Bir yönetim kurulu üyesiyseniz, finansal okuryazarlığın sağlıklı bir bilançoyu yönetmesi beklenir, bu nedenle siber güvenlik ve siber okuryazarlık da aynı derecede önemli olmalı?
Çoğu kuruluş için siber güvenlik, risk yönetiminin merkezi bir bileşeni olarak kabul edilmiştir. Risk yönetimi, yönetim kurullarının çıkarınadır ve bir kuruluştaki herkesin çıkarına veya yararınadır. Gartner tarafından yakın zamanda yayınlanan bir raporda, 2025 yılına kadar kurulların %40’ının bir siber güvenlik komitesini denetleyen özel bir yönetim kurulu üyesine sahip olmayı hedeflediği belirtildi. Ancak, bir kuruluşun üst düzey üyeleri için siber güvenlik sorumluluklarının risklerini etkili bir şekilde devretmenin kabul edilemez olduğuna inanıyorum. İnsanların sorumluluk alması gerektiğini söylerken, sağlıklı şirketler yaratmak için yönetim kurulu üyelerini ve şirketleri destekleyen doğru olan konusunda eğitim ve rehberliğe hala ihtiyaç vardır.
Rehberliğe ihtiyaç duyulmasının nedeni, salgın mirasının yeni çalışma yöntemlerini içermesidir – evden çalışma, tedarik zincirlerini yönetme veya uzaktan iş operasyonları, artan bir etkiyle karşı karşıyadır. Yalnızca bu yıl, işletmelerin %23’ü kesintide bir artış kaydetti. ISACA’nın (23 Eylül 2021) bir raporuna göre, 2021’deki siber saldırı türleri arasında sosyal mühendislik (%14), gelişmiş kalıcı tehditler (%10), fidye yazılımı (%9), yamasız sistemler (%8) ve DDoS ( %8).
‘İyi’ uygulamaların oluşturulmasını teşvik eden pek çok haklı tavsiye olsa da, siber güvenliğin ‘iyi’nin neye benzediğini gerçekten bilmemiz gerekiyor, bunu tavsiye edecek veya bazı durumlarda zorunlu kılacak ve bu nedenle onu izleyecek ve düzenleyecek birine ihtiyacımız var. ve ardından üreticilerin, hizmet sağlayıcıların ve operatörlerin hepsinin rolümüzü oynaması gerekir. Hükümetlerin ve düzenleyicilerin standartları tavsiye etme veya zorunlu kılma konusunda başı çekebileceğine dair beklentilerimiz, tüm endüstrinin karşı karşıya olduğu bir zorluk, yani ortak bir dil eksikliği yaratıyor; eğitimli yetenek eksikliği; ve birleşik standartların eksikliği. Siber okuryazarlık konusunun ele alınması, endüstrinin güvenli ve sürdürülebilir gelişimini sağlamak için kritik öneme sahiptir.
Ortak dil eksikliği
Siberin esasen sınırsız alanında sınırlar ötesinde işbirliği yapmak için, siberin hem faydalarını hem de zorluklarını kucaklayan ortak tanımları ve anlayışı içeren ortak bir dile ihtiyacımız var. Siber bağlamın hızla değişen doğası, hükümetin tarzına ve ekonomik gelişme aşamasına bağlı olarak savunma departmanlarının ulusal stratejilerinin bir parçası olarak veya bilişim stratejilerinin bir parçası olarak geliştiği anlamına gelir. Bazı durumlarda, terimler çok taraflı ittifakların bir sonucu olarak standart hale gelmiştir, ancak çoğu uluslararası kuruluş, devletler arasında faaliyet gösterirken terimlerin ve anlayışların çeşitliliği karşısında zorluk yaşamaya devam etmektedir. Sadece beş yıl önce, hemen hemen her ülke, başka bir devlet tarafından kullanılan bir tanıma teslim olurken egemenliğin kaybedilmesiyle ilgili dile getirilmeyen endişeleri yansıtarak hâlâ kendi siber tanımını kullanıyordu. Tanımlar, “kötü siber aktörlerin hedefi olabilecek tüm sanal ve fiziksel BİT cihazlarının eksiksiz ağını” tanımlamaktan yalnızca “İnternet ve ilgili BİT cihazları”na kadar uzanıyordu. Varyasyonlar devam ediyor. Finlandiya siber uzay terimini kullanmaz ve bunun yerine “siber alan” anlamına gelir ve siber güvenlik, siber uzaydaki siber tehditleri yönetmek için bir strateji olarak kabul edilirken, Avusturya ve Finlandiya tanımı dijital bilgilerin veya kritik bilgilerin korunmasıyla sınırlandırır. altyapı. Bu arada Çek Cumhuriyeti ve Japonya, ulusal stratejilerinde siber güvenlik terimi için herhangi bir tanım sunmamaktadır. Bunun aksine, örneğin Çin’de ayrıntılı tanımlar bilginin önemini yansıtır ve bu nedenle siber güvenlik, bilgi güvenliği ve siber savaşın aynı düzeyde tanınması gerektiğini kabul eden siber tanımlar ve politikalar.
Uluslararası Telekomünikasyon Birliği (ITU) şimdi, neredeyse odaklanmış bir anlayışa olanak vermeyecek kadar ayrıntılı bir “siber güvenlik” tanımı sunuyor. Örneğin, “siber ortamı ve kuruluşu ve kullanıcının varlıklarını korumak için kullanılabilecek araçlar, politikalar, güvenlik kavramları, güvenlik önlemleri, yönergeler, risk yönetimi yaklaşımları, eylemler, eğitim, en iyi uygulamalar, güvence ve teknolojilerin toplanmasını” kapsar. Kuruluş ve kullanıcının varlıkları, bağlı bilgi işlem cihazlarını, personeli, altyapıyı, uygulamaları, hizmetleri, telekomünikasyon sistemlerini ve siber ortamda iletilen ve/veya depolanan bilgilerin tamamını içerir. Siber güvenlik, kurumun güvenlik özelliklerinin ve kullanıcı varlıklarının siber ortamdaki ilgili güvenlik risklerine karşı elde edilmesini ve sürdürülmesini sağlamaya çalışır.”
