ESG (Çevresel, Sosyal ve Yönetişim) politikalarının ağırlıklı olarak iklim değişikliği ve şirketin sosyal sorumluluklarıyla ilgili olduğu düşünülüyor. Yalnızca işletmeyi değil aynı zamanda iş ortakları ve müşterilerden oluşan ekosistemi ve daha geniş anlamda dünyayı korumak için etik uygulamalar belirlerler. Bu bakımdan şirket içindeki diğer risk yönetimi uygulamalarıyla pek çok ortak noktası vardır; zira taraflara yönelik risklerin azaltılmasını ve bunun nasıl başarıldığının iletişimini amaçlamaktadır.
Riski yönetmenin anahtarı siber güvenliktir; artık pek çok kişi bunun ESG’ye dahil edilmesini istiyor ve bunun nedenini anlamak kolay. Geçtiğimiz birkaç yıldaki olaylar, kötü amaçlı yazılımların (örneğin RaaS (Hizmet Olarak Fidye Yazılımı) aracılığıyla) ticarileştirilmesi nedeniyle saldırılardaki artıştan, tedarik zincirinin savunmasızlığına kadar, dirençli bir ekonomi yaratmada siber güvenliğin önemine dikkat çekti. ulus-devlet aktörlerinden kaynaklanan risklerin arttığı küresel ilişkilerdeki değişkenlik. Hepsi de iş dünyasının ve toplumun genelinin kırılganlığına ilişkin farkındalığı artırdı.
İnsanlar, iş verilerinin korunmasına geldiğinde işletmenin sorumluluklarını ciddiye aldığını ve siber sigortayı bir güvenlik ağı olarak kullanarak yalnızca veri koruma düzenlemelerine sözde bağlılık göstermediğini bilmek istiyor. Yatırımcılar da artık ilgili risk düzeyini belirlemek için siber güvenlik duruş analizine bakıyor. Eylül 2022’de Lombard Odier yatırım yöneticileri, portföy fonlarındaki siber güvenlik risklerinin şok edici olduğunu, bunun da şirketin ESG süreçlerini çok daha geniş çapta uygulamasına ve bu şirketlerden siber hijyenlerini iyileştirmelerini, yani sistemlerine düzenli olarak yama uygulamalarını ve sektördeki en iyi uygulamaları takip etmelerini talep etmelerine yol açtığını söyledi.
Siber hijyen
Bu tür bir içgörü kazanmak, işletmenin güvenlik duruşuna ve olgunluğunu geliştirmek için ne yapılması gerektiğine dair bir anlayış geliştirerek elde edilebilir. Ağı tehditlere karşı ne kadar etkili bir şekilde izliyor? Bu tehditler nasıl değerlendiriliyor ve önceliklendiriliyor? Otomatik olarak düzeltebilecek olay müdahale süreçleri var mı? Bu soruların yanıtları, işletmenin bir saldırının etkisini ne kadar hızlı azaltabildiğini, toparlanabildiğini ve işleri her zamanki gibi (BAU) devam ettirebildiğini ortaya çıkaracaktır. Ancak sigortacılara ve yatırımcılara ihtiyaç duydukları bilgileri çok fazla bilgi ifşa etmeden veren uygun düzeyde şeffaflığı nasıl sağlarsınız?
Cevap, siber güvenlik çerçevelerinin ESG çerçevesine entegre edilmesinde yatmaktadır. ISO 27001 veya Cyber Essentials gibi temel güvenlik standartlarının unsurları, risk, yönetişim ve hesap verebilirlik konusunda kapsamlı bir anlayış sağlamak için ESG raporlamasına kolayca dahil edilebilir. Her ikisi de, daha sonra dijital alanların ötesine geçen siber ve fiziksel riskleri ele alan ve işletmenin ve içinde faaliyet gösterdiği ortamın birbirine bağlı doğasını yansıtan bir işletme risk profili oluşturmak için kullanılabilir. Ne kadar bilginin paylaşılacağı da işletmenin takdirindedir ve bu, hangi ek bilgilerin ifşa edilmesinin şirket yararına olacağını belirlemek için tartışılabilir.
Ancak bir veri ihlalinin getirdiği maliyetler yalnızca finansal değildir ve birçok yatırımcı için kuruluşun veri sahiplerine karşı sosyal sorumlulukları da son derece önemlidir. Bazı etik yatırımcılar yalnızca ESG’nin sosyal yönünü desteklemeye çalıştıklarını kanıtlayabilenleri destekleyecek ve aynı zamanda bunu, Birleşmiş Milletler Sürdürülebilir Kalkınma tarafından belirlenenler gibi onurlu hedefleri gözeten satıcıları seçerek kendi kaynaklara yatırımlarını yönlendirmek için kullanıyorlar. Hedefler (SDG’ler).
