Çoğu insan modern işin temel işlevlerini bilir: insan kaynakları, satış, pazarlama, finans ve BT, işletmelerin sorunsuz bir şekilde çalışmasını ve çalışanların verimli çalışmasını sağlamada hayati rol oynar. Kurumsal liderler, dikkatlerini bu departmanların ihtiyaçlarına odaklamak ve onları finansal olarak desteklemek konusunda çok az sorun yaşarlar; bununla birlikte, modern iş dünyasının genellikle gözden kaçan ve yeterince kaynak sağlanamayan daha az bilinen ama eşit derecede önemli başka unsurları da vardır. Bunların arasında günümüzün iş gündeminin en önemli ve acil konularından biri de var: siber güvenlik.
Geleneksel zihniyetleri modernize etmek
Siber saldırıların risklerini, gerçekte oldukları gibi değil, bir “eğer” senaryosu olarak düşünmek kolaydır: Eninde sonunda her şirketi vuracak ve tüm işletmeleri kendilerine yönelik tehditlere karşı savunmasız hale getirecek bir gerçeklik. İlgili gerçek risklerin farkında olmayan liderlik ekipleri, sağlam bir iş stratejisi oluşturmak ve kendilerinin ve müşterilerinin verilerini korumak için gereken yatırımları anlamak için mücadele edecek.
Bu genel farkındalık ve hazırlık eksikliğine rağmen, siber saldırıların sık ve maliyetli olduğu gerçeği devam ediyor. En son Verizon Veri İhlali Soruşturma Raporuna göre, her saldırı ortalama olarak 1,2 milyon dolar hasara mal olabilir – ve en pahalısı 2011 Epsilon saldırısında gördüğümüz gibi milyarlarca dolara ulaşmakla birlikte bazıları daha da fazla.
İnternetin yaygın olarak kullanılmaya başlamasından bu yana geçen otuz yılda, bu saldırılar, kurumsal gündem açısından nispeten yeni olmalarına rağmen, düzenli bir olay haline geldi ve günümüzün yönetim kurullarında siber güvenliği ele almak için mevcut aciliyet eksikliğini açıklıyor.
Toplantı odasında bir çelişki
Dünya Ekonomik Forumu tarafından yayınlanan yakın tarihli bir içgörü raporu, bugün işletmelerin karşı karşıya olduğu en önemli riskler arasında ‘siber güvenlik başarısızlığı’ olarak adlandırılıyor, ancak şirketlerin siber güvenlikle başa çıkma biçimleri bir tür paradoks. Siber saldırılar, bulaşıcı hastalıklar, geçim krizleri ve aşırı hava olaylarının sunduğu tehlikelerin hemen arkasında yer alıyor ve yöneticiler tarafından önümüzdeki beş yıl içinde şirketleri üzerinde en büyük etkiye sahip ilk beş trendden biri olarak görülüyor.
Tehdidin açık önemine rağmen, dünyanın dört bir yanındaki şirketler, vahşi yırtıcılar için kolay av olmaya devam ediyor. Neden? Niye? Çoğunlukla yatırım eksikliği nedeniyle, ancak aynı zamanda çok sayıda liderin siber güvenliğin BT alanında çok fazla var olduğunu düşünmesi nedeniyle – üst düzey karar alma süreçlerinden uzak tutulması gereken oldukça teknik ve özel bir alan.
Ayrıca, teknoloji çözümlerine yatırım, öncelikle bu yatırımdan hızlı ve ölçülebilir bir getiri beklentisiyle yönlendirilir. Buradaki zorluk, genel olarak konuşursak, siber güvenliğin her zaman net bir yatırım getirisi sağlamamasıdır ve gerçekte kaçınılan saldırıları kıyaslayamazsınız. Bu nedenle, siber güvenlik genellikle eşleşecek yatırımla ilgili daha az stratejik bir endişeye indirgenir. En kötü durumlarda, bazı şirketler siber saldırıların potansiyel riskleri açık olmasına rağmen tehlikeleri kabul etmeyi reddediyor.
Meydan okumayla başa çıkmak
Sınırlı yatırımdan kasıtlı cehalete kadar yukarıdaki yaklaşımlardan hiçbiri siber suçlulara karşı koyamayacak. Bunun yerine şirketler, kendi iç güvenlik açıklarına lazer benzeri bir odaklanma sunarak, eldeki riskleri anlamalarını sağlamalı ve bu nedenle saldırılar başlamadan önce kendi kendini korumayı sağlayacak bir siber strateji geliştirip uygulamaya koymalıdır.
