Daha güvenli bir dijital dünya oluşturmak için farklı cephelerde mücadele vermek gerekir. Siber Güvenlik Farkındalık Ayı (CSAM) gibi girişimler, parola yönetimi, güvenlik açığı yamalama ve daha fazlası için önemli en iyi uygulamaları halka anlatmak için harika fırsatlardır. Bu girişimler tüketicileri hedef alan siber suçluların hayatını zorlaştırmaya yardımcı olurken, iş dünyasının liderlerinin siber riskler konusunda dikkatini çekmek için de bir fırsattır.
ABD’de 2023’ün ikinci çeyreğinde kamuya açık olarak bildirilen veri ihlallerinde üç ayda bir %114’lük rekor bir artış yaşandı. Avrupa’da AB güvenlik kurumu ENISA, 2022’de sıfır gün saldırıları, hizmet olarak fidye yazılımı, kiralık bilgisayar korsanları, tedarik zinciri saldırıları ve sosyal mühendislik olaylarında artış olacağı konusunda uyarıda bulundu. Tüm bunlarla başa çıkmak elbette CISO’nun işidir. Ancak bunun etkili olabilmesi için yönetim kurulunun tam desteğine ihtiyaç vardır. Bu nedenle projelere katılım ve destek sağlamak çok önemlidir.
BT ve Yönetim Kurulunun aynı noktada buluşması
İş dünyası liderleri ile BT ve siber stratejiden sorumlu olanlar arasında sıklıkla bir kopukluk yaşanıyor. Genel anlamda güvenlik algısı, siber tehditleri uzak tutmak gerektiği yönündedir ancak bundan fazlası düşünülmez. Yani pek çok yönetim kurulu, BT ve siber güvenlik konusunu gerekli bir maliyet olarak görse de gelire bir katkısı olmayan kalem olarak düşünebilir. Bu da kesinlikle işleri kolaylaştırmıyor.
Gartner, güvenlik ve risk yönetimine yönelik küresel harcamaların 2023’te %11’den fazla artarak 188 milyar dolara çıkacağını tahmin etse de bu bütçe akıllıca harcanmayabilir. Bağlantısı olmayan yönetim kurulları, bu bütçeyi parça parça ve her bir ihlalde ayrı kullanma eğilimindedir. Bu kötü sonuçlara, çözülmesi gereken sorunların birikmesine ve sonuç olarak harcanan paranın boşa gitmesine yol açabilir.
Yapılan bir çalışmaya göre, güvenlikle ilgili karar vericilerin yalnızca beşte ikisi (%39) şirket yöneticilerinin siber güvenliğin iş başarısında oynadığı rolü gerçekten anladığını gösteriyor. Benzer bir oranda (%36) yönetici, talep güvenliğine yalnızca yönetmeliklere uyum gereklilikleri açısından bakıyor. Peki CISO’lar ve meslektaşları, stratejik girişimlerin uzun vadeli desteğini almak için kurullarla nasıl daha iyi etkileşim kurabilir?
İşte altı öneri:
Doğru dili konuşun
Daha iyi siber iş uyumu için ilk adım anlaşılır olmaktır. Bu, bit ve baytlardan ve karmaşık teknolojik ayrıntılardan değil, iş risklerinden oluşan bir jargon ile konuşmak anlamına gelir. Böylece yönetim kurulu liderlerinin katılımını ve belirli bir stratejik girişim için destek almayı kolaylaştırabilirsiniz. Onlara bir fidye yazılımı saldırısının 200 sunucuyu çevrim dışı bırakabileceğini söyleyin. “Ne olmuş yani?” diye düşünebilirler. Ancak bunun saat başına 400.000 ABD doları tutarında bir maliyetle haftalık kesintiye neden olabileceğini ve sonuçlarının çok farklı olacağını açıklayın.
Riski ölçün ve işle olan ilgisini netleştirin
Her iki tarafın da anlayacağı bir dilde konuşmak, siber güvenlik bilgilerini yönetim kurulunun ve işletmenin önemsediği verilere göre karşılaştırarak bilgi paylaşmaktır. Göz önünde bulundurulacak alanlar, işe yarayan ve iyileştirilmesi gereken alanları göstermek için mevcut güvenlik kontrollerinin performansını ve etkinliğini gösteren verilerdir. Bunları zaman içinde takip etmek, sektör kıyaslamalarının yanı sıra daha fazla etki yaratacaktır.
