YORUM
Siber güvenlik, bir kuruluşu siber saldırganlardan korumak için gereken teknoloji ve araçlardan, BT profesyonellerinin ihtiyaç duyduğu beceri setlerine kadar son beş yılda birçok değişikliğe yol açtı. Tutarlı ve devam eden dalgalanma etkisi aynı zamanda organizasyonel rolleri ve sorumlulukları da etkilemiştir. Tartışmasız en çarpıcı değişimlerden biri finans müdürü (CFO) rolü oldu.
Günümüzün CFO’ları, kritik varlıkların korunmasını ve kârlılığın güvence altına alınmasını da içeren genişleyen bir rolü benimsemeye istekli, işbirlikçi liderler olmalıdır. Siber saldırıların karmaşıklığı ve mali etkisi nedeniyle, bunu yapmak için CFO’ların bilgi güvenliği üst düzey yöneticileri (CISO’lar) ile yakın işbirliği içinde çalışması gerekir. Finans uzmanları veri akışlarını ve finansal süreçleri anlar, güvenlik uzmanları ise en son siber tehditleri ve bu tehditlerle mücadele etmek için en iyi uygulamaları bilir. Bu uzmanlığın birleştirilmesi, daha bilinçli teknik yatırımlara, anormalliklerin daha hızlı tespit edilmesine ve daha güçlü genel siber güvenlik önlemlerine yol açar.
Ödemelerin ve şüphelenmeyen finans profesyonellerinin giderek daha fazla siber saldırıların hedefi haline geldiğini gördüğümüz için bu gelişmiş yaklaşım kritik önem taşıyor. Her ikisi de para hacmi ve işledikleri işlemler nedeniyle ana hedeflerdir ve çoğu zaman kuruluşları manuel olarak aylarca tespit edilemeyen kimlik avı planlarına karşı daha da savunmasız bırakır. Finans ve güvenlik departmanları arasındaki iş birliği, tehdit tespitinde, uyumluluğun sürdürülmesinde, üçüncü taraf risklerinin ele alınmasında ve şirket çapında siber güvenlik eğitimi ve öğretiminin sağlanmasında çok önemlidir.
Güvenlik İhlalinin Etkisi
Bir siber saldırının artan mali etkisi tek başına CFO’nun siber güvenlik konularına katılımını zorunlu kılmaktadