Siber güvenlik bütçeleri artmaya devam ediyor ancak birçok güvenlik lideri hâlâ bu harcamaların işletmeye neler kazandırdığını açıklamakta zorlanıyor. Expel tarafından yapılan yeni bir çalışma, büyük işletmelerdeki güvenlik ve finans yöneticileri arasında yapılan bir anket aracılığıyla bu kopukluğu inceliyor. Araştırma, iki grubun riske, yatırım kararlarına ve çalışma ilişkilerine nasıl baktığını inceliyor.
Paylaşılan öncelikler, dengesiz güven
Güvenlik liderleri önceliklerinin iş hedefleriyle uyumlu olduğuna inanıyor. Çoğu kişi siber güvenliğin şirket hedeflerini desteklediğini ve kurumsal stratejide rol oynadığını söylüyor. Finans liderleri genel olarak siber güvenliğin önemli olduğu konusunda hemfikir ve bunu genellikle arka plandaki teknik bir işlevden ziyade iş planlamasının bir parçası olarak görüyor.
Finans uygulamayı değerlendirdiğinde güven düşer. Finans yöneticileri, güvenlik ekiplerinin iş etkilerini açıklama, yatırımları riske göre önceliklendirme ve girişimleri şirket stratejisiyle ilişkilendirme becerilerine güvenin dengesiz olduğunu bildiriyor. Bu endişeler bütçelerin nasıl incelenip onaylanacağını etkiler.
Siber güvenlik yöneticileri bu tereddütün farkındadır. Birçoğu, mevcut siber güvenlik yatırımlarının iş risklerine maruz kalmayla yakından uyumlu olduğuna dair güvenlerinin olmadığını söylüyor. Stratejik anlaşma mevcut ancak sonuçlara duyulan güven kırılgan olmaya devam ediyor.
Risk, farklı ekipler için farklı anlamlara gelir
Güvenlik uygulayıcıları, kabul edilemez riski uyumluluk başarısızlıkları, müşteri güveninin kaybı veya itibarın zarar görmesi yoluyla tanımlama eğilimindedir. Finansal kayıp, yanıtlarında daha az ağırlık taşıyor.
Finans ekipleri, finansal modelleme ve iş sürekliliği yoluyla riski çerçeveler. Yatırım kararları, kaçınılan zarara, tasarruf edilen zamana ve kesintilerin azaltılmasına odaklanır. Uyumluluk metrikleri ve iç güvenlik raporları bu değerlendirmelerde daha az etkiye sahiptir.
Bu farklı tanımlar konuşmaları şekillendirir. Güvenlik ekipleri kontroller, olgunluk ve tehdit azaltma açısından konuşuyor. Finans ekipleri öngörülen finansal etkiyi ve operasyonel sonuçları arar. Her iki taraf da farklı referans noktaları kullansalar bile iyi iletişim kurduklarına inanıyor.
Raporlama boşlukları kararları yavaşlatıyor
Güvenlik ekipleri sıklıkla olaylara, kontrol maliyetlerine ve programın olgunluğuna bağlı ölçümleri rapor eder. Finans liderleri, bu girdilerin yatırım kararlarını nadiren kendi başlarına desteklediğini söylüyor. Siber güvenlik harcamalarını kurumsal hedeflere, operasyonel istikrara ve ölçülebilir tasarruflara bağlayan raporlama istiyorlar.
Bu boşluk onayları yavaşlatıyor. Finans paydaşları, getiri konusundaki belirsizliği, performansa ilişkin sınırlı görünürlüğü ve yüksek ön maliyetleri yinelenen endişeler olarak belirtiyor. Güvenlikle ilgili karar vericiler, aciliyet ve riskin finansmanın anlamlı bulduğu terimlerle iletilmesindeki zorluğu tanımlıyor.
Sonuç, güvenlik ekiplerinin yeterli finansmana sahip olmadığı ve finans ekiplerinin ikna olmadığı bir döngüdür.
Expel Güvenlik Müdürü Greg Notch, “Siber güvenliğin iş diliyle konuşmayı öğrenmesi gerekiyor. Ve finans, toplantı odasının ortak dilidir. Herkesin finansın kullandığı terimlerle konuşmayı öğrenmesi gerekiyor; bu da kârlılığa etki, iş kesintisi riski vb.” dedi Expel Güvenlik Müdürü Greg Notch.
İşbirliği gerçekleşir, hizalama gecikir
Her iki grup da çalışma ilişkilerini olumlu terimlerle tanımlıyor. Birçoğu, siber güvenlik konularında erkenden ve sıklıkla işbirliği yaptıklarını söylüyor. Ancak düzenli toplantılar ortak anlayışı garanti etmez.
İşbirliği genellikle yönetici düzeyinde kalır. CISO’lar ve CFO’lar arasındaki doğrudan etkileşim daha az sıklıkla gerçekleşir. Yönetici düzeyinde etkileşimin daha fazla olduğu kuruluşlar, öncelikler konusunda daha güçlü bir uyumun olduğunu ve siber güvenliğin iş değerine daha fazla güven duyulduğunu bildiriyor.
Stratejik tartışmaların daha az sıklıkta yapılması, risk toleransı ve bütçe beklentileri konusunda daha zayıf bir anlaşmaya varılmasıyla ilişkilidir. Zamanlama ve kıdem, bilginin kararlara nasıl dönüştüğünü etkiler.
Bütçeler açık sorularla artıyor
Hem güvenlik hem de finans liderleri, siber güvenlik bütçelerinin gelecek yıl artmasını bekliyor. Güvenlik liderleri daha büyük kazanımlar beklerken, finans liderleri daha mütevazı bir büyüme bekliyor.
Nihai yatırım kararlarına ilişkin sorumluluk değişiklik gösterir. Finans katılımcıları karar sahipleri olarak güvenlik liderlerini, finans ekiplerini, BT’yi ve yönetici liderliğini gösteriyor. Bu tutarlılık eksikliği hesap verebilirliği zorlaştırır ve fikir birliğini yavaşlatır.
Finans yöneticileri, daha güçlü iş senaryolarının, gelişmiş raporlamanın ve siber güvenlik riski konusunda eğitimin daha büyük yatırımları haklı çıkarmaya yardımcı olacağını söylüyor. Ayrıca teknik riskin finansal terimlere dönüştürülmesine ve sonuçlara ilişkin sorumluluğun paylaşılmasına da işaret ediyorlar.
Notch sözlerini şöyle tamamladı: “Siber güvenlik ekipleri, işletme için önemli olan KPI’ları ve operasyonlarının bu KPI’lara nasıl yükseldiğini anlamak zorundadır. Önemli olan, siber güvenlik ekiplerinin, etkilerinin bu KPI’lara nasıl katkıda bulunduğunu işin dilinde – ki bu da tamamen dolar ve sentlerle ilgili – iletişim kurabilmeleriyle ilgilidir.”