Bu Help Net Security röportajında Resilience’ın CISO’su Chris Wheeler, CISO’ların değişen siber güvenlik bütçelerini nasıl yönettiğini anlatıyor. Genel harcamalar artarken birçok kişi, artışların en acil ihtiyaçlarını karşılamadığını söylüyor. Wheeler, kuruluşların fonları nasıl yeniden tahsis ettiğini, yatırım getirisini nasıl ölçtüğünü ve siber güvenlik planlarını iş hedefleriyle nasıl ilişkilendirdiğini açıklıyor.
Birçok CISO, siber güvenlik bütçelerinin genel olarak arttığını ancak bu artışların en çok ihtiyaç duyulan yerlerde olmadığını söylüyor. Deneyimlerinize göre bütçeler nerede artıyor, nerede duruyor veya daralıyor? Finansman önceliklerini nasıl yeniden dengelemeniz gerektiğine dair gerçek dünyadan bir örnek verebilir misiniz?
Siber güvenlik bütçelerinin boyutu artıyor olabilir ancak yıldan yıla toplam büyüme yavaşlıyor. Bunların çoğu sektöre bağlıdır. Örneğin, teknoloji ve sigorta kuruluşlarının siber güvenlik bütçelerinde yıldan yıla %5 büyüme görüyoruz, ancak sağlık, profesyonel hizmetler ve perakende gibi finansal açıdan daha belirsiz endüstriler daha az büyüme, hatta düşüş yaşıyor.
Bunların çoğunun siber güvenlik eğitiminin durumuyla ilgisi var. Kuruluşlar genellikle tehdit ortamı ve yatırım yaptıkları siber girişimlerin potansiyel yatırım getirisi konusunda daha dirençli ve iyi eğitimlidir. Bu nedenle, özellikle yapay zekanın yükselişiyle birlikte, özellikle CTO ve CFO bütçelerine çok fazla para gittiğini görüyoruz.
Üçüncü taraf risk yönetimi, kuruluşların harcamaları doğru şekilde boyutlandırmak zorunda kaldığı bir alandır. Uyumluluk belgelerini incelemek için araçlara ve analistlere yıllardır yapılan yatırımlara rağmen, üçüncü taraf hizmet sağlayıcıların neden olduğu kayıpların arttığını görmeye devam ediyoruz. Müşterilerin yalnızca uyumluluk değerlendirmelerinin yatırım getirisini sorguladığını ve birçoğunun harcamaları azalttığını görüyorum. Bazıları üçüncü taraf hizmet sağlayıcılarını birleştiriyor, diğerleri ise yalnızca üçüncü taraf entegrasyonlarının risklerini kabul ediyor.
Gelir getiren departmanların aksine, siber güvenlik yatırımlarının genellikle doğrudan bir yatırım getirisi yoktur. Yönetim kuruluna sunum yaparken yatırım getirisini veya değer yaratmayı nasıl çerçevelersiniz? Sıfır güven, tehdit istihbaratı veya yapay zeka araçları gibi büyük bir yatırımı nasıl başarıyla gerekçelendirdiğinize dair bana bir örnek verebilir misiniz?
Siber güvenlik planınızın yatırım getirisini göstermek için yönetim kuruluna bir iş senaryosu sunmanız gerekir. Bu ancak CISO’ların risklerini finansal açıdan ölçmeleri durumunda gerçekleşebilir. Yaklaşımımız, kayıp aşım eğrisi adı verilen bir araç aracılığıyla sunulan risk altındaki değere dayanmaktadır. Bu, CISO’ların güvenlik yatırımlarının azaldığı olası ve en kötü senaryoları yönetim kurullarına göstermelerine olanak tanır. Model, tamamı gerçek dünyadaki kayıplara dayanan doğrudan mali kayıpları, iş kesintilerini ve diğer tehlikeleri hesaba katıyor.
Yakın zamanda, sıfır güven ve yapay zeka risk yönetimi için önemli bir teknolojiye yapılan büyük yatırımı, çözümün 3 yıl içinde satın alacağı risk miktarını göstererek gerekçelendirdim.
Siber güvenlik bütçenizi dijital dönüşüm, birleşme ve satın almalar veya yeni pazarlara açılma gibi daha geniş iş hedeflerine nasıl bağlarsınız? Bu uyumun, normalde reddedilebilecek finansmanı güvence altına almanıza ne zaman yardımcı olduğuna dair bir örnek paylaşabilir misiniz?
CISO’ların bütçelerini düzenlemeden önce kurullarının önceliklerini anlamaları gerekir. Bu, onların ihtiyaçlarını en iyi şekilde anlamak için yıl boyunca onlarla tutarlı temas noktalarını koordine etmek anlamına gelir.
Yönetim kurulu üyeleriyle iyi ilişkiler, yıllık bütçe döngüsü dışındaki fırsatçı fonlama konusunda fikir verebilir ve fon taleplerini yönetim kuruluyla birlikte belirlemenize olanak tanır. Örneğin, şirketiniz bir birleşme ve satın alma anlaşması planlıyorsa, sistem entegrasyonu danışmanları veya personel kaybı nedeniyle yeniden işe alma/doldurma gibi işçilik maliyetlerini planlamak çok önemlidir. Ek olarak, denetim ve doğrulama araçları gibi izleme yetenekleri, daha hızlı entegrasyona olanak tanıyacak ve dikkatli çalışmalar sırasında fark edilmeyen riskleri hızlı bir şekilde tanımlayıp düzeltecektir.
2026 yol haritanıza baktığınızda, yapay zeka güvenliği, kimlik veya üçüncü taraf riski gibi bütçe pastasının yeni dilimlerine hangi alanlar hakim? Bu öncelikler neden var ve bu yatırımların karşılığını alıp almadığını nasıl ölçüyorsunuz?
Yapay zeka ve kuantum sonrası güvenlik, daha fazla yatırım gerektirdiğini düşündüğüm iki ana alan. Neyse ki test rutinleri, veri yönetimi, varlık ve envanter yönetimi ve güvenlik korkulukları gibi mevcut yetenek ve prosedürlerde bazı örtüşmeler var. Bununla birlikte, bu girişimlerin her ikisinde de, kriptografik envanter ve LLM güvenlik tespiti ve yanıtı gibi özel çözümler ve yeni harcamalar gerektiren, yeterince hizmet verilmeyen iş sorunları var.
CISO’lar için istekli bir yaklaşım, bütçelerinin %10 veya daha fazlasını 3-5 yıllık bir ufukta ortaya çıkan risklere tahsis etmektir. Bununla birlikte, ortalama CISO’nun %3’lük bir ihtiyari bütçesi vardır ve büyük kuruluşlarda bile çoğunluk, personelin yetersiz olduğunu ve kaynakların yetersiz olduğunu düşünmektedir. Her ne kadar bu riske yönelik hazır bir model olduğunu söylemek istesem de, öyle olduğunu düşünmüyorum. Bu nedenle, varsayılan olarak bu ilkelerden bazılarını uygulamayı tercih ediyorum: Risk altındaki kendi değerinizle ilgili belirsizliği azaltmak için yönetici ekibinizle risk görüşmeleri yapın, hem tahminlerinizi hem de belirsizliğinizi yönetim kuruluna göstermek için zarar aşım eğrisi gibi araçları kullanın ve en etkili girişimlerinizi önceliklendirin.