Sharp Avrupa’da veri koruma ve bilgi güvenliği sorumlusu olarak çalışan Matt Riley, hemen hemen her BT güvenlik lideri gibi, iş arkadaşlarıyla siber güvenlik açısından ne yapıp ne yapamayacakları konusunda zorlu görüşmelerin içinde buluyor kendini.
“Benim yaklaşımım,” diyor, “cevabın asla ‘hayır’ olmamasıdır. Gerçekten önemli bir konu hakkında sürekli ‘hayır’ diyerek gönülleri ve zihinleri kazanamazsınız.” Riley, İngiltere hükümetinin araştırmalarına atıfta bulunarak, işletmelerin siber güvenliği ve BT güvenliğini yüksek bir öncelik olarak gördüğünü söylüyor. “Siber güvenlik konusundaki endişe düzeyinin arttığını biliyoruz. Ancak 10 yıl öncesine kıyasla, artık neden önemli olduğuna dair çok daha fazla farkındalık var.”
Ancak Riley, siber güvenlik profesyonellerinin karşı karşıya olduğu zorluklardan birinin siber güvenlikle ilgili bilgi düzeyinin nispeten düşük olması olduğunu söylüyor. İş karar vericileri siber güvenlik konusunda uzman değiller. “Sadece ‘hayır’ demek, engeller koyduğumuz anlamına geliyor,” diye ekliyor.
Riley, iş arkadaşlarıyla ilerletmek istedikleri girişimler veya projelerle ilgili siber risklerle ilgili zorlu konuşmaları yönetirken hikaye anlatıcılığını kullanıyor. Şöyle diyor: “Bu, riski konuştuğunuz kişiyle ilişkilendirilebilir kılmakla ilgilidir.”
BT güvenliğinin çok fazla teknik terminoloji kullandığı göz önüne alındığında, insanları ikna etmek, onlara riskleri anlayabilecekleri bir bağlamda değerlendirmeleri için bir yol sağlamak anlamına gelir. “Sharp’ın liderlik ekibiyle çok güzel bir örneğim var” diyor; iş dünyasındaki karar vericiler, yeni bir kablosuz ağ ekipmanı tedarikçisini işe alıp almama konusunda bilinçli bir karar verebildiler. “Gerçekten çok iyi bir teklifti” diyor. “Herkes bunun harika bir fikir olduğu konusunda çok heyecanlıydı. Bu yüzden şirketi incelemek için gerekli adımları attım. Verilerimizi nasıl koruyacaklarını anlamamız gerekiyordu.”
Riley, gerekli özeni gösterdikten sonra liderlik ekibiyle bir araya geldiğini ve söz konusu BT tedarikçisine sponsor olmak için yönetim kurulu düzeyinde kimin dahil olmak istediğini sorduğunu söylüyor. “Daha sonra birkaç uyarı olduğunu söyledim. [the wireless equipment supplier] “Bize hizmet seviyesi anlaşmaları sunmuyorlar; bize çalışma süresi sağlamıyorlar; ürünlerinin asgari güvenlik gereksinimlerimizi karşıladığına dair bize hiçbir güvence vermiyorlar.”
Riley, bu konuşmanın ardından kimsenin yönetici sponsor olmaya istekli olmadığını söylüyor. “‘Hayır’ demedim, ancak onları yine de bu sonuca vardıkları bilinçli bir karara yönlendirdim,” diye ekliyor.
BT güvenlik şefleri için endişe verici büyüyen alanlar arasında tedarik zinciri, potansiyel bir başarısızlık noktası ve siber güvenlik zayıflığı olarak yer alıyor. Riley, tedarik zinciri tehditlerinin önümüzdeki yıllarda katlanarak artacağını öngörüyor. Bu tür saldırılarla mücadele etmek, her zaman zor olan kültürel bir değişim gerektiriyor. Şöyle diyor: “Biz bir şirket olarak ve her şirket olarak tedarik zinciri üzerinde gerçek bir özen gösterme düzeyine sahip olmalıyız. Ancak risk temelli bir yaklaşım benimsememiz gerekiyor çünkü siyah ve beyaz bir dünyada yaşamıyoruz: neyin güvenli neyin güvenli olmadığı konusunda gri bir spektrumda yaşıyoruz.” Bu arka plana karşı, BT güvenlik liderlerinin işletmeyi korumaya yardımcı olmak için uygun kontrolleri uygulamaya koyduklarından emin olmaları gerektiğini söylüyor.