Siber güvenlik risk yönetimi, yalnızca iç paydaşlar tarafından değil, düzenleyiciler, denetçiler ve müşteriler tarafından da giderek artan bir inceleme altındadır. Ancak birçok kuruluş, riski takip etmek ve yönetmek için hâlâ elektronik tablolar gibi güncelliğini yitirmiş araçlara güveniyor. Orta ölçekli bir finans kurumu için bu güven, rutin bir denetim sırasında bir sorumluluk haline geldi ve neredeyse itibarına zarar veren sistemik zayıflıkları ortaya çıkardı.
Elektronik Tablolarla İlgili Sorun
Kurum, siber güvenlik risk kaydını paylaşılan bir Excel dosyası kullanarak yönetti. Pratik görünüyordu; risk tanımları, ciddiyet puanları, azaltma planları ve sahiplik hepsi oradaydı. Ancak denetçiler durum tespiti konusunda daha derin kanıtlar istediğinde sistemin eksiklikleri acı bir şekilde ortaya çıktı:
- Risk incelemeleri veya onayları için denetim izi yok
- Riskleri kabul etmek veya düzeltmek için tutarlı kriterler yok
- İş öncelikleri veya yasal yükümlülüklerle uyum yok
- Kararların makul bir özen yükümlülüğünü yansıttığını göstermenin hiçbir yolu yok
Risk listesi gibi görünen şeyin, günümüzün düzenleyici beklentilerini karşılamak için gereken bağlamdan, titizlikten ve sorumluluktan yoksun bir liste olduğu ortaya çıktı.
Özen Görevinin Anlaşılması
Denetimin bulguları daha temel bir konuyu öne çıkardı: Kurum, “makul” siber güvenlik korumalarının neye benzediğini belirlemek için tutarlı bir çerçeveden yoksundu. Yasal ve düzenleyici bağlamlarda kuruluşların özen yükümlülüğünü (öngörülebilir zararları önlemek için sorumlu adımlar attıklarını) göstermeleri beklenir.
Özen yükümlülüğü ilkelerini içeren siber güvenlik çerçeveleri, karar vericilere aşağıdaki konularda yardımcı olabilir:
- Risklerin kuruluş, müşteriler ve kamu üzerindeki etkisini göz önünde bulundurun
- Koruma önlemlerini yalnızca maliyet veya teknik fizibiliteye göre değil aynı zamanda zararı önleme yeteneklerine göre değerlendirin
- Denetçilerin ve düzenleyicilerin incelemelerine dayanabilecek savunulabilir kararlar alın ve belgeleyin
Zihniyette Bir Değişim
Denetime yanıt olarak kurum yalnızca elektronik tabloları terk etmekle kalmadı, aynı zamanda siber riske yönelik yaklaşımını da yeniden düşündü. Risk kararlarında hesap verebilirliği, şeffaflığı ve iş bağlamını vurgulayan standartlara dayalı bir çerçeve benimsemiştir.
Önemli değişiklikler şunları içeriyordu:
- Bağlamsal risk puanlaması: Yasal görev, paydaş etkisi ve operasyonel esneklik dikkate alınarak riskin değerlendirilmesi
- Denetime hazır belgeler: Her kararın açık gerekçeler ve zaman damgalarıyla günlüğe kaydedilmesi ve gerekçelendirilmesi
- İşlevler arası işbirliği: Güvenlik, hukuk ve uyumluluk ekiplerinin aynı dili konuşmasını sağlamak
- Gerçek zamanlı risk görünürlüğü: Statik raporlardan yönetici içgörüleri sağlayan dinamik kontrol panellerine geçiş
Önemli Sonuçlar
Kurum, 90 gün içinde risk programını daha olgun, işbirliğine dayalı ve savunulabilir bir duruşu yansıtacak şekilde yeniden oluşturdu. Takip denetimini şeffaflık ve iyileştirilmiş yönetim açısından övgüyle geçti. Liderlik, siber güvenliğe maruz kalma konusunda yeni bir görünürlük kazandı ve güvenlik ekibi, rollerine ilişkin daha fazla netlik ve güven bildirdi.
Öğrenilen Dersler
Bu hikaye, siber riski manuel yöntemlerle yönetmeye devam eden tüm kuruluşlar için önemli çıkarımlar sunuyor:
- E-tablolar ölçeklenemiyor: Dinamik bir tehdit ortamında, bağlantısız araçlar, modern risk yönetimi için gereken öngörüyü veya yapıyı sağlamada başarısız olur.
- Özen borcu hukuk dilinden daha fazlasıdır: Siber güvenliği işletmeye bağlayan stratejik bir çerçevedir.
- Sorumluluk otomasyon gerektirir: Savunulabilir kararlar izlenebilirliğe ve şeffaflığa bağlıdır; bu unsurlara statik araçlarla ulaşılması zordur.
İleriye Bakış
Uyum başarısızlığı olarak başlayan şey, yönetimde bir dönüşüme dönüştü. Kurum, siber riske yönelik daha stratejik ve standartlaştırılmış bir yaklaşımı benimseyerek sadece iyileşmekle kalmadı, aynı zamanda gelişti. Diğer kuruluşların kendilerine şu soruyu sormaları iyi olur: Düzenleyiciler veya müşteriler bugün risk listenize baksalardı, anlatmak istediğiniz hikayeyi anlatır mıydı?
Yazar Hakkında
Rosanna Pellegrino, Makul Risk Altındaki CRO’dur. Rosanna, BT güvenliği, profesyonel hizmetler ve ürün stratejisi alanlarında 30 yılı aşkın deneyime sahip deneyimli bir yöneticidir. Makul Risk’te Gelir Direktörü olarak, stratejik satışlar, kanal geliştirme ve önemli ittifaklar yoluyla küresel gelir artışına liderlik ediyor. Daha önce Nisos’ta CRO olarak küresel satış ağları oluşturup ölçeklendirdi ve KPMG, PwC, Check Point ve McAfee gibi firmalarla ortaklıklar kurdu. Ayrıca Qualys ve RedSeal’de liderlik görevlerinde bulunarak ürün stratejisini ve sektörün önde gelen oyuncularıyla önemli entegrasyonları yönlendirdi.
Rosanna’ya şu adresten çevrimiçi olarak ulaşılabilir: [email protected]https://www.linkedin.com/in/rosannapellegrino/ ve demolar için https://www.reasonablerisk.com/, https://www.reasonablerisk.com/get-started/contact-us/ şirketimizin web sitesinde