Yıllardır siber risk, operasyonel sorumluluklarının bir parçası olarak güvenlik ve mühendislik ekipleri tarafından yönetilen bilgi teknolojisi (BT) dünyasına havale edildi. Ancak dijital dünya giderek birbirine bağlandıkça ve ulus devlet düşmanlarından, fidye yazılımı çetelerinden ve diğer siber suçlulardan gelen tehditlerle dolup taştıkça, bu sınırlı yaklaşım artık geçerli değil. Günümüzde kurumsal liderler ve yönetim kurulu üyeleri, siber riskin yalnızca bir BT sorunu olmadığını, aynı zamanda doğrudan gözetimlerini gerektiren stratejik bir kurumsal risk olduğunun farkına varıyorlar.
Bu değişim, kuruluşların siber güvenliğe nasıl yaklaştıklarını yeniden düşünmeleri yönündeki acil ihtiyacı yansıtıyor. Riskler hiç bu kadar yüksek olmamıştı: Siber tehditler yalnızca şirket operasyonlarına zarar vermekle kalmıyor, aynı zamanda ulusal güvenlik ve sistemsel dayanıklılık açısından da önemli riskler oluşturuyor.
Bunun bilincinde olan Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Ulusal Kurumsal Direktörler Birliği (NACD) ve İnternet Güvenliği İttifakı ile işbirliği içinde, Siber Risk Gözetimine ilişkin NACD Direktör El Kitabı’nı geliştirdi. Bu el kitabı, siber güvenliği yönetim kurulu yönetimine entegre etmek için kapsamlı bir çerçeve ortaya koyuyor ve liderlere sürdürülebilir bir siber güvenlik kültürü geliştirmeleri için uygulanabilir rehberlik sunuyor.
Siber Riskin Sorumlusu Olarak Kurullar
NACD Direktör El Kitabı temel bir değişimi vurguluyor: Siber güvenlik, kurumsal yönetimin temel bir unsuru olarak ele alınmalıdır. Yönetim kurulu üyeleri, siber güvenlik hususlarının kuruluşun stratejik önceliklerine dahil edilmesini sağlayarak, eylemleri ve kararları aracılığıyla bu değişimi yönlendirme yetkisine sahiptir.
Peki bu pratikte neye benziyor? Kurulların alabileceği temel eylemler şunlardır:
CISO’yu güçlendirmek
Baş Bilgi Güvenliği Görevlileri (CISO’lar), bir şirketin siber güvenlik çabalarının ön saflarında yer alır. Ancak genellikle etkili kararlar almak için gereken yetki veya kaynaklara sahip değiller. Yönetim kurulları, CISO’ların siber güvenliğe etkili bir şekilde öncelik verme konusunda tam yetkiye sahip olmasını sağlamalıdır. Bu, onlara yeni ortaya çıkan tehditlere karşı gerekli nüfuzu, bütçeyi ve araçları sağlamayı da içerir.
Ayrıca maliyet, pazara sunma hızı veya güvenlikten ziyade ürün özelliklerine öncelik veren kararlar şeffaf bir şekilde alınmalıdır. Bu tür ödünleşimler yalnızca CISO’yu değil aynı zamanda potansiyel olarak etkilenen müşterilerin tam görünürlüğünü sağlayacak şekilde CEO ve yönetim kurulu üyelerini de içermelidir. Siber güvenlik, bir güvenlik meselesi olarak yeniliğin gerisinde kalmayı göze alamaz.
Siber Risk Konusunda Liderliği Eğitmek
Siber risk okuryazarlığı artık kurumsal liderlik için isteğe bağlı değil. Yönetim kurulları, meslektaşlarının ve üst düzey yöneticilerin siber tehditlerin kritik doğasını ve yetersiz savunmanın potansiyel sonuçlarını anladığından emin olmalıdır. Bu, siber güvenlik hususlarının her iş, teknoloji ve yazılım satın alma kararına entegre edilmesini içerir.
Ayrıca kurulların siber riskleri azaltmak yerine kabul etme kararlarını incelemesi ve bu kararları düzenli olarak yeniden gözden geçirmesi gerekiyor. Siber riski daha etkili bir şekilde yönetmek için bazı kuruluşlar, siber güvenliği genellikle bir uyumluluk sorunu olarak ele alan geleneksel denetim komitesi yaklaşımının ötesine geçerek, özel siber güvenlik veya teknoloji riski komiteleri oluşturuyor.
Siber Risk Yönetimi Çerçevesi Oluşturma
Siber tehditlere maruz kalmayı ölçmek ve azaltmak için güçlü bir siber risk yönetimi çerçevesi gereklidir. Kurullar, kuruluşun siber güvenlik duruşunu değerlendirmek için standartlaştırılmış ölçümlerin ve kriterlerin geliştirilmesini incelemeli ve onaylamalıdır.
