Siber saldırıların tüm sektörlerde yaygınlaşmasıyla birlikte kuruluşlar, siber riskin artan önemini ve bunun nasıl verimli bir işletmeyi korumanın ve sürdürmenin ayrılmaz bir parçası olduğunu kavramaya başlıyor. Fidye yazılımı, küresel işletmeler için en büyük siber tehdittir; Aslında, yalnızca 2022’nin ilk yarısında toplam 236,1 milyon fidye yazılımı vakası meydana geldi ve bu, her ölçekten şirketin maruz kaldığı muazzam riski yansıtıyor. Dijital dönüşüm yalnızca siber başarısızlıklarla ilişkili riski artırıyor.
Tipik olarak, bilgi güvenliği görevlilerinin (CISO’lar) yalnızca tüm varlık tabanını korumaktan ve tüm güvenlik ihtiyaçlarının karşılanmasını sağlamaktan sorumlu olduğu yönünde bir beklenti vardır. Bununla birlikte, baş finans görevlileri (CFO’lar), artık doğası gereği aynı zamanda iş riski olan siber riski yönetmek için de aynı derecede hayati öneme sahiptir.
Her iş birimindeki görünürlükleri göz önüne alındığında, CFO’lar yeni stratejik roller üstleniyor. Bu nedenle, dijital dönüşüm ve finans işlevini geliştirme ve sürdürmenin yanı sıra şirketlerinin büyümesine rehberlik etmekle görevlidirler. Ancak bunu verimli ve güvenli bir şekilde yapmak için siber risklerinin nerede olduğunun ve onu nasıl yöneteceklerinin farkında olmaları gerekir.
Dağıtılmış iş gücü ve hibrit çalışma modeli, tehdit ortamının genişlemesine katkıda bulundu ve savunucular hâlâ ayak uydurmakta zorlanıyor. Liderlerin işletmelerini düzgün bir şekilde güvenceye almaları ve sağlam sistemlere sahip olmaları için, fidye yazılımı ve siber güvenlik hakkındaki konuşmalara finansal danışmanları ve CFO’ları dahil etmeleri gerekir, aksi takdirde yeterince hazırlıklı olmama riskine girerler. Bunun nedeni, siber güvenliğin artık bir işletmenin tüm yönlerine dokunmasıdır; kuruluşu koruma sorumluluğu artık yalnızca güvenlik ekiplerine ait değil.
Bilgi güvenliği ve operasyonel riski ölçmek için tasarlanmış uluslararası model olan FAIR™’i (Bilgi Riskinin Faktör Analizi) kullanan bilgi güvenliği ekipleri, siber riski finansal terimlerle ölçebilir. Sonuç olarak, riski iş liderlerine anlayacakları ve etkili bir şekilde iletebilirler: belirli dolar miktarlarında. Bunu yaparken, CISO’lar ve CFO’lar siber riski bütçelerine dahil ederek daha etkili bir şekilde işbirliği yapabilirler. Riski azaltmak ve organizasyonu bir bütün olarak daha iyi korumak için en uygun maliyetli yollara yatırım yapıp yapmadıklarını kendilerine sormalıdırlar.
Raporlama nasıl değişti?
Mali düzenleyiciler de siber güvenliği daha stratejik bir öncelik olarak görerek daha ciddiye almaya başlıyor. Özellikle ABD’de, SEC kısa bir süre önce, şirketlerin mevcut siber politikalarını ve prosedürlerini değerlendirmelerinin beklendiği siber güvenlik risk yönetimiyle ilgili orijinal kurallarında değişiklikler önerdi.
Bu yönergelere göre, işletmelerin maddi siber olayları bildirmek için dört günleri olacak, daha ayrıntılı şirket raporları sağlamalı ve düzenli olarak siber risk raporları sunmalıdır. Maddi çıkarların ifşa edilmesinden CFO sorumlu olduğundan, uymaları gereken tüm düzenleyici standartların yanı sıra maruz kaldıkları risklerin farkında olmaları hayati önem taşır. Siber güvenlik standartları ve raporlama gereklilikleri, gelişmeye devam ettikçe, ülkeden ülkeye ve ABD’de eyaletten eyalete değişir.
Yeni düzenlemelerin bir kısmı, kuruluşların siber güvenliğin iş stratejilerinin ve finansal planlarının bir parçası olduğunu ve yönetim kurullarının şirketi siber tehditlere karşı korumada oynadığı rolü ana hatlarıyla belirtmelerini istiyor. CFO’lar, CISO’lar, güvenlik ekipleri ve C-suite yöneticilerinin yalnızca yeni kurallara uymak için değil, aynı zamanda işletmelerinin fidye yazılımı ve diğer veri ihlalleri gibi önemli tehditlerden korunmasını sağlamak için aktif olarak birlikte çalışması gerekecek.
