Siber güvenlik, bugünün birbirine bağlı dünyası sayesinde artık teknik bir düşünce değil. Bu bir yönetim kurulu zorunluluğu. Çevrimiçi tehditler daha sofistike hale geldikçe ve ihlaller daha pahalıya maruz kaldıkça, işletmeler dijital güvenliğin kurumsal yönetişim haline getirilmesi gerektiğini fark ediyor. Ancak, siber güvenliğin yönetim kurulu düzeyinde bir öncelik olması ne anlama geliyor ve birçok şirket neden hala gecikiyor?
Siber güvenlik uzmanı Serhii Mikhalap, cevabın zihniyette olduğuna inanıyor. Mikhalap, önde gelen ulusal siber savunma operasyonları ve siber güvenlik girişiminin bir araya gelmesi de dahil olmak üzere dokuz yılı aşkın cephe deneyimine sahip olan Mikhalap, siber güvenliğin stratejik bir sütun yerine bir onay kutusu egzersizi olarak ele alınmasının sonuçlarına ilk elden tanık oldu.
Kritik yanıtta kurulan bir kariyer
Mikhalap kariyerine 2016 yılında Ukrayna Ulusal Güvenlik Operasyon Merkezi’nde (SOC) analist olarak başladı. Hükümet ve özel altyapıya karşı gelişmiş kalıcı tehditlere (APT’ler) yanıt vermekle görevli, tehdit aktörlerinin nasıl davrandığına dair nüanslı bir anlayış geliştirdi.
Mikhalap, “Sadece kötü amaçlı yazılımları tanımlamıyorduk,” diye hatırlıyor Mikhalap. “Arkasındaki güdüleri izliyorduk, rakiplerin uzun vadeli hedeflerini ve tedarik zincirlerine nasıl sızdıklarını haritalıyorduk.”
2020 yılına gelindiğinde, başlangıçta bir olay müdahalesi olarak çalışarak ve daha sonra küresel bir siber güvenlik sağlayıcısında önde gelen SOC ekiplerine geçerek ticari sektöre geçti. Çalışmaları, otomasyonu entegre etmek, oyun kitabı triyajı ve 7/24 izlemeyi entegre etmek için iki SoCs inşa etmekti. Müşteriler, sıkı bir düzenleyici inceleme altında fintech ve ödeme teknolojisi şirketlerini içeriyordu.
2024’te Mikhalap, kripto, bankacılık ve işlemsel teknolojide yeni başlayanlara ve KOBİ’lere hizmet veren bir güvenlik başlatma şirketi kurdu. Ekibi penetrasyon testi, DFIR (dijital adli tıp ve olay yanıtı), risk değerlendirmeleri ve güvenlik denetimleri sağlar.
“Siber güvenlik sadece önleme ile ilgili değil. Yanıt, iyileşme ve güvenle ilgili. Ve bu güven liderlikle başlıyor” diyor.
Mükemmelliği tanımak
Mikhalap’ın etkisi fark edilmedi. 2022’de, siber güvenlik alanındaki olağanüstü profesyonelliği için Ukrayna’nın ulusal “Znak Yakosti” (kalite belirtisi) ödülüne layık görüldü. Ödül komitesi, olay müdahalesi, stratejik savunma planlaması, kullanıcı eğitimi ve dijital adli tıp konusundaki çalışmalarını vurguladı.
2023’te, etik iş uygulamalarına, sorumluluğuna ve kaliteye olan bağlılığını onurlandıran Ulusal “Yüksek İtibar Ödülü” nin ödüllü seçildi. Bu tanımalar, teknik titizliği bütünlükle harmanlayan bir lider olarak güvenilirliğini vurgulamaktadır.
Kurul neden siber risk sahibi olmalı
Mikhalap’a göre, siber güvenliği yönetim kurulu gündemine yerleştirmek isteğe bağlı değildir; Bu çok önemli. “Kurullar stratejik riski denetliyor. Ve 2025’te siber risk stratejik risktir” diyor.
Yine de birçok kurul, güvenliği iş hedefleriyle uyumlu hale getirin, teknik güvenlik açıklarını anlama uzmanlığından yoksundur. Bu tehlikeli bir boşluk yaratır.
“En üstte siber okuryazarlığın olmaması, yanlış monte edilmiş bütçelere, hazırlanmış yanıt planlarına ve satıcılara karşı aşırı güvene yol açıyor” diye uyarıyor. “Siber güvenliğin finans veya yasal gibi ele alınması gerekiyor, kendi metriklerine, diline ve hesap verebilirliğine sahip bir alan.”