Bu standartlar tutarlı değerlendirmeyi mümkün kılar ve şirketin zayıf noktalarının net bir resmini sunar.
Raporlama Eşiklerini Düşürme
Etkin siber yönetimin en çok gözden kaçan yönlerinden biri ramak kala olayların raporlanmasıdır. Çoğu zaman, kötü amaçlı etkinliklerin üst yönetime bildirilmesine ilişkin eşikler çok yüksek belirlenerek, kritik öğrenme fırsatları ele alınmadan bırakılır. Bu olaylar savunmadaki boşlukları ortaya çıkardığından ve kuruluşun müdahale yeteneklerini test ettiğinden, kurulların hem başarılı izinsiz girişler hem de ramak kala olaylar hakkında düzenli brifingler alması gerekmektedir.
İzolasyon Yerine İşbirliğini Teşvik Etmek
Siber tehdit ortamı, kuruluşların tek başına mücadele edemeyeceği kadar geniş ve karmaşıktır. Yönetim kurulları, şirketleri kötü niyetli faaliyetlerle ilgili bilgileri sektördeki meslektaşları ve devlet kurumlarıyla paylaşmaya teşvik ederek bir işbirliği kültürünü desteklemelidir. Bu proaktif paylaşım, özel sektör ile kamu sektörü arasındaki güveni güçlendirirken, daha hızlı ve daha etkili yanıtlara yol açabilir.
Sürdürülebilir Siber Güvenlik İçin Yeni Bir Model
CISA ve ortakları, tepeden kararlılıkla başlayan yeni bir sürdürülebilir siber güvenlik modelini savunuyor. Bu model, CEO’ların ve yönetim kurullarının siber güvenliği yalıtılmış bir işlev olarak değil, iyi yönetişimin ayrılmaz bir parçası olarak görmesini gerektirir. Bu, siber risk yönetiminin finansal gözetim kadar organizasyonda kökleşmiş olduğu bir kültür yaratmakla ilgilidir.
NACD’nin belirttiği gibi, siber güvenlik okuryazarlığı finansal okuryazarlık gibi ele alınmalıdır: her yönetim kurulu üyesinin siber güvenlik uzmanı olması gerekmese de tüm üyelerin siber riskler ve bunların sonuçları hakkında temel bir anlayışa sahip olması gerekir. Yöneticilerin mali tabloları okuması beklendiği gibi, bilinçli kararlar verebilmek için siber güvenliğin temellerini de kavramaları gerekiyor.
Kurumsal Siber Sorumluluk: Şimdi Zamanı
Günümüz ortamında yönetim kurulları ve CEO’lar, kurumsal siber sorumluluğu yönetişimin tartışılamaz bir unsuru olarak benimsemelidir. Her kuruluşun çalışanlarını, ortaklarını ve müşterilerini siber tehditlere karşı koruması gerekir. Bu taahhüt, üst düzey liderlerin siber risk yönetiminden sorumlu tutulması ve önemli siber güvenlik kararlarına doğrudan dahil olmalarının sağlanmasıyla başlar.
NACD Direktör El Kitabı, aşağıdakilerin önemini vurgulayarak bu hedefe ulaşmak için uygulanabilir adımları özetlemektedir:
- CISO’ları güçlendirmek ve çabalarını kurumsal önceliklerle uyumlu hale getirmek.
- Yönetim kurulu üyelerini ve yöneticileri gelişen tehdit ortamı konusunda eğitmek.
- Siber riskleri değerlendirmek ve azaltmak için standartlaştırılmış çerçeveler geliştirmek.
- Endüstriler arasında ve hükümet ortaklarıyla bilgi paylaşımını ve işbirliğini teşvik etmek.
Özetle
Günümüzde kuruluşların karşı karşıya olduğu dijital tehditler yalnızca operasyonel zorluklar değil, aynı zamanda kurumsal liderlerin acil ve sürekli ilgisini gerektiren varoluşsal risklerdir. NACD Direktör El Kitabı’nda belirtilen ilkeleri benimseyen kurullar, siber güvenliğe yönelik yaklaşımlarını dönüştürebilir ve bunun stratejik bir öncelik olarak ele alınmasını sağlayabilir.
Mesaj açık: siber güvenlik yalnızca bir BT işlevi değildir; bu bir kültürdür, bir yönetişim meselesidir ve ortak bir sorumluluktur.
Yönetim kurullarının adım atmasının, örnek teşkil etmesinin ve birbirine bağlı bir dünyada dirençli olmanın ne anlama geldiğini yeniden tanımlamasının zamanı geldi.
İlgili