CFO’nun önemi
CFO, belirli siber güvenlik olaylarının önemli hale gelip gelmeyeceğini ve işi daha ciddi şekilde etkileyip etkilemeyeceğini belirlemek için hayati önem taşır. Ayrıca BT ekipleri, yönetim kurulu ve C-suite yöneticileri gibi inceleme ve iyileştirmeden sorumlu olanlara siber olaylara ilişkin mali analiz hakkında rapor vermelidirler. Daha da önemlisi, CFO’lar ilgili risk yönetimi politikalarını ve orijinal bütçelerde hesaba katılmayan siber güvenlik riskinin gözetimini ifşa etmede hayati bir rol oynar.
CFO’nun uzmanlığı ve katkısı, kuruluşun siber güvenlik yeteneklerinin genel iş stratejisiyle uyumlu olmasını sağlamada çok önemlidir. Bu, yalnızca bir işletme FAIR standardı gibi bir risk niceleme modelini izleyerek siber riskini ölçüyorsa gerçekten mümkündür. CFO, bir kuruluşun maruz kaldığı riske parasal bir değer biçerek, üst düzey yöneticileri ve iş liderlerini işin güvenliğini sağlamaya yardımcı olacak hayati kararlar almalarında destekleyebilir.
CFO’nun içgörüsü, aşağıdakiler de dahil olmak üzere birçok siber güvenlik alanında kritik öneme sahiptir:
- Fidye yazılımı: CFO, finansmanı onaylamaktan ve siber suçluların istedikleri fidyeyi alıp almamaları gibi önemli konularda şirkete tavsiyelerde bulunmaktan sorumludur. Kuruluşun tüm olası sonuçlara tamamen hazır olmasını sağlamada çok önemli bir rol oynarlar.
- siber sigorta: Sigorta kapsamı azalırken primlerin arttığı eğilimi göz önüne alındığında, CFO’nun maliyet ve değer konusundaki girdileri kritik öneme sahiptir. Risklerin nerede olduğunu ve karşılaşılabilecek potansiyel finansal kayıpları en iyi anlayacak konumdalar.
- Mevzuata uygunluk: Mevzuata uyum, gereksiz ve yüksek maliyetli para cezalarına maruz kalmamanın anahtarıdır. CFO’lar, nicel bir değer kullanarak siber riski evrensel olarak anlaşılan bir konsepte çevirebilir ve belirli olayların maddi tehdit olarak kabul edilebileceği eşik değerleri belirleyebilir. Bilgi güvenliği ekipleri ve CFO’lar birlikte çalışarak uyumluluk hedeflerine ulaşmak için en uygun maliyetli planı belirleyebilirler.
- bütçeleri yönetme: CFO ile işbirliği, CISO’ların verimli harcama ölçütleri oluşturmasına ve mevcut yatırımların nasıl kullanıldığını değerlendirmesine yardımcı olabilir. Sonuç olarak, önceden hesaplanan dolar değerine bağlı olarak, riskin daha yüksek olduğu yerlerde bütçeleri daha iyi tahsis edebilirler.
Siber risk yakında ortadan kalkmayacak. Diğer siber tehditler gibi fidye yazılımı da artıyor ve siber suçlular sürekli olarak daha fazla risk oluşturan yeni taktikler geliştiriyor. Kuruluşların, CFO’nun hayati konuşmalara ve karar verme süreçlerine dahil olması da dahil olmak üzere, şirketlerini her türlü ihlale karşı güvenceye almak için gerekli tüm önlemleri alarak kendilerini yeterince hazırlaması çok önemlidir.
Fidye yazılımına ve diğer büyük ölçekli siber saldırılara yeterince hazırlanmak için C-suite yöneticilerinin bütçeleri yalnızca uyumluluk için değil, aynı zamanda risk iştahları için de değerlendirmesi gerekir. Bu şekilde, bütçe harcamalarının verimliliğini en üst düzeye çıkarırken kendilerini daha iyi koruyabilecekler. Günümüzün siber risk ortamına hazırlanmak için bilgi güvenliği ekiplerinin yanı sıra baş finans görevlileriyle aktif olarak işbirliği yapmalıdırlar.
Dave Sutor, RiskLens’te CFO