CISOS veya harici uzmanlardan düzenli yönetim kurulu düzeyinde brifingleri savunuyor:
- Uyumluluk yükümlülükleri
- Olay Yanıtına Hazırlık
- Esneklik için yatırım öncelikleri
- Mevcut tehdit manzarası ve trendleri
- İş açısından kritik varlıklar ve bunların maruz kalması
Mikhalap, siber güvenliği iş sürekliliği ve itibar riski açısından çerçeveleyerek kurulların değerini daha iyi anlayabileceğine inanıyor.
Eylemsizlik maliyeti
Mikhalap’ın çalışmasında tekrar eden bir tema gizli eylemsizlik maliyetidir. “Bir ihlal sadece paraya mal değil. Güven aşıyor. İhmali ortaya çıkarıyor. Bir halka arz veya birleşme ve satın alma anlaşması raydan çıkabilir.”
Düzenlenmiş endüstrilerde, sonuçlar daha da şiddetlidir. Para cezaları, davalar ve düzenleyici yasaklar masanın üzerinde. “Ancak daha büyük sorun rekabetçi dezavantajdır. Eğer rakipleriniz esnekliğe yatırım yapıyorsa ve değilseniz, hasar bittikten sonra yakalama oynuyorsunuz.”
Ortak bir sorumluluk kültürü oluşturmak
Mikhalap, yönetim kurulu katılımının kültürel değişimle el ele gitmesi gerektiğini vurgulamaktadır. Güvenlik tek başına başarılı olamaz.
“Siber güvenliğin sorun olduğu efsanesini yıkmalıyız. Bu herkesin sorumluluğu. İK’dan finansmana kadar ürün ekiplerine kadar, her fonksiyonun siber riskin yönetilmesindeki rolünü anlaması gerekiyor.”
Bunu desteklemek için şirketi, güvenlik uygulamalarını iş rolleriyle hizalayan özel eğitim modülleri sunuyor. Ayrıca, işletmelerin baskı altında yönetici karar almayı test etmek için saldırıları simüle etmelerine yardımcı olurlar.
“Liderler simüle edilmiş bir ihlal senaryosundan geçtiklerinde, riskleri anlıyorlar. Bunun sadece güvenlik duvarlarıyla ilgili olmadığını fark ediyorlar. Bu itibar hasarı, yasal maruziyet ve iş hayatta kalmasıyla ilgili.”
Hangi ilerici tahtalar doğru yapıyor
Mikhalap, ileri görüşlü panoların kucakladığı birkaç uygulamayı vurgular:
- Kurumsal risk yönetiminin (ERM) bir parçası olarak siber risk: Güvenliği daha geniş risk panolarına entegre etmek.
- Kurul eğitimi: Yeni üyeler için barındırma atölyeleri veya yerleşik oturumlar.
- Bağımsız Değerlendirmeler: Olgunluk incelemeleri yapmak için üçüncü taraf uzmanları işe almak.
- Senaryo Planlaması: Yönetici ekipler ve yönetmenler için masa üstü egzersizleri yapmak.
- Bütçe Uyum: Güvenlik yatırımlarının şirketin dijital ayak izi ve tehdit maruziyetiyle eşleşmesini sağlamak.
Kurulların siber güvenlik uzmanları olmasına gerek olmadığını belirtiyor. Ancak doğru soruları sormalı ve net, eyleme geçirilebilir cevaplar beklemelidirler.
Yarının tehditlerini öngörmek
2025 ve ötesine bakan Mikhalap, şirketlerin siber stratejiyi uzun vadeli planlamaya dahil etmeleri için artan aciliyet görüyor. Fidye yazılımı, AI odaklı saldırılar ve tedarik zinciri ihlalleri ölçek ve karmaşıklıkta arttıkça, yönetim kurulu önceliklerinin buna göre gelişmesi gerektiğini savunuyor.
“Siber güvenlik artık ağ çevresini savunmakla ilgili değil. Bu, işletme boyunca dijital riski yönetmekle ilgili. Bu esneklik ile ilgili. Ve gerçekten tehlikede olanı anlayan liderlikle başlıyor.”
Sonuçta
Serhii Mikhalap için, siber güvenliğin toplantı odasına ait olması basittir. Sadece bir kriz sırasında değil, rutin gözetimin bir parçası olarak.
“Siber’ı yönetim kurulu düzeyinde tartışmıyorsanız, kuruluşunuzu savunmasız, teknik ve itibaren bırakıyorsunuz” diyor. “Siber güvenlik artık bir iş sağlayıcı. Bunu sağlayan panolar güvenle yol açacak. Geride kalmayacak olanlar.”