İş kararları, iyi hesaplanmış riske ve yüksek kaliteli, zamanlı verilere bağlıdır. Liderlerin sürekli olarak bu verileri yorumlaması, gelecekteki ihtiyaçları ve çözümleri tahmin etmesi ve ilgili maliyetleri hesaplaması gerekir. İşletmenin ilgili hizmetleri sağlamak ve kar elde etmek için doğru becerilere ve kaynaklara sahip olmasını sağlamak karmaşık bir dengeleme eylemidir.
Ancak siber risk benzersiz bir zorluk sunar: Siber riski iş terimleriyle iletebilmek ve bunun para kazanmadaki rolünü işletmenin rolüyle ilişkilendirebilmek. Bilgi Güvenliği Baş Sorumlusu’nun (CISO) rolü çok büyük bir sorumluluk taşır ve genellikle siber tehditlerin olası zararları nedeniyle baskı ve izolasyon duygularına yol açar. Ancak herhangi bir kuruluş, yalnızca siber riski en aza indirerek ve siber dayanıklılığı geliştirerek günümüzün öngörülemez ve çoğu zaman zorlayıcı dijital ortamında başarılı olabilir.
Buna karşılık, kuruluşun diğer bölümlerinde çalışan çoğu çalışan genellikle bir siber olayın sonuçlarından habersizdir. En kötü senaryoda, ciddi bir siber saldırı bir kuruluşu felce uğratabilir. Dolayısıyla, siber risk çoğu zaman aşırı basitleştirilmiş olsa da, tüm sektörlerdeki kuruluşlar için kritik bir endişe kaynağıdır.
Siber güvenlik risk analizinde objektiflik eksikliği
Siber güvenlik riskinin başlangıcından bu yana, güvenlik ekipleri siber riski doğru bir şekilde ölçmek ve bunu işletmeye ve yönetim kuruluna net bir şekilde iletmek için çabaladı. Bunu başarmaya çalışan birçok kişinin bildiği gibi, bu durum çoğunlukla anlayışta büyük bir boşluk yarattı. Güvenlik ekipleri, iddialarını ortaya koymak için sıklıkla subjektif verilere güvendiler ve bu da yanlışlıklara ve somut delil eksikliğine yol açtı. İyi araştırılmış çalışmalara rağmen, bu yaklaşımlar subjektif ve önyargılı olabilir, potansiyel olarak verileri bilimsel bir yaklaşımı benimsemek yerine bir anlatıya uyacak şekilde çarpıtabilir. Bu, yanlış bilgilendirilmiş kararlara ve daha sonra ciddi sonuçlara yol açacak yetersiz eylemlere neden olabilir.
Zeki bir yönetim kurulu üyesi akıllıca sorular sormaya başladığında kart destesi hızla çökebilir. Risklerin nasıl derecelendirildiğini ve ne kadar ayrı veya bağlantılı olduklarını sorabilirler. Derecelendirme sistemi doğrusal mı? Her risk neye bağlıdır? Birkaç yeni risk eklerseniz sistem dik durur mu?
Dürüst olalım, bu risk değerlendirmesinin çoğu tahminlere dayanmaktadır. 25 yılı aşkın bir süredir güvenlik sektöründe çalışıyorum ve henüz sağlam, emsaller tarafından test edilmiş bir siber risk programı uygulayan herhangi bir boyut, şekil veya karmaşıklığa sahip bir kuruluşla çalışmadım. İş dünyası liderlerinin ve yönetim kurullarının siber risklerin kapsamlı bir şekilde yönetilmesini talep etmelerinin zamanı geldi.
CRQ’yu iş stratejisine dahil etme
Siber Risk Ölçümü (CRQ), siber risk maruziyetini ve bir siber güvenlik olayının iş ile ilgili terimlerdeki potansiyel sonuçlarını objektif olarak değerlendirmek için standartlaştırılmış bir yaklaşımdır. Çeşitli CRQ modelleri mevcuttur ancak çoğu, temel varlıklar, olası senaryolar, tehdit ortamı, potansiyel iş kaybı, hafifletme süresi ve maliyeti, potansiyel düzenleyici para cezaları ve cezalar ile iş itibarı üzerindeki etki gibi ortak unsurları dikkate alır.
