Dünya giderek daha fazla çevrimiçi hareket ederken, risk yönetimi uzmanları ve işletme sahipleri siber tehditlerin önlenmesine yatırım yapmaya devam etmelidir. Kaç tane işletmenin yangın, sel ve COVID ile ilgili sorunlar gibi her tür şey için planları olduğunu, ancak bir siber saldırı olması durumunda herhangi bir eylem planının olmadığını görmek şaşırtıcı.
Bir saldırıdan sonraki dakikalar, saatler ve günlerde olanlar çok önemlidir. İş sürekliliği planlamasının, bir tehdit ele alınırken zamandan ve paradan tasarruf sağlayan sağlam bir planla hayati bir yaşam çizgisi olabileceği yer burasıdır.
Güçlü bir siber güvenlik politikası neden bu kadar önemli?
Ayrıntılı bir siber güvenlik politikası, herhangi bir iş sürekliliği planının önemli bir parçasıdır. İşletmelerin herhangi bir zayıflığı yeterince ele almalarını, potansiyel tehditlere hazırlıklı olmalarını ve en kötüsü olması durumunda bir saldırıyı hafifletmeye hazır olmalarını sağlar.
Kuruluşların, neden olabileceği finansal, operasyonel ve itibar zararlarını azaltmak için bir siber olayı hızlı ve etkili bir şekilde tespit edip müdahale edebilmesi gerekir. Bir ekibin etkili siber güvenlik ve izlenecek sağlam olay müdahale planlarına sahip olması çok önemlidir.
Zayıf bir siber güvenlik politikası, iş sürekliliğini bozabilir ve savunma önlemleri alınmadığından siber saldırı olasılığını artırabilir. Ayrıca, kurtarma için gerekli politikalar oluşturulmadığından saldırıları daha da kötüleştirebilir ve sonuçta geliri ve üretkenliği etkiler ve bunların tümü kâr hanesini etkiler.
1. Kötü siber politikalar işletmelerin parasına nasıl mal olabilir?
Bir veri ihlali, para cezaları, davalar ve fazladan personel ücretleri gibi çeşitli maliyetlerle sonuçlanabilir. Bu, BT danışmanlarına veya saldırganlara ödenen doğrudan maliyetleri, yeni personel alımı veya güvenliğin iyileştirilmesi gibi uzun vadeli maliyetleri ve personelin işlerini tamamlayamadığı veya cihazların değiştirilmesi gereken cihazların olduğu dolaylı maliyetleri içerir.
GDPR düzenlemeleri uyarınca, bir bireyin, kuruluşun veri koruma yasasını ihlal etmesi sonucunda maddi (örneğin para kaybı) veya maddi olmayan (örneğin sıkıntıya maruz kalmış) zarar görmüş olması durumunda da kuruluştan tazminat talep etme hakkı vardır. Bu, daha fazla mali kayıplara ve itibar zedelenmesine neden olabilir.
2. Zayıf siber politikalar nasıl itibar kaybına neden olabilir?
Bir şirketin bir veri ihlalinin kurbanı olduğunu bilmek, müşterilerin markaya güvenmelerini engelleyebilir ve onları bir rakip seçmeye veya etkilenen şirketin hizmetlerinden kaçınmaya etkileyebilir. Tüketiciler kendi kişisel verilerini riske atmak istemezler, bu nedenle siber güvenlik politikası zayıf olan bir şirkete vermeye değmez. Bu da kurum için gelir kaybına neden olabilir.
Bu da bir kartopu etkisi yaratabilir. Tüketicilerin işletmeye güvenmediğini bilmek, diğer işletmelerin onlarla çalışıp çalışmama konusundaki kararlarını etkileyebilir. Bu itibar zedelenmesi nedeniyle, birçok işletme o markayla bağlantılı olmak istemeyecek ve sonuç olarak bir rakip seçebilecektir.
3. Zayıf siber politikalar üretkenliği nasıl azaltır?
Bir veri ihlalinden kaynaklanan üretkenlik kaybı, karşılaşılan en yaygın iş sürekliliği kesintilerinden biri olabilir. Bir kuaförün günlük kayıt sistemine erişimini kaybetmesi, bir inşaat şirketinin alt yüklenici veri tabanına erişimini kaybetmesi veya küçük bir üreticinin üretim hattını ve müşterilerle iletişimini kaybetmesi gibi bunun birçok şekli olabilir.