Bir ihlal gerçekleşene kadar beklemek, hem açığa çıkan veriler hem de pazar itibarı üzerindeki etki açısından maliyetli bir hasar sınırlaması uygulaması haline gelir – bir siber saldırıdan etkilenen şirketler ortalama olarak değerde %1,1 ve yıllık satış büyümesinde %3,2 düşüş yaşar.
Ve şirketlerin siber güvenlik hakkında konuşmaları gerekirken, bunun kaçınılmaz bir felaket olarak görülmesine gerek yok. Bunun yerine, günlük olarak değerlendirdiğimiz ve sigorta gibi planlarla proaktif olarak hazırladığımız diğer tüm olası afetler ve organizasyonel riskler bağlamında ele almamız gerekiyor.
Her düzeydeki liderlerin, en son saldırılar, riskler ve zayıf yönlerden haberdar olmalarını sağlamak için BT ve güvenlik ekipleriyle düzenli olarak bağlantı kurması gerekir ve önerilerini öncelikli olarak dikkate alır. İdeal bir dünyada, her yönetim kurulu, diğer yönetim kurulu üyeleriyle düzenli iletişim ve güncellemeler sağlayabilen, üst düzey erişime sahip bir bilgi güvenliği şefine sahip olacaktır. Bu, her zaman, şirketin kendisini güvende ve iyi hazırlanmış tutmaya gerekli zaman ve parayı daha fazla odaklayabilmesini sağlayacak ve bu da sonuçta kârlılık açısından karşılığını verecektir.
Sürekli uyanıklık anahtardır
İş liderlerinin bu risklerin önemini hafife almamaları çok önemlidir. Kimlik avından veri hırsızlığına ve fidye yazılımına kadar yeni tehditler ortaya çıkmaya devam ettikçe, doğru yaklaşımı benimsemek size karşı saldırı için en iyi şansı verecektir. Siber güvenliği kurumsal gündemin merkezine koymak, saldırılar daha karmaşık ve sofistike hale geldikçe kendi savunmanızı keskin ve sürekli gelişen tutmak için gerekli çevikliğe ve kaynaklara sahip olmanızı sağlayacaktır.
Riski en aza indirmeye yönelik proaktif stratejiler söz konusu olduğunda, Dünya Ekonomik Forumu, siber dayanıklılığın yönetim kurulu tarafından denetlenmesini sağlamak için altı ilkeyi özetlemektedir:
- Stratejik bir iş etkinleştirici olarak siber güvenliği teşvik edin: İyi siber güvenlik karar alma süreçlerine liderlik yatırımı ile bir siber güvenlik kültürü besleyin.
- Altta yatan ekonomik itici güçleri ve etkileri anlayın: Mevzuat gereklilikleri de dahil olmak üzere diğer iş öncelikleri ve hedefleri ile ilgili potansiyel kazançları/kayıpları göz önünde bulundurun.
- Siber risk yönetimini iş ihtiyaçlarıyla uyumlu hale getirin: iş gereksinimleriyle uyumlu bir güvenlik profili oluşturun ve karar almanın her alanında risk toleranslarını tanımlayın.
- Siber güvenlik uzmanlığını yönetim kurulu yönetimine dahil edin: Stratejik siber güvenlik kararlarına rehberlik etmek için uzmanlık sağlayabilecek iç paydaşlarla ilişkileri teşvik edin.
- Sistemik dayanıklılığı ve işbirliğini teşvik edin: genel dayanıklılığı sağlamak için endüstri işbirliğini teşvik edin ve kamu ve özel paydaşlarla etkileşim kurun.
- Kurumsal tasarımın siber güvenlik hedeflerini desteklediğinden emin olun: kritik risk yönetimi için tüm dahili paydaşlar arasında net sahiplik, yetki ve KPI’lar tanımlayın.
Bunların hiçbiri, normalde teknoloji kömürüne maruz kalmayan liderlerin bir gecede BT uzmanlarına dönüşmesi gerektiği anlamına gelmez. Bunun yerine, en iyi stratejiyi tasarlamak için gereken temel becerilere sahip şirket içindeki teknoloji uzmanlarına güvenmeliyiz. Proaktif bir duruş sergilendiğinde, siber saldırılara karşı korunmak ve riskleri en aza indirmek için harcanan paranın maliyetli ve zahmetli bir ek yük olmaktan ziyade gelecek için değerli ve gerekli bir yatırım olduğu kısa sürede anlaşılır.
Sonuç olarak, siber güvenliği rekabet avantajını artırmanın ve ticari çıkarları korumanın bir yolu olarak gören şirketler, daha iyi iş sonuçları elde etmek için en iyi konumda olacaklardır.
