Bu tür kararların bir şirketin savunmasının maliyetli dijital saldırılardan kaçınmak için yeterince sertleşip sertleşmediğini belirleyeceği göz önüne alındığında, finans şeflerinin siber güvenlik önlemlerini sıkı tutmaları mantıklı görünüyor.
Ancak, danışmanlık firması RSM US’nin yakın tarihli bir raporunda orta ölçekli piyasa yöneticileriyle yapılan bir anketin bulgularına göre, çoğu durumda şirketin dijital operasyonlarını güvende tutmak için para tahsis etme konusunda kararları verenler teknoloji yöneticileri oluyor.
İlk çeyrekte gerçekleştirilen anket, siber güvenlik bütçelerinin yarısının baş teknoloji sorumlusunun elinde “bulunduğunu”, %42’sinin ise baş bilgi güvenliği sorumlusunun elinde olduğunu ortaya çıkardı. CFO’ların yalnızca yüzde 34’ü ve CEO’ların yüzde 32’si siber bütçe anahtarlarını elinde tutuyor.
Siber saldırıların ve siber güvenliğin mali açıdan olumsuz etkileri olabileceği göz önüne alındığında bu dikkate değer. KPMG’nin yakın tarihli bir anketine göre, büyük şirketlerin ortalama yıllık güvenlik merkezi operasyon bütçesi yaklaşık 14,6 milyon dolar seviyesinde bulunuyor. Bu arada, ulus devlet destekli ortalama siber saldırının maliyeti olay başına tahmini olarak 1,6 milyon dolardır.
Teknik olarak konuşursak, tüm bütçeler finans şeflerinin kontrolündedir, ancak RSM’nin güvenlik ve gizlilik ulusal lideri Tauseef Ghazi’ye göre, kimin daha fazla kontrole sahip olduğu konusunda şirketler arasında büyük farklılıklar var. Pek çok şirkette bütçeleme yapısının gözden geçirilmeyi hak ettiğini söyledi.
Ghazi, sorulara bir e-posta yanıtında, “CFO’nun genel bütçeyi kontrol ettiğini ancak ihtiyaçların belirlenmesine yardımcı olmak için BT veya güvenlik yöneticilerine güvendiğini düşünüyorum” dedi.
“Birçok durumda, CFO’lar kendilerini aynı zamanda genel maliyet kontrolü liderleri olarak görüyorlar; bu da, kuruluşun ihtiyaçları ve riskleri doğru şekilde açıklanmadığı takdirde daha düşük bütçeler için baskı yaratabilir… CFO’ların bu riskleri ve operasyonel bütçeleri anlaması zorunludur. Tüm bütçeler eninde sonunda onlara aktarılacağı için çok ayrıntılı bir şekilde anlatacağım” dedi.
Ghazi bir röportajında, siber güvenlik bütçesinin tahsis edileceği yerin artıları ve eksileri olduğunu söyledi ve firmasının, firma içinde olup bitenlere bağlı olarak bazı şirketlere bütçeyi diğer departmanlara kaydırma konusunda koçluk yaptığını belirtti.
Ancak CFO’ların mülkiyeti alarak kazanabilecekleri bazı avantajlar olduğunu söyledi.
Ghazi bir röportajda şunları söyledi: “Profesyonel açıdan bakıldığında, bunu 25 yıldır yapıyorum ve CFO organizasyonu aracılığıyla bütçelerin tahsis edildiğini gördüğümde genellikle siber güvenlik stratejisi, iş sonucunu yönlendiren kurumsal stratejiyle daha uyumlu hale geliyor.” . Buna karşılık, teknoloji yöneticileri daha fazla kontrole sahip olduğunda, bunun kuruluşun stratejisiyle uyum sağlayacak şekilde tasarlanmadığı hissedilebilir. “Daha çok araç odaklı.”
Benzer şekilde, siber maliyetlerin CFO’nun ana görev alanının dışında olmasının dezavantajlarından birinin de, bunların belirli kararların sonuçlarından uzak olabilmesi olduğunu söyledi.
Örneğin, şirketin koruyucu olarak görülen belirli bulut tabanlı ürünleri satın alması durumunda neden daha fazla siber güvenlik harcamasına ihtiyaç duyulduğunu sorgulayabilirler. Ancak şirketin hangi abonelikleri veya bulut hizmeti türlerini satın aldığına bağlı olarak, yine de daha fazla korumaya ihtiyaç duyabileceklerini söyledi.
Ghazi, teknoloji liderlerinin siber bütçeyi denetlemesinin bir diğer dezavantajının, siber güvenlik harcamalarının genellikle diğer teknoloji ve dijital dönüşüm projelerini finanse etmek için feda edilmesi ve şirketlerin bu projeleri tamamlarken büyük risklere açık kalması olduğunu söyledi.
Ghazi bir e-postada şunları söyledi: “Siber ekiplerin, fidye yazılımı gibi ilerleyen tehditlere karşı dayanıklı olabilecek bütünsel bir siber güvenlik programı oluşturmak yerine uyumluluk yükümlülüklerini yerine getirmek için asgari düzeyde çaba gösterdiği örnekler bulduk.” “Böylece mantıklı [cybersecurity] BT bütçelerinden ayrı çalışma çevikliğine sahip olmak ve [have] CFO’nun doğrudan görüş hattı. BT operasyonları ve Güvenlik sıklıkla çatışabilir.”