Bunları yönetim kuruluna sunarken işleri basit ve üst düzey tutun. Ancak anlatmak istediklerinizi ifade etmek için şirketten anekdot niteliğinde hikayeler kullanmaktan korkmayın.
Güvenliği tasarım ve varsayılan olarak geliştirin
Dünya Ekonomik Forumu’na (WEF) göre, iş dünyası liderlerinin %43’ü bir siber saldırının önümüzdeki iki yıl içinde kuruluşlarını “maddi olarak etkileyeceğini” düşünüyor. Siber riskin ciddiyetini anlamaları olumlu bir şey olsa da bu aynı zamanda yönetim kurulunun stratejik yatırım yerine kaynakları günlük işlere yönlendirmeye giderek daha fazla odaklanma zihniyetini de yansıtıyor.
CISO’nun, üst düzey meslektaşlarını siber güvenliğe daha stratejik bir şekilde bakmaya ve bunu yaparak daha iyi sonuçlar elde edeceklerine ikna etmesi gerekiyor. Tasarım sırasında ve varsayılan olarak güvenlik, GDPR düzenleyicileri ve diğerleri tarafından desteklenen en iyi uygulamadır. Bu, güvenlik önlemlerinin yeni iş girişimlerinde veya yeni ürünlerde daha işin başında alınması gerektiği anlamına gelir, her şey bittikten sonra veya daha da kötüsü bir olaydan etiketlendikten sonra değil.
Daha sık bir araya gelin
WEF’e göre CISO’ların yarısından fazlası (%56) artık yönetim kurullarıyla ayda bir veya daha sık buluşuyor. Bu, özellikle tehdit ortamının gelişme hızı göz önüne alındığında, güvenlik için yönetim kurulunun desteğini alma yolunda harika bir adımdır. Ancak karşılıklı anlaşmayı geliştirmek için daha fazlasının yapılması gerekiyor. Bunun bir yolu, CISO’nun doğrudan CEO’ya rapor vermesini sağlamaktır. Böylece CEO’nun siber güvenlik konusuyla daha fazla ilgilenmesi ve güvenlik liderlerinin işten daha doğrudan geri bildirim alması sağlanır.
Siber güvenlik programlarını düzenli hale getirin
Çok fazla siber güvenlik programı geçici ve teknik odaklıdır. Bunun yerine, bunların uygun şekilde belgelenmesi, ilgili KPI’lara ve ölçümlere göre ölçülmesi ve yukarıdan aşağıya bir yapıda düzenli hale getirilmesi gerekir. Bu, iş dünyasında siber güvenliğin rolünü güçlendirmeye yardımcı olacaktır.
BISO’ları işe alın
İş bilgileri güvenliği görevlisi (BISO), hem iş hem de güvenlik ekibiyle bağlantı kurmaktan sorumlu özel bir departman veya iş birimi rolüdür. Bu görevdekiler, üst düzey stratejiyi pratik operasyonel adımlara dönüştürmeye yardımcı olurlar. Böylece, her kuruluşun tasarım aşamasında hedeflemesi gereken bir güvenlik kültürü yaratabilirler. Bunu yaparak, şüpheci kurul üyelerine güvenliğin işin her alanında sağlanması gerektiğini de kanıtlayabilirler.
Sonuç
WEF’e göre, son zamanlardaki jeopolitik istikrarsızlık, siber risk yönetiminin önemi hakkında, CISO ve yönetim kurulunun görüşlerinin birbirine yakınlaşmasına yardımcı oldu. Bugün, bu topluluğun %91’i önümüzdeki iki yıl içinde geniş kapsamlı, yıkıcı bir siber olayın yaşanmasının muhtemel olduğuna inanıyor. Ama hala gidilecek bir yol var. Pek çok kuruluş için, toplantı odasının önemli katılımını ve desteğini sağlamak, aylar hatta yıllar sürecek bir iştir. Ve en önemlisi, yalnızca iş dünyası liderlerinin değil aynı zamanda CISO’ların da bakış açılarının değişmesini gerektirebilir.