Kısa vadede, bir siber saldırının üstesinden gelmek planlanmamış bir zaman alacaktır. Bu, ağlara ve verilere erişimin kaybedilmesi yoluyla saldırıyı veya kesinti süresini azaltmaktan olabilir. Genel olarak işletmelerin %24’ü, bir veri ihlalinin personelin günlük işlerini yapmasını engellediğini, bunun da teslim tarihlerinin ve fazla mesailerin kaçırılmasına neden olabileceğini söylüyor.
Uzun vadeli, güvenliği ihlal edilmiş finansal veya kişisel verilerin düzeltilmesi ve ayrıca politikalarınızı güncellemek için siber güvenlik eğitimi ve eksiksiz denetimler yapılması zaman alır.
İşletmeler kayıpları azaltmak için neler yapabilir?
Ancak işletmeler bu tür kayıpları azaltmak için önlemler alabilirler. Bir siber iş sürekliliği çalışması, önemli aksamalara neden olabilecek büyük riskleri belirlemeye yönelik bir plan oluşturma sürecinin önemli bir parçasıdır.
Bu tür alıştırmalardan oluşturulan politikalar, saldırılara ve olası kayıplara karşı savunmanızı oluşturacaktır. Politika, tehditleri tanımlamalı, bu tehditleri önlemek için alınan önlemleri ve önlem almaktan, güvenliği sağlamaktan ve ihlallere yanıt vermekten sorumlu kişileri listelemelidir.
Amaç, daha sonra, temel süreçlerin devam etmesine izin vermek için mümkün olduğunda bu kesintileri önlemek için adımlar atmaktır. Bir siber güvenlik politikasının gereklilikleri, siber suçlular tarafından kullanılan yeni teknikler ve araçlar nedeniyle sürekli değişiyor ve düzenli olarak gözden geçirilmelidir. Özellikle bir olayın ardından mevcut politikanın hala uygun olup olmadığını belirlemek için.
Politikada listelenen azaltıcı önlemler arasında virüsten koruma yazılımı ve güvenlik duvarları gibi şeyler, tarayıcılar ve eklentiler gibi şeylerin risk altında olmamasını sağlamak için gereken güncellemeleri ve yamaları yönetme yer alabilir. Ayrıca işletim sistemlerini ve internete yönelik diğer uygulamaları da içerebilir.
Ek olarak, politikalar bir kuruluşun hangi verilere sahip olduğunu, bunların nasıl işlendiğini ve GDPR düzenlemelerine uygun olarak korunduğunu kapsamalıdır. Rezervasyon sistemlerinin ve hesap detaylarının çoğu artık çevrimiçi olarak saklandığından, bu özellikle önemlidir.
İş sürekliliği planlarını gözden geçirmek için yardıma veya boşluk analizi, etki değerlendirmeleri ve risk belirleme gibi alıştırmaları yürütme konusunda tavsiyeye ihtiyaç duyan işletmeler, aşağıdakiler gibi kâr amacı gütmeyen kuruluşlarla iletişime geçebilir: Kuzey Doğu İş Direnç Merkezi. Polis ve NCSC ile ortaklaşa kuruluş, planları güçlendirmeye ve kontrol etmeye yardımcı olmak için Uluslararası İş Sürekliliği Yönetim Sistemleri standardı ‘ISO/IEC 22301:2019’dan modellenen unsurları kullanır.
Zayıf siber güvenlik uygulamaları, işletmeleri finansal ve itibar kayıplarına maruz bırakabilir. NEBRC ve bunların size nasıl yardımcı olabileceği hakkında daha fazla bilgi edinmek için süreklilik planlaması olan işletmeler web sitesini ziyaret edin veya ücretsiz çekirdek üyeliğine kaydolun.
Yazar hakkında:
Stephen Leach, Dedektif Müfettiş ve NEBRC’de İş Geliştirme Başkanı.
Steve, 28 yıllık polislik deneyimine sahip bir Dedektif Müfettiştir ve çoğunluğu hem Kuvvet hem de Bölgesel düzeyde CID’de geçmiştir. Steve şu anda NEBRC’ye atanmıştır ve her zaman dijital ve siber dünyaya ilgi duymuştur.
Polise katılmadan önce üniversiteden Elektronik Sistemler Mühendisliği derecesi ile mezun oldu. Polis bünyesinde internet soruşturmalarında çalıştı ve iletişim verileri araştırmacılarını, radyo frekansı teknisyenlerini ve Dijital Adli İnceleme Uzmanlarını yönetti. Daha yakın zamanlarda, kuvvet çapında Siber Suçlar Birimi’ni oluşturmaktan sorumlu olan ekibin bir parçasıydı. Tasarımdan uygulamaya ve teslimata kadar kuvvet ve bölge çapında Projelerde daha önce deneyime sahiptir.