Sami Mäkiniemelä, Baş Güvenlik Görevlisi, Miradore
Geçen yıl ABD siber saldırı sayısında %57’lik bir artış gördü; bu, dünya çapında bildirilen %38’lik artışın neredeyse iki katı. Bu artan siber saldırı tehdidi, birçok şirketin ekonomik belirsizliğe yanıt olarak maliyetleri düşürdüğü ve personel sayısını azalttığı bir zamanda ortaya çıkıyor. Bu maliyet tasarrufları bir şirkete kısa vadede yardımcı olabilirken, veri ihlalleri ve siber saldırılarla ilişkili feci, uzun vadeli sonuçlara kapı açabilir.
Son veriler, ister kötü amaçlı yazılım, ister fidye yazılımı, veri ihlali veya DDoS saldırısı olsun, bu siber saldırıların her birinin 2022’de ortalama maliyetinin 18.000 ABD Doları olduğunu gösteriyor. Bu, 2021’de 10.000 ABD Dolarından bir önceki yıla göre neredeyse iki katına çıktı. Çalışma ayrıca, tüm Amerikan işletmelerinin neredeyse yarısının geçen yıl bir şekilde bir siber saldırıya uğradığını gösterdi.
Ancak siber saldırıların riskleri ve maliyetleri arttıkça, kurumsal düzeydeki endişeler tehditle eşleşmiyor. Yeni araştırmalar, şirket yönetim kurulu yöneticilerinin yalnızca %23’ünün siber saldırı riskinin çok yüksek olduğunu düşündüğünü gösteriyor. Bu saldırıların maliyeti artmaya devam ettiğinden ve bu kurulların denetlediği işletmeler için bir tehdit oluşturduğundan, bu ciddi bir sorun olabilir. Bu nedenle, C-suite pozisyonlarındakilerin ve yönetim kurulu üyelerinin, işletmelerini bu karmaşık ve maliyetli tehdide karşı koruma konusunda daha proaktif olmaları gerekiyor.
Şirket yönetim kurullarının ilgisizliği ile tehdit ortamının gerçekliği arasındaki bu kopukluk, bu organlara emanet edilen emanet ve gözetim sorumlulukları düşünüldüğünde özellikle endişe vericidir. Kurullar ve üyeleri, bu saldırılara karşı uygun önlemleri almak için siber dirençliliğe yönelik riskler ve stratejiler konusunda kendilerini eğitmekle yükümlüdür.
İşte yönetim kurulu üyelerinin şirketlerini gelecekteki mali felaketlerden korumaya yardımcı olmak için bugün siber güvenlik hakkında bilmesi gereken üç temel şey.
Siber güvenliğin önemini ve etkisini anlamak, işinizi korumanın ilk ve en önemli adımıdır.
Siber güvenlik, derin BT veya teknolojik bilgisi olmayan biri için çok karmaşık görünebilir. Ancak, tüm panonuzun bilgisayar ağları ve bunları olası saldırılara karşı nasıl koruyacağınız hakkında her şeyi anlaması gerekmez. Sadece yukarıdan aşağıya siber güvenliği geliştirmeye kararlı olmaları gerekiyor. Değilse, yönetim kurulunun siber güvenlik endişelerini görmezden geldiğini gören çalışanlar da muhtemelen aynısını yapacaktır.
Ayrıca, siber güvenlik hususlarının bir şirketin genel iş stratejisinin bir parçası olması gerekir. Yönetim kurulu üyelerinin, kurumsal mali tabloları incelerken, siber saldırılara karşı savunma sağlayacak şirket altyapısına yönelik düzenli bakım ve yükseltmeleri desteklemek için sağlam bir bütçe olduğundan emin olmaları gerekir. Mevcut ekonomik belirsizlik ve maliyet düşürücü zorunluluklarla bile, siber güvenlik harcamalarının bu yıl 2022’ye kıyasla %10’dan fazla artması bekleniyor. Bu, her büyüklükteki kuruluş için bu konunun öneminin altını çiziyor.
Kötü yönetilen siber güvenlik tüm işletmeyi riske atabilir.
Hiçbir şey olmadığında siber güvenliği göz ardı etmek kolaydır. Ancak işler ters gittiğinde, olaydan sonra bunu düzeltmek sorunlu ve çok pahalı olabilir. Siber saldırıların bir şirket için mali kayıp ve itibar riski gibi önemli sonuçları olabilir. IBM, 2022’de bir Amerikan veri ihlalinin ortalama maliyetinin 9,44 milyon dolar olduğunu tahmin ediyor. Ancak aynı zamanda, ölçülmesi daha zor olan ve iş üzerinde önemli bir olumsuz etkiye sahip olabilen, kaybedilen kamu güveninin itibar zararları da vardır.
