklaşım var mı?
Siber saldırılar üzerine yapılan analizler, güvenlik olaylarına yol açan şeyin sadece teknoloji ihlalleri olmadığını, aynı zamanda saldırılara gereken şekilde hazır olmayan iyi niyetli çalışanların suistimal edilmesi olduğunu ortaya koyuyor. Siber güvenliğe bütüncül bir şekilde yaklaşmak uygun teknolojilerin kullanılması ve doğru kontrollerin yapılmasına ek olarak bazı tarafların aktif katılımını gerektirir. Bu da kuruluştaki her bireyin siber güvenlikten sorumlu kılınmasını ve bu amaçla tehditlere ilişkin temel farkındalık ve müdahale teknikleri ile donatılmasını kapsar.
- Korumamız gereken “değerli madenler” nelerdir? Yönetim bunları gözden geçirip gereken değişiklikleri yapıyor mu?
Kuruluşlar dijital bir dünyada faaliyet gösterdiğinden ve düşmanlardan gelen tehditler giderek daha da geliştiğinden siber güvenlik kontrollerinde her zaman boşluklar olacaktır. Bu nedenle şirketlerin bazı kilit varlıkları veya “değerli madenleri” belirlemeleri ve bunları önemlerine göre sınıflandırmaları gerekir. Bu sınıflandırmalar, kuruluşun siber stratejisini etkiler ve yönetim kurulunun kabul edilebilir, hafifletilebilir veya devredilebilir riskleri değerlendirmesine yardımcı olur.
- Yönetim kurulu veya yönetim düzeyinde siber risk sorumlulukları iyi tanımlanmış mı? Bir siber ihlal durumuyla ve değişen risk ortamıyla başa çıkmak için güçlü bir acil durum planı geliştirilmiş mi?
Siber risklerin gelişimi, yönetim kurulu ve üst yönetimden iç denetime, risk yönetimine ve siber ekiplere kadar pek çok kademede ilgi ve dikkat gerektiriyor. Yönetim kurulu, siber stratejilerin oluşturulmasını ve ardından liderler tarafından uygulamaya koyulmasını sağlamakla sorumluyken şirketlerin de bu stratejilerin sonuçları hakkında yönetim kurullarına geri bildirimde bulunması gerekiyor. Buna ek olarak, yönetim kurulunun değişen siber güvenlik modelleri konusunda gündemi takip etmesi önemli. Örneğin, yetersiz kale ve hendek (castle-and-moat) yaklaşımından daha etkili sıfır güven modeli gibi daha güvenli metotlara geçiş yapmak avantaj sağlayabilir. Böylelikle şirketler, daha komplike saldırılarla baş edebilecek ve bilgiye dayalı kararları gerçek zamanlı olarak alabilecek hale gelir.
-
Çeşitli siber güvenlik yeteneklerini belirleme ve bunları taşıyan kişileri işe almada izlenebilecek bir strateji var mı?
Düzenleyici çevre, yasal ortam ve uyum ortamı ile iş süreçlerindeki güncellemeler ve değişiklikler, modern siber ekiplerinin sahip olması gereken becerileri de artırdı. Siber güvenlikte ciddi bir iş gücü açığı mevcut. 2020 yılında yapılan bir (ISC)2 çalışmasında 3 milyonun üzerinde açık pozisyon olduğu öngörüldü. Kuruluşların bu kadar büyük bir açığı otomatik olarak veya dış kaynak kullanarak kapatması mümkün görünmüyor. Bu durumda profesyonelleri kendilerine çekip ellerinde tutmalarını sağlayacak çok yönlü bir siber kültür yaratmaları gerekiyor. Yönetim kurulu, çeşitli yeteneklere sahip kişileri işe almak için daha uyumlu bir çabayı aktif olarak benimseyip destekleyebilir, böylelikle bu kişilerin eşsiz bakış açılarından faydalanabilir.
- Yönetim, siber stratejisinde riski dış kaynaklı BT, bulut hizmet sağlayıcıları ve diğer ortaklar da dahil olmak üzere üçüncü taraflarla birlikte hesaba katmış mı?
Siber tehditlerin daha karmaşık hale gelip yaygınlaşmasıyla iş ortakları, yükleniciler ve diğer tedarikçileri de içeren bütün organizasyonel ekosistemde proaktif güvenlik mekanizmalarına sahip olmak ve bu üçüncü tarafların siber güvenliğinin uygun seviyede olmasını sağlamak işletmelere büyük fayda sağlıyor.
Proaktif ve tepeden aşağı bir siber güvenlik yaklaşımı benimseyip uygulayan kuruluşlar, riski azaltıp rekabet üstünlüğü elde edebiliyor. Günümüzde başarılı bir siber güvenlik kültürü oluşturmak, yönetim kurulunun önceliklerinin başında geliyor. Artık sağlam bir siber gözetim sayesinde şirketler, yenilikleri ve kendilerini bekleyen senaryoları öngörebiliyor ve bu doğrultuda güvenle hareket edebiliyor.
Kaynak: Deloitte