Bugün sadece birkaç düzenlemeye tabi endüstri CRQ’yu zorunlu kılıyor. Ancak önümüzdeki aylarda ve yıllarda daha fazla kuruluş ve sektörün bunu yapmasıyla bu hareketin daha da büyüyeceğine inanıyorum. Deloitte’un araştırması, pek çok şirketin herhangi bir CRQ programına sahip olmadığını ortaya çıkardı. Ve bunu ticari eylemleri teşvik etmek için kullanmakta zorlananlar. Forrester’a göre CRQ “yeni oluşan” bir pazar, ancak “güvenlik liderlerinin yönetim kurulları ve yöneticilerle siber güvenliği tartışmak için etkileşim kurma biçiminde temelden devrim yaratacak.”
%100 katılıyorum. Kuruluşların varlıklarını, çalışanlarını, müşterilerini ve itibarlarını korumak için CRQ’yu zorunlu bir strateji olarak benimsemeleri gerektiğine güçlü bir şekilde inanıyorum. CRQ, iş büyümesinin kilidini açacak bir iş kolaylaştırıcı ve hızlandırıcıdır. Bu konuda uzmanlaşan kuruluşlar gerçek rekabet avantajları elde edeceklerdir. Bunun nedeni CRQ’nun:
1. İnsanlara stratejiyi tartışabilecekleri ortak bir dil sağlamak için siber güvenliği iş riskleriyle uyumlu hale getirir
2. Sübjektif risk modellerini objektif değerlendirmelere dönüştürerek organizasyonel sağlamlığı destekler
3. Risk sermayesi tahsisine ve yatırım getirisinin (ROI) ölçümüne yardımcı olarak sermaye yatırımı kararlarına rehberlik eder
4. Daha bilinçli ve hesaplanmış risk alma kararlarını teşvik ederek potansiyel hamlelere ilişkin riski ölçer
5. Kanıta dayalı olarak riski doğru tanımlayarak siber sigorta primlerini düşürebilir
6. Organizasyonun korunmasına ve stratejik fırsatların yakalanmasına yardımcı olarak rekabet avantajı sağlar
7. Gerçek zamanlı analiz sağlayarak, otomatik risk raporlama ve isteğe bağlı senaryo analizi ile geleceği öngörerek hızlı karar almayı mümkün kılar.
Dalmaya hazır mısınız?
CRQ’nun onu iyi uygulayan ve yürüten kuruluşlara büyük ödüller sunabileceğine inanıyorum. Başlamadan önce dikkate alınması gereken ana noktalar şunlardır:
• CRQ, her değişikliğin etkilerini anlamak için risk yönetimini radikal devrim niteliğindeki değişikliklerle değil, kademeli evrimsel değişiklikler yoluyla iyileştirmeyi amaçlamaktadır.
• Başarı, paydaş desteğine ve etkili uygulamaya bağlıdır
• Bu hem teknolojik bir girişim hem de organizasyonel bir dönüşümdür
• Doğru ortağı seçmek çok önemlidir; deneyimli bir ekip, CRQ’nun etkili bir şekilde uygulanmasını sağlayacak şekilde risk ortamı ve azaltma stratejileri hakkında derin bilgi sunabilir
• Eğik çözümlere karşı dikkatli olun; risk tahmininde kullanılan veriler ilgili ve yüksek kalitede olmalıdır. CRQ ortağınızın tehdit ortamınızı, varlıklarınızı ve iş hedeflerinizi anladığından ve CRQ analizindeki değişkenler konusunda net olduğundan emin olun.
Giderek artan siber tehdit ortamı uzun süredir her kuruluş için siber riske öncelik verme konusunda bir uyandırma çağrısı olmuştur. BT sistemlerini, verilerini ve itibarını korumak için öznel önlemlerin kullanılmasının yeterli olduğu günler geride kaldı. CRQ’yu stratejik bir öncelik olarak yükseltmek ve onu diğer kurumsal risklerin raporlanma şekliyle ilişkilendirmek (ve ona eşitlik sağlamak) artık çok önemli. Yönetim kurulu ve CISO, riskleri iş genelinde ölçerek en aza indirmek ve karşılaştıkları siber tehditlere bakılmaksızın kuruluşun dayanıklı ve başarılı olmasını sağlamak için birlikte çalışmalıdır.
Reklam