Facebook’un Cambridge Analytica veri ihlalinden yıllar sonra, sosyal medya kullanıcılarının %44’ü hala Facebook hakkında olumsuz bir görüşe sahip. Y kuşağının %41’i veri ihlali nedeniyle Facebook’u daha az kullanıyor. Yakın tarihli bir araştırmaya göre, danışmanlık giderlerini, zarar gören kurumsal imaj nedeniyle kaybedilen fırsatları ve itibar üzerindeki etkiyi azaltmayı amaçlayan pazarlama ve halkla ilişkiler faaliyetlerini birleştirdiğinizde, bu tür bir hasar için ortalama mali kayıplar KOBİ’ler için 8.653 Dolar ve daha büyük şirketler için 204.750 Dolardır.
Bu nedenle, işletmenizin siber suçlara karşı bunlar gerçekleşmeden önce tamamen korunduğundan önceden emin olmak daha ucuz ve daha kolaydır. Devlet destekli ve diğer oldukça karmaşık siber saldırıların artan sıklığıyla birlikte, siber suç tehdidi daha da ciddileşiyor. Neyse ki, siber suçlar daha karmaşık hale gelirken, onları önlemeye yardımcı olan teknoloji de öyle. Bu amaca yönelik olarak, siber güvenlik eğilimleri ve sorunları hakkında bilgi sahibi olmanıza yardımcı olacak çeşitli kaynaklar mevcuttur. CISA ve SBA gibi devlet kurumları temel rehberlik sağlarken, Miradore gibi şirketler MDM sunar ve Google’ın Mandiant’ı gibi siber istihbarat şirketleri, şirketlerin bir saldırı öncesinde, sırasında veya sonrasında riskleri azaltmasına yardımcı olabilir.
Siber güvenliği eviniz gibi düşünmek faydalı olacaktır – bir hırsızı kameralar, alarm sistemi ve uygun dış mekan aydınlatması ile caydırmak, hırsızlıktan sonra çalınan mülkü geri almaktan daha kolaydır. Yönetim kurulu üyeleri, bir saldırıdan önce siber savunma konusunda proaktif davranarak şirketlerinin kârlılığını koruyabilir.
Yönetim, şirketin daha büyük siber güvenlik çabalarında aktif bir katılımcı olmalıdır.
Her büyüklükteki şirket bir bilgi güvenliği yönetim stratejisi ve yönetim komitesi oluşturmalıdır. Yönetim kurulu üyeleri ve üst düzey yönetim ekibi, bu konunun önemini şirkete ve müşterilerine anlatmak için bu komitede yer almalıdır. Ayrıca, bu alanda bir mevcudiyete sahip olmak, kurulun herhangi bir olası siber güvenlik olayı hakkında zamanında bilgilendirilip harekete geçebileceği ve böylece daha verimli bir müdahalenin sağlanacağı anlamına gelir.
Ek olarak, yönetim kurulu üyeleri siber güvenliğin iş üzerindeki etkisini ölçmek için ölçütler ve raporlar oluşturmaya çalışmalıdır. Amerikalı yazar ve girişimci H. James Harrington’dan alıntı yapacak olursak, “Ölçme, kontrole ve nihayetinde iyileştirmeye götüren ilk adımdır. Bir şeyi ölçemiyorsanız, onu anlayamazsınız.” Kurullar, tüm siber güvenlik olaylarını ve bunları düzeltmek için ne kadar para ve zaman harcandığını takip etmeli ve aynı zamanda gelecekte benzer olayları nasıl önleyebileceklerini de araştırmalıdır. Siber saldırıların etkisini ve bunları önlemeye yönelik ilerlemeyi ölçmek, bir şirketin siber risk profilini yönetmede kritik bir adımdır.
Siber güvenlik ortamı gelişmeye ve genişlemeye devam ettikçe, siber saldırı tehdidi daha zararlı olmaya devam edecek. Bir şirketin yönetim kurulu üyelerinin, gözetim sorumluluklarını yerine getirmek ve işletmelerini açıklanamayan para ve itibar kayıplarından korumak için siber saldırılarla ilgili temel bilgileri ve bunların nasıl önleneceğini anlama yükümlülüğü vardır.
Tüm siber güvenlik sorunları için tek bir mükemmel çözüm veya sihirli değnek olmasa da, bu konuya kendini adamış yönetim kurulları, kendilerine uygun araçların bir kombinasyonunu bulana kadar mevcut kaynakları denemelidir. Yönetim kurulunun siber güvenlikle ilgili doğru eylem ve niyet karışımı, şirketin siber saldırıları önlemek ve gelen tüm saldırılara hızlı ve verimli bir şekilde yanıt vermek için en iyi konumda olmasını sağlayacaktır.
yazar hakkında
Sami Mäkiniemelä, MDM sunan bir yazılım şirketi olan Miradore’da Güvenlikten Sorumlu Başkan’dır.
Hizmetler. Sami’ye LinkedIn üzerinden online olarak ulaşılabilir. Miradore’un web sitesinde mobil cihaz yönetiminin siber güvenlik avantajları hakkında daha fazla bilgi edinebilirsiniz.