CFO’nun siber güvenliğe dahil olmasının zamanı geldi. Uzaktan çalışma, siber saldırganların finansal verilere ve süreçlere erişmesi için geniş olanaklar sunarak risk faktörlerini BT departmanının sınırlarının çok ötesine yaydı.
Küresel pandemi sayesinde bu günlerde her şey internette yapılabilir ve yapılıyor.
Evden çalışmanın işvereniniz tarafından bir iyilik olduğuna dair daha önce sahip olunan algı, göz açıp kapayıncaya kadar değişti. Çalışanların bazen uygun olmayan koşullarda (örneğin küçük çocuklara evde eğitim verirken) evi ofise çevirme konusundaki istekliliği, işletmeleri açık tuttu.
Ancak uzaktan çalışma, bazıları daha az iştah açıcı olan bir dizi başka sonucu ön plana çıkardı. NFIB Fraud and Cyber Crime Dashboard’a göre, 2021’de Birleşik Krallık’ta 400.000’den fazla dolandırıcılık ve siber saldırı olayı rapor edildi. Siber suçlardaki bu artış, koronavirüs ve uzaktan çalışmadaki artıştan sorumlu tutuldu.
Çoğu iş süreci artık uzaktan çalıştırılabilir ve yürütülmektedir. Önemli bir farkla en savunmasız olanı, açık bir şekilde bulut aracılığıyla erişilen finansal faaliyetlerdir. Bir şirketin siber varlıklarının güvenli ve sağlıklı tutulmasını sağlamak için BT departmanlarına büyük baskı uygulanır.
Ama bu yeterli değil.
Gartner gibi analistler, giderek daha fazla süreç uzaktan yürütüldüğü için tüm üst düzey yöneticilerin ve aslında tüm personelin siber güvenlikle ilgilenmesi için baskı yapıyor.
Gerçekten yardım etmek herkesin sorumluluğundadır.
Aynı şekilde, bir siber tehdit gerçekleştiğinde bir şirkete verilen zarar tüm personeli etkileyecektir.
Daha da uzaktaki çalışanlara yönelik eğilim, daha büyük tehditler anlamına geliyor
Riskin farkında olan CFO’lar, finansal süreçlerde saldırılara karşı en savunmasız alanları belirleyen ve önceliklendiren politikalar ve yönergeler geliştirmelidir.
Bu öneri, yaklaşık 4 CFO’dan 3’ünün Covid’den bu yana daha önce sahadaki personelin en az %5’ini kalıcı olarak uzak rollere taşımayı planladığını tespit eden bir Gartner CFO anketinin bir sonucu olarak geliyor.
Ve kuruluşların mali verilerinin, müşteri ve tedarikçi mali verileri gibi en hassas bilgileri içerme eğiliminde olduğu göz önüne alındığında, bu verilere yönelik tehdit katlanarak yüksektir.
Gartner Uygulama Başkan Yardımcısı Alexander Bant, “CFO’lar ne bu yeni güvenlik açıklarını görmezden gelmeli ne de tek başlarına hareket etmeli” diyor. “CFO’ların özellikle uzaktan çalışmanın benimsenmesinden kaynaklanan yeni siber güvenlik risklerinin savunmasız verileri korumak için tasarlanmış politikaları geride bırakmadığından emin olmak için hem BT hem de risk yöneticileriyle işbirliği yapması gerekiyor.”
En yaygın siber tehditler
CFO’ların, BT güvenliği ve risk/denetim ekiplerinin yanı sıra ekipleriyle işbirliği içinde siber güvenliğe yönelik kötü niyetli saldırı risklerine karşı stratejiler geliştirmesi gerekiyor. En kritik iş süreçlerinin sağlam azaltma planları ile en iyi şekilde korunmasını sağlamak için iş süreçlerine öncelik vermek önemlidir.
Bir kuruluşa yönelik en yaygın üç tehdit şunlardır:
1. Çalışanların hassas verileri sağlamak için kandırıldığı, çoğunlukla e-posta yoluyla, ancak zorunlu olmadığı gibi, kimlik avı saldırıları. Telefon ve metin de dolandırıcıların yollarıdır.
2. Bir bilgisayara zarar vermek veya bir sisteme yetkisiz erişim sağlamak için tasarlanmış kötü amaçlı yazılımları tanımlayan kötü amaçlı yazılım.
3. Birden fazla cihaz ve internet bağlantısının hassas bilgiler içeren veritabanlarına erişmesi durumunda meydana gelen veri sızıntıları.
Hareket planı
Gartner’ın raporunda vurgulanan, bir CFO’nun dikkate alması gereken siber güvenliğe yönelik üç yaklaşım vardır:
1. Farkına varın. Saldırılara karşı en savunmasız olan finansal süreç alanlarını belirlemek önemlidir. Finansal varlıklar ve ilgili yazılım uygulamaları belirlendikten sonra, iş açısından kritik önem sırasına göre önceliklendirilebilirler.
2. Yanıt verin. Burada, olası en hızlı çözümlerle birlikte, bir ihlal durumunda temas kurulacak kişilerin yanı sıra rolleri, sorumlulukları ve sorumlulukları tanımlamak önemlidir. Beklentilerin yönetilmesi, kaynakların uygun şekilde tahsis edilmesi ve bu konuya doğru odaklanmanın sağlanması gerekir. Bir örnek, bir saldırının olası mali zararını analiz etmek ve daha sonra ona en iyi nasıl yaklaşılacağına karar vermek için muhasebe şefinin ‘ilk müdahaleci’ olarak atanması olabilir.
3. Gözden geçirin. Bu süreç, finansal süreçlerin yürütülmesi boyunca sabit bir iş parçacığı olarak hareket etmelidir. Siber güvenlik risk incelemeleri, düzenleyici uyumluluk ortamının anlaşılması ve denetlenmesiyle periyodik olarak yapılmalıdır. Uygulanan önlemler üzerinde düzenli sağlık kontrollerinin yanı sıra olası zayıflıklar ve tehditlerin gözden geçirilmesi için politikalar oluşturulmalıdır. Bu gözden geçirmeler, finans üyelerinin yanı sıra BT ve risk/denetim ekiplerini de içermeli ve bir çıktı, finansal veri güvenliğinin sağlığına ilişkin bir rapor olmalıdır.
Deloitte’a göre diğer önemli hususlar, en baştan başlayarak organizasyon genelinde bir farkındalık ve sorumluluk kültürünü teşvik etmektir. Siber güvenliğin kurumsal bir öncelik olması ve kuruluştaki her bir çalışanın sorumluluğu olması gerekir. Riskler, kuruluşların tepki verebileceğinden daha hızlı gelişiyor, bu da sürekli değişen BT ve düzenleyici ortamda dönüşümsel düşünceye daha fazla ihtiyaç duyulmasına yol açıyor.
Hiçbir şey yapmayan herhangi bir kuruluş, kısa bir süre sonra, hacklendiklerinden ve itibarları onarılamaz bir şekilde zarar gördüğünden, tek yaptıklarının bu olduğunu görecektir.
