Şirket liderleri siber risklerin ciddiyetini fark etmeli, farkındalığı eyleme dönüştürmeli ve siber güvenlik konusunu önceliklendirmelidir
Bu, birçok işletme lideri için gergin bir dönemdir. Sürekli yüksek faiz oranları, jeopolitik gerilimler, tedarik zincirindeki aksaklıklar ve ticaret politikalarındaki ani değişiklikler, yeni bir belirsizlik ortamı yaratmıştır. Bu koşullar altında, birçok kişinin yatırımları askıya alması ve maliyetleri azaltabileceği alanlar araması affedilebilir. Siber güvenliğin bunların arasında olmaması için birkaç neden vardır.
Bir BT veya güvenlik lideri olarak, bunun nedenini zaten biliyorsunuzdur. Peki ya CEO’nuz veya yönetim kurulunuz biliyor mu? Araştırmalar, CISO’ların yalnızca %29’unun güvenlik hedeflerine ulaşmak için yeterli bütçeye sahip olduklarına inandığını ortaya koymaktadır. Ancak yönetim kurulu üyelerinin %41’i bütçelerin uygun olduğunu düşünüyor. Kuruluşunuzda da böyle bir uçurum varsa siber güvenliği daha güçlü bir şekilde savunmanın zamanı gelmiştir. Ekim ayı Siber Güvenlik Farkındalık Ayı olduğu için, siber risklerin ciddiyetini fark etmek, algı uçurumlarını kapatmak, güvenliği ön plana çıkarmak ve nihayetinde farkındalığı eyleme dönüştürmek için daha iyi bir zaman olamaz.
KOBİ’ler hâlâ yangınları söndürmeye çalışıyor
Siber güvenlik, üst düzey yöneticiler tarafından eskiye göre kesinlikle daha iyi anlaşılıyor ve takdir ediliyor. Ancak özellikle KOBİ’ler tarafından hâlâ stratejik bir gereklilikten çok bir maliyet merkezi olarak görülüyor. Global Technology Industry Association (GTIA) verilerine göre, küçük ve orta ölçekli işletmelerin neredeyse yarısı (%46) siber güvenliği “orta derecede önemli” bir alan olarak tanımlıyor. KOBİ’lerden yanıt verenlerin %12’si ise hâlâ taktiksel/reaktif modda olduklarını itiraf ediyor. Başka bir deyişle yangınların çıkmasını önlemek için önceden zaman ve para harcamak yerine, sürekli yangın söndürmeyle uğraşıyorlar.
Bu zihniyeti değiştirmek için iki yol vardır. İlk olarak, siber güvenliğin yönetim kurulunuzun potansiyel olarak kritik iş risklerinden kaçınmasına nasıl yardımcı olabileceğini daha net bir şekilde ifade edin. İkinci olarak, siber güvenliğin bir iş kolaylaştırıcı olduğu konusunda daha güçlü argümanlar sunun.
Siber güvenlik yetersizliği maliyeti artırıyor
İyi haber şu ki yönetim kurulunu yetersiz siber güvenlik harcamalarının potansiyel maliyetine ikna etmek için kullanabileceğiniz vaka çalışmaları bolca mevcut:
- M&S, e-ticaret sistemlerini birkaç hafta boyunca çevrimdışı bırakmaya zorlayan son fidye yazılımı saldırısından dolayı 300 milyon sterlinlik işletme karı kaybı öngörüyor.
- UnitedHealth Group, Change Healthcare’e yapılan fidye yazılımı saldırısının maliyetinin 2024 yılında yaklaşık 2,9 milyar dolar olacağını tahmin ediyor.
- Arka plan kontrol uzmanı National Public Data, 2024 yılında yaklaşık üç milyar kaydı açığa çıkaran bir ihlalin ardından iflas başvurusunda bulunmak zorunda kaldı.
Bir başka iyi kaynak da IBM’in Veri İhlali Maliyetleri raporudur. Bu rapor, bir ihlalin ortalama maliyetini (4,4 milyon dolar) belirtmekle kalmaz, aynı zamanda belirli teknoloji yatırımlarının veya siber güvenlik stratejilerinin bu tutarı ne kadar azaltabileceğini de gösterir. Sonuç olarak, tehdit aktörlerinin ağınızda kalmasına ne kadar uzun süre izin verirseniz bunun maliyeti o kadar yüksek olabilir. Bu nedenle SIEM, SOAR ve tehdit istihbaratı gibi ürünler, potansiyel maliyet tasarrufları açısından üst sıralarda yer alır. Daha da iyisi, DevSecOps, CISO ataması ve yönetim kurulu düzeyinde denetim gibi daha stratejik çabaları da listelemektedir.
Bu tür bir istihbarat, umarız, konuşmayı reaktif harcamalardan kuruluşunuzda daha düşünülmüş, tasarım aşamasından itibaren güvenliği ön planda tutan bir kültürün geliştirilmesine kaydırmaya başlayabilir.