Bu nedenle, devletler ve şirketler dahil devlet dışı aktörler arasında ortak tanımların yokluğunda, paydaşların daha da büyük bir anlayış eksikliğine katkıda bulunan kendi yorumlarını oluşturmaya başlaması belki de şaşırtıcı değildir. Bu, özellikle artık yalnızca bilgisayarlarla ilgili olmayan, toplumun tüm alanlarını kapsayan bir alanda paydaşlarla iletişim kuran kuruluşlar için zorlayıcıdır.
Beceri eksikliği
Devletlerin siberi kötü niyetli faaliyet ve savaş yerine ulusal refah ve ekonomik kalkınma için kullanmasıyla birlikte, diğer bir temel zorluk da iş gücünde siber güvenlik becerilerinin eksikliği ve talebin nasıl artacağıdır. Hızlı değişen ortam, geleneksel bilgi işlem becerilerine ek olarak, yeni becerilerin belirli sektör anlayışı, etik, yönetişim, uluslararası ilişkiler ve yerel kültürel becerileri içermesi anlamına gelir. Bu aynı zamanda her düzeyde siber güvenliği teşvik etmek ve mevcut cinsiyet dengesizliğini ele alarak ve böylece yetenek havuzunun gelecekteki gelişimini artırarak sektörü daha kapsayıcı hale getirmek için bir fırsattır. Cinsiyet ve kültürel çeşitlilik, bir işletmeye önemli gelir iyileştirmeleri, daha düşük düzenleyici cezalar ve daha az risk sunabilir.
2013 ile 2019 arasında BM, çevrimiçi kullanıcılar için 2013’te %11’den 2019’da %17’ye genişleyen bir cinsiyet farkı kaydetti ve dünyanın en az gelişmiş ülkelerinden bazılarında %43’e ulaştı (BM (Ekim 2021)). Bu arada STEM mezunlarının sadece %15’i kadındır. Bu nedenle, kız çocuklarının dijital erişimini, becerilerini ve yaratıcılığını desteklemek için hükümetlerin, sivil toplumun ve özel sektörün bir araya gelmesi elzemdir.
Standartlara Yatırım Eksikliği
Devletler ve şirketler, birleşik standartların özellikle sınır ötesi ticaret ve uluslararası yatırımla uğraşanlar için daha yakın işbirliğini mümkün kıldığını kabul ediyor. Huawei, 5G ile ilgili siber güvenlik çözümlerine ve patentlerine ana katkıda bulunanlar arasında yer alıyor ancak anlaşma sorununu tek başına bir taraf çözemeyecek ve diğer şirketlere ve hükümetlere birlikte çalışma çağrısı devam ediyor. Örneğin, AB’de GDPR ve önerilen NIS 2 Direktifi gibi standartların faydaları uyum gerektirir. Devletler arasında birleşik standartların olmayışı, uluslararası istikrarla ilgili diğer BM faaliyetleriyle bariz bir çelişki olsa da, BM gibi çok taraflı kuruluşlardaki ilgili kararların birçok devlet tarafından memnuniyetle karşılanmasının bir nedeni olabilir. Bu arada devletler, özellikle yapıların değerleri ideolojik bir bakış açısıyla paylaşılmıyorsa, çok taraflı veya uluslararası örgütlerle ilişki kurma çağrılarıyla çelişki içinde kalırlar. Bu isteksizlik, internetin yönetilmeyen bir alan olarak erken vizyonunu da yansıtıyor olabilir. Bununla birlikte, siber, ticari ve diğer amaçlar için çok yönlü bir alan olarak kabul edildikçe, standartların ve yönetişimin nasıl devam ettiği sorusu.
Orada, siber güvenliğe ve ilgili kaynaklara yapılan yatırım, herhangi bir kuruluş için finansal sağlık kadar eşit derecede önemli olarak görülmeli ve değerlendirilmelidir. Siber güvenlik ekosistemindeki her aktörün – üreticiler, hizmet sağlayıcılar, operatörler, standart kuruluşları, hükümetler ve düzenleyiciler – oynayacağı bir rol vardır. Bu, bir şirketin veya hükümetin tepesinden başlayarak siber okuryazarlık yeteneklerinin oluşturulmasını, ister politikanın yönünü etkilemek ve yönlendirmek, ister dijitalleştirilmiş işi “neye benziyor!”
yazar hakkında
Colm, Huawei’nin Küresel Siber Güvenlik ve Gizlilik Ofisi için çalışan Kıdemli Siber Güvenlik Danışmanıdır. Brüksel’deki Huawei’nin Siber Güvenlik Şeffaflık Merkezi’nde çalışıyor. Colm, 20 yılı aşkın bir süredir siber güvenlik sektöründe çalıştı ve kariyeri boyunca büyük ölçekli güvenlik testi programları, risk değerlendirmeleri, olay yönetimi, adli bilişim projeleri, uyumluluk, sertifikalandırma ve siber güvenlik eğitimi dahil olmak üzere çok çeşitli siber güvenlikle ilgili faaliyetleri yönetti. .
Colm’a çevrimiçi olarak [email protected], linkedin.com/in/murphycolm adresinden ve şirketimizin http://www.huawei.com/ web sitesinden ulaşılabilir.