Sürdürülebilir Kalkınma Hedefleri yoksulluğu, eşitsizliği, iklim değişikliğini, çevresel bozulmayı, barışı ve adaleti evrensel ölçekte ele almayı amaçlamaktadır ve aynı zamanda siber güvenlik için de geçerlidir. Örneğin, Sürdürülebilir Kalkınma Hedefi 9, kritik ulusal altyapıyı saldırılara karşı koruma dürtüsünü yansıtan dayanıklı bir altyapı inşa etme ihtiyacını ifade ederken, Sürdürülebilir Kalkınma Hedefi 16, kamunun bilgiye erişimi olan, etkili, hesap verebilir ve kapsayıcı kurumlar oluşturma ihtiyacını ifade ediyor. Veri sahiplerine kendi verileri üzerinde kontrol vermeleri, ancak bu verileri işletmenin gözetimindeyken korumaları gerekiyor.
Gözetimin önemi
Ancak duyduğumuza göre pek çok yatırımcı, ESG’de siber konusunda doğru bir değerlendirme yapmak için ihtiyaç duyduğu bilgiye ulaşmakta sıkıntı yaşıyor, bunun nedeni de denetim eksikliği ve siber hijyenin zayıf olması. Bazılarının bir CISO’su veya CSO’su olmayabilir ve olmayanlar da CEO’ya rapor verebilir, bu da siber güvenliğin izole edilmesine yol açabilir. Kolektif karar alma süreciyle iyi bir ilişkinin ve düzenli raporlamanın olduğu durumlarda bile CISO, bilgi alanında her gün olup bitenler hakkında görünürlüğe sahip değilse tam olarak bilgilendirilemeyebilir.
Siber güvenlik yığınını azaltarak siber güvenlik işlevini merkezileştirmek burada önemli ölçüde yardımcı olabilir. Olay verilerinin, Kullanıcı Davranışı ve Varlık Analizi (UEBA) aracılığıyla tehditlerin değerlendirildiği ve bağlamın eklendiği birleşik bir Güvenlik ve Olay ve Olay Yönetimi’nde (SIEM) toplanması ve Güvenlik Düzenleme Otomasyonu ve Yanıtı (SOAR) tarafından otomatik araştırma ve yanıt verilmesi, işlemenin aynı şekilde gerçekleşmesini sağlar platformu. Bu yalnızca sorunlarla başa çıkmayı kolaylaştırmakla kalmaz, aynı zamanda raporlamayı da kolaylaştırır ve CISO’ya güvenlik durumunu değerlendirebileceği tek bir pencere sunar. Siber ortam ESG çabalarıyla daha fazla iç içe geçtikçe bu bilgilere ulaşabilmek hayati önem taşıyacak.
Günümüzde ESG derecelendirme kuruluşları, ağırlıkları sektöre göre değişen (örneğin perakende ve telekomünikasyon sektöründe daha yüksek) ESG puanlarında siber dayanıklılığı sıklıkla hesaba katıyor. Bu kurumlar ne kadar fazla bilgiye erişebilirse, değerlendirme o kadar bilgili olacak ve sigortacılar ve yatırımcılar gibi ilgili taraflara o kadar fazla güvence verecektir. Ancak bir ihlalin etkisini de göz önünde bulundurun. Kamuya açıklanan bu bilgiler, işletmenin ESG puanını düşürme gücüne sahip olabilir ancak buna karşı çıkabilecek şey, ihlalin nasıl ele alındığına ilişkin bilgilerdir. Ne kadar etkili bir şekilde tespit edildi ve kontrol altına alındı? Olaya verilen tepki hızlı bir şekilde tepki verdi mi? Yetkililer ve veri sahipleri hızlı bir şekilde bilgilendirildi mi? Ve aynı derecede önemlisi, işletme, riski azaltmak ve Ortalama Tespit Süresi ile Ortalama Yanıt Süresini (MMTD/MTTR) azaltmak için ihlal sonrasındaki uygulamaları nasıl ayarladı?
Açık olan şey, konu ESG olduğunda siber güvenliğin artık bir istisna olmadığıdır. İnisiyatifi ele geçirebilen, operasyonlarını ve raporlamalarını kolaylaştırabilen ve bunu verilerin nasıl işlendiği, korunduğu ve savunulduğu konusunda daha fazla şeffaflık yaratmak için kullanabilenler, sigorta primleri arttıkça, yatırımcılar daha fazla bilgi talep ettikçe kaçınılmaz olarak kazançlı çıkacaklar. insanların daha fazla sorumluluk sahibi olması.