Maliyet merkezinden iş kolaylaştırıcıya
Finansal ve itibar kaybı riski, kuruluşunuzdaki siber güvenlik algısını değiştirmek için yeterli değilse belki de uyumluluk argümanı bu konuşmaları sonuçlandırmaya yardımcı olabilir.
AB’deki NIS2 ve DORA gibi düzenlemeler artık siber güvenliğin, iş dayanıklılığını artırmak için tasarlanmış sürekli bir risk yönetimi programı olarak ele alınmasını talep ediyor. Üst düzey yöneticilerin bu programları doğrudan tanımlaması, onaylaması ve denetlemesi ve üyelerin riskleri anlaması ve bilinçli kararlar alması için zorunlu eğitimden geçmesi bekleniyor. Uygulama konusunda kişisel olarak sorumlu tutulacaklar.
Ancak tüm KOBİ’ler bu tür ilerici düzenlemelerin kapsamına girmeyecektir. Peki, kuruluşlarının bir ihlal kurbanı olacak kadar büyük olmadığına inanan yöneticileri, “yeterince iyi” güvenliğin aslında yeterince iyi olmadığına nasıl ikna edebilirsiniz? İş içgüdülerine hitap edin. Bu şekilde, etkili bir siber güvenlik stratejisinin şunları sağlayabileceğini söylemek için güçlü bir gerekçe vardır:
- IP ve rekabetçi farklılaşmayı korumaya yardımcı olur. Bu, üretim, teknoloji ve medya gibi belirli sektörlerde özellikle önemli olacaktır.
- AB veya bazı ABD eyaletleri (örneğin, Kaliforniya’nın CCPA veri koruma yasası) gibi sıkı düzenlemelerin geçerli olabileceği yeni pazarlara genişlemeyi mümkün kılar.
- Dijital dönüşümü koruyabilir. Kuruluşunuz kritik bir siber saldırıya uğrarsa projeler durdurulabilir, kaynaklar başka yönlere kaydırılabilir, paydaşların güveni sarsılabilir ve iş öncelikleri değişebilir.
- Yenilikçi ürünleri pazara sunarak müşteri sadakatini artırmaya ve kârı artırmaya yardımcı olur. Günümüzde tüm şirketler bir dereceye kadar yazılım şirketleridir. Ancak güvenli olmayan bir ürün piyasaya sürerseniz bu durum itibarınızı ve müşteri sadakatini yok edebilir.
Siber güvenlik mesajınızı doğru iletin
Doğru fikirlere sahipsiniz ancak yönetim kurulu hâlâ sizi dinlemiyor. Sorun ne olabilir? Bu kopukluk her iki taraftan da kaynaklanabilir. Bir yandan, iş liderleri genellikle kültürel olarak siber güvenliği, bir kuruluşu yönetmenin ciddi işinden ayrı bir “BT sorunu” olarak görmeye eğilimlidir. Ancak diğer yandan, bazen CISO’lar iş dünyasının dilini konuşamadıkları için kendi davalarını zayıflatabilirler.
Bu zorluğun üstesinden gelmek için şunları göz önünde bulundurun:
- Siber güvenliği bir iş riski olarak çerçevelendirin; teknik jargonu bir kenara bırakın ve çeşitli senaryoların iş üzerindeki etkisinden bahsedin.
- Güvenlik odaklı ölçütler yerine finansal ve iş odaklı ölçütler kullanın. IBM’in araştırması ve arzu edilen çözümler için yapılan Toplam Ekonomik Etki araştırmaları bu konuda faydalı olabilir.
- Yönetim kurulunu belirli yatırımları onaylamaya ikna etmeye çalışırken gerçek dünya örnekleri ve uyarıcı hikâyeler (yukarıdakiler gibi) kullanın.
- Kuruluşunuzun güvenlik durumunu bağlam içine yerleştirin. Diğer bir deyişle benzer şirketlerin neye ve neden yatırım yaptıkları ve ne elde ettikleri konusunda istihbarat kullanın. Bu, liderlerin nerede geride kaldığınızı anlamalarına yardımcı olacaktır.
- Yönetim kuruluna sık sık kısa raporlar sunmak. Yönetim kurulu üyeleri verilerle boğulmak istemezler, bu nedenle dikkatlerini çekmek için sunumlarınızı kısa ve öz tutun. Ancak aynı şekilde, tehdit ortamı o kadar hızlı değişir ki düzenli güncellemeler önemlidir.
- Yönetim kurulu üyeleri ve/veya üst düzey yöneticilerle kişisel ilişkiler kurmak. Üst düzey yöneticiler arasında bir destekçinizin olması her zaman yardımcı olur.
En dayanıklı şirketler, siber güvenliği iş yapmanın bir maliyeti olarak görmekten, güven ve uzun vadeli değerin itici gücü olarak görmeye geçen şirketlerdir. Sonuçta, yeni iş projelerine ve ürün tekliflerine güvenlik tasarımını dâhil etmek, bir sorun çıktığında bunu sonradan eklemekten çok daha ucuzdur. Bunu zaten biliyorsunuz. Şimdi yönetim kurulunu ikna etmek sizin göreviniz.
