CISO’ların ve diğer BT güvenliği liderlerinin çoğunluğu (neredeyse 5 kişiden 4’ü), kurumsal yönetim kurullarından siber riskin ciddiyetini küçümseme konusunda baskı hissettiklerini söylüyor. Trend Micro tarafından yaptırılan çalışma.
Çalışma, güvenlik riskinin nasıl düzgün bir şekilde yönetileceği ve iletileceği konusunda şirketlerin üst düzey yöneticileri, yatırımcılar ve güvenlik operasyonları arasında devam eden gerilimi vurguluyor.
Trend Micro’nun tehdit istihbaratından sorumlu başkan yardımcısı Jon Clay, e-posta yoluyla şunları söyledi: “Yönetim kurulu işin geneline odaklanıyor ve genellikle şirketin yatırımcılarını desteklemesini sağlamak için büyük bir çaba harcıyor.” “Bu nedenle itibarın, gelirin ve kârlılığın eşit olmasını sağlamak istiyorlar.”
Raporda, yönetim kurullarından baskı hisseden güvenlik liderlerinin %43’ünün dırdırcı veya tekrarlayan olarak görüldüklerini, %42’sinin ise siber risk konusunda aşırı olumsuz göründüklerini söylediği ortaya çıktı. Rapor, Sapio Research tarafından dünya çapında 2.600 BT güvenlik liderinin katıldığı bir ankete dayanıyor.
Menkul Kıymetler ve Borsa Komisyonu halka açık şirketlerin maddi siber güvenlik olaylarını bu karardan sonraki dört iş günü içinde açıklamasını gerektirdiğinden, bu tartışma özellikle ABD’de geçerlidir.
Şirketler ayrıca yıllık olarak siber risk stratejilerine ilişkin bilgileri açıklamalıdır.
2023’te SEC SolarWinds’e karşı dava açıldı ve üst düzey siber risk yöneticisi, şirketin yatırımcıları şirketin siber dayanıklılığı konusunda yanılttığını iddia etti.
Şirket yönetim kurullarına ve yöneticilere siber risk konusunda tavsiyelerde bulunan CAP Group’un CEO’su Brian Walker, yönetim kurulu baskısıyla ilgili bulgulara katılmıyor ancak CISO’lar ile yönetim kurulu yöneticileri arasındaki iletişimin çoğu zaman yanlış hizalandığını kabul ediyor.
Walker, e-posta yoluyla şunları söyledi: “Çoğu kurul, diğer tüm kurumsal riskler bağlamında siber riskleri agresif bir şekilde anlamaya çalışıyor.”
Bulgular, Proofpoint’in CISO’lar ve ilgili şirketleri arasındaki uyumun arttığını gösteren bir raporuyla bir şekilde çelişiyor. 2024 CISO’nun Sesi Rapor, CISO’ların %84’ünün siber risk konusunda yönetim kurullarıyla aynı fikirde olduklarını söylediğini gösteriyor; bu, yalnızca %62’nin böyle bir uyum gördüğü bir yıl öncesine göre önemli bir gelişme.
Gelişmelere rağmen, CISO’lar hâlâ siber riskin ağırlığını sırtlarında taşıma konusunda büyük bir baskı hissediyor. Proofpoint’in çalışması, CISO’ların %66’sının aşırı beklentilerle karşı karşıya kaldıklarını söylediğini gösteriyor; bu oran bir önceki yılki çalışmada %61’di.
Proofpoint’in küresel yerleşik CISO’su Patrick Joyce, e-posta yoluyla şunları söyledi: “CISO’lar kilit yönetici ortaklar, paydaşlar, yönetim kurulu üyeleri ve düzenleyicilerle daha yakın bağların tadını çıkarırken, bu yakınlık aynı zamanda daha yüksek riskleri, daha fazla baskıyı ve artan beklentileri de beraberinde getiriyor.”
CISO’ların üçte ikisi kişisel sorumluluk konusunda endişe duyuyor; bu oran bir önceki yılki çalışmada %62 idi. Ankete katılanların yüzde 70’inden fazlası, üst düzey yöneticiler için kişisel sorumluluk sigortası olan direktörler ve memurlar sigortasına sahip olmadıkları sürece bir şirkete katılmayacaklarını söyledi.