Dünyanın dört bir yanındaki İcra Kurulu Başkanları (CEO’lar), siber güvenliğin şirketlerinin büyümesinde ve istikrarında oynadığı hayati rolün farkındadır ve %96’lık etkileyici bir oran kesinlikle bu görüşe katılmaktadır. Ancak hikayede bir terslik var. Aynı CEO’ların %74’ü çarpıcı bir şekilde kuruluşlarının ortaya çıkan siber saldırı tehditlerini önlemeye veya hafifletmeye hazır olup olmadığı konusunda rahatsız edici şüpheler taşıyor.
Accenture tarafından yakın zamanda yayınlanan bir raporda, bu büyüleyici çelişki merkezde yer alıyor ve dikkatimizi ve araştırmamızı gerektiriyor. CEO Siber Güvenliğinin önemini anlamak ile kuruluşlarının yaklaşan siber saldırı hayaletini savuşturma yeteneğinden korkmak arasındaki bu uyumsuzluğun kaynağı nedir?
Bu makalede, CEO’ların siber güvenliğin önemi hakkındaki inançlarını ve aynı zamanda bunun uygulanmasına ilişkin endişelerini yeniden yapılandırmaya çalışıyoruz; hassas bir dengeleme eyleminin iş dünyası için dayanıklı bir gelecek öngörme yeteneğinden yoksun olduğu şüphesizdir.
CEO’ların Bakış Açısı
Daha da derine indiğimizde, raporun yalnızca CEO’nun siber güvenlik konusundaki gelişen bakış açısını vurgulamakla kalmayıp, aynı zamanda iş esnekliğinin bu kritik yönüne yönelik daha proaktif, entegre ve yönetim kurulu düzeyinde bir yaklaşıma yönelik zorunlu ihtiyacın altını çizdiğini gördük.
Her şeyden önce, çalışma CEO’lar arasında siber güvenliğe yönelik ağırlıklı olarak reaktif bir duruşun altını çiziyor. CEO’ların yüzde 60’ı çarpıcı bir şekilde kuruluşlarının siber güvenliği en başından itibaren temel iş stratejilerine, hizmetlerine veya ürünlerine yerleştirmede başarısız olduğunu itiraf ediyor.
Rapora göre bu yaklaşım, işletmeleri daha yüksek saldırı risklerine maruz bırakıyor ve müdahale ve iyileştirme için sonradan ortaya çıkan maliyetleri artırıyor.
Ayrıca rapor, siber güvenliği sürekli dikkat yerine dönemsel müdahale gerektiren bir konu olarak gören 10 CEO’dan dördünün yanlış kanısını vurguluyor.
Bu tepkisel zihniyet, CEO’ların yarısından fazlasının (%54) siber güvenliği uygulamaya ilişkin harcamaların bir siber saldırıya dayanmanın maliyetini aştığı yönündeki hatalı inancıyla birleştiğinde ciddi sonuçlara yol açabilir.
“İşletme sahiplerinin çoğunluğunun, çalışan eğitiminden yazılım yatırımlarına kadar bir siber saldırı veya veri ihlali tehdidine karşı savunma yapmak için uygun adımları attığını görmek güven verici olsa da, bu bir kez ve bitmiş bir taahhüt değildir” dedi. Bradley Schaufenbuel, Paychex’te Başkan Yardımcısı ve Baş Bilgi Güvenliği Görevlisi.
Son yıllarda artan tehditlere karşı korumayı en üst düzeye çıkarmak için güvenlik protokollerini ve yöntemlerini yeniden değerlendirmenin ve ayarlamanın önemini vurguladı.
Rapor, küresel bir nakliye ve lojistik şirketinin ihlalinin iş hacminde %20’lik şaşırtıcı bir düşüşe yol açarak 300 milyon ABD dolarını aşan kayıplarla sonuçlanması gibi gerçek dünyadaki olayların dokunaklı bir hatırlatıcısı olarak hizmet ediyor.
Siber güvenliğin güven inşa etmedeki önemli rolünün açıkça kabul edilmesine rağmen rapor, uygulamada kritik bir boşluğa işaret ediyor. CEO’ların yalnızca %15’i siber güvenlik konularını tartışmak için özel yönetim kurulu toplantıları ayırıyor.
Bu kopukluk, çoğu CEO arasında siber güvenliğin doğrudan teknik işlevlerin, özellikle de CIO’nun veya baş bilgi güvenliği görevlisinin yetki alanına girdiği yönündeki yaygın inanışa bağlanabilir.
“Siber güvenlik, gözden kaçırılan veya göz ardı edilen, daha sonra ilgili maliyetler, riskler ve iş engelleri açısından on kat veya birden fazla kez geri dönen, ilk aşamada artık gözden kaçırılmadığı ve göz ardı edilmediği sürece, en önemli öğedir ve öyle olmaya devam edecektir. yer,” dedi Michael Oberlaender, sekiz işletme için bir CISO ve FIDO Alliance’ın yönetim kurulu üyesi.
Siber güvenliği, tasarımlarının temel yönünü, iş hedeflerini ve hatta “sola kaydırma” ve SecDevOps gibi eylemler, etkili kontroller, yeterli finansman ve önceliklendirme – başarıya ve büyümeye hazırız.
Siber güvenliği göz ardı etmeye devam eden şirketler, gelecekte yüksek maliyete katlanmanın yanı sıra, sonu gelmeyen bir ihlal seli ve kamu utancıyla (MGM, Target, Equifax veya diğerlerinde olduğu gibi) karşı karşıya kalacak.
CEO Siber Güvenliğinde Üretken Yapay Zekanın Yükselişi
Deep Instinct’in en son SecOps’un Sesi Raporu’nda, son bir yılda saldırılardaki küresel artışın şunlara atfedilebileceği ortaya çıktı: Tehdit aktörleri tarafından üretken yapay zekanın artan kullanımı.
CEO’ların yaklaşık %64’ü, siber suçluların, kimlik avı taktikleri, sosyal mühendislik taktikleri ve otomatik ihlaller gibi faaliyetleri kapsayan karmaşık ve kaçınma amaçlı siber saldırıları düzenlemek için üretken yapay zekadan yararlandığına ilişkin endişelerini dile getirdi.
Accenture Security’nin küresel lideri Paolo Dal Cin, hızlandırılmış üretken yapay zeka gelişimi karşısında proaktif güvenlik önlemlerinin öneminin arttığını söyledi. Raporda, kuruluşların genellikle yönetim kurulu ve yönetici düzeyinde siber güvenliğe ancak önemli bir siber olay yaşadıktan sonra öncelik verdiklerini belirtti.
Verileri, dijital varlıkları, mevzuat uyumluluğunu, iş bütünlüğünü ve müşteri güvenini korumak için Dal Cin, siber güvenlik riskini kurumsal risk yönetimi çerçevesine sorunsuz bir şekilde entegre etmenin önemini vurguladı.
Farkı Ortaya Çıkarmak: Siber Dirençli CEO’lar Siber Geride Kalanlara Karşı
Rapor, CEO’ların siber güvenliğe yaklaşımlarında ortaya çıkan ayrımı açıkça vurguluyor. Araştırma, proaktif önlemler alarak siber güvenlik konusunda başarılı olan bir grup “siber dirençli CEO”yu (yanıt verenlerin %5’i) tanımlıyor.
Bu kurumsal liderler, siber güvenliği iş planlarına entegre etmeye, ortak sorumluluğu teşvik etmeye, dijital altyapıyı korumaya, siber güvenliği kuruluşlarının duvarlarının ötesine genişletmeye ve sürekli dayanıklılığı desteklemeye yüksek öncelik veriyor.
Tam tersine, “siber geri kalmış CEO’lar” (%46) anlayışlı davranıyor ve bu önleyici tedbirlerin uygulanmasında tutarsız davranıyor. Siber dirençli CEO’lar proaktif bir duruş benimser ve bu da daha düşük ihlal maliyetleri ve daha yüksek finansal performans sağlar.
Boşluğu Kapatmak
CEO’ların siber güvenliğin önemini kabul etmesi ile uygulamaya ilişkin endişeleri arasındaki boşluğu kapatmak için firmaların kapsamlı bir strateji benimsemesi gerekiyor. Her şeyden önce kapsamlı bir siber güvenlik stratejisi oluşturulmalıdır.
Bu plan, siber güvenliği kuruluşun temel hedeflerine entegre etmeli ve onu iş hedefleri ve değerleriyle ilişkilendirmelidir. Bu yaklaşım, siber güvenliğin sonradan akla gelen bir düşünce değil, işin tüm yönlerine entegre edilmiş temel bir bileşen olmasını sağlar.
Bir diğer önemli konu ise çalışanların eğitimi ve farkındalığıdır. Kuruluşlar, işgücünün siber okuryazarlığını geliştirmek için sürekli eğitim girişimlerine yatırım yapmalıdır. Çoğunlukla savunmanın ilk hattını oluşturan çalışanların, olası tehditleri başarılı bir şekilde tanımak ve bunlara yanıt vermek için gerekli bilgi ve becerilerle donatılması gerekir.
Ayrıca, CEO’lar ile Bilgi Güvenliği Baş Yöneticileri (CISO’lar) arasındaki iletişimin teşvik edilmesi kritik öneme sahiptir. CEO’lar, siber güvenlik tehditlerini analiz etmek ve yönetmek için CISO’larla yakın işbirliği yapmalıdır.
İşbirliği teknik anlayışın ötesine geçmeli ve stratejik uyumu içermelidir. CEO’lar siber güvenliği hayati bir iş fonksiyonu olarak desteklemeli ve siber güvenliğin kuruluşun markasını ve tüketici güvenini korumadaki önemini vurgulamalı.
Sonuç olarak, CEO’ların siber güvenliğin gerekliliğini fark etmesi ile tereddüt etmesi arasındaki uçurum, hızlı aksiyon alınmasını gerektiriyor. Bu açığı kapatmak için işletmelerin birincil hedefleriyle eşleşen kapsamlı bir siber güvenlik planı uygulaması gerekiyor.
“Sınırsız bilginin olduğu bu çağda, dünyamız teknoloji ve dijitalleşme harikalarıyla dönüşerek hayatı her zamankinden daha kolay hale getirdi. Ancak bu inanılmaz dijital alanda bir zorluk yatıyor: güvenlik.
Göreviniz çok açık; bu dijital sınırın koruyucusu olun” diye vurguladı. Ravi ShankerBilgi Güvenliği Baş Sorumlusu (CISO), Hexagon Manufacturing Intelligence.
Bunun, devam eden öğrenme ve proaktif önlemlere dayanan ortak bir çaba olduğunu vurguladı. Bireyleri ve kuruluşları bilgelik ve en iyi uygulamalarla donatarak savunmayı kolektif olarak güçlendirebilir, güvenli ve gelecek vaat eden bir geleceği garanti altına alabiliriz.
Dolayısıyla personel eğitimine yatırım yapmak, CEO-CISO iletişimini geliştirmek ve siber güvenliği yönetim kurulu düzeyinde bir öncelik olarak yükseltmek kritik önlemlerdir. Siber Güvenlik Farkındalık Ayı, şirketlerinin hızla genişleyen dijital ekosistemde dayanıklılığını sağlamak için CEO’ların bu konuyu proaktif bir şekilde ele almalarının önemini vurguluyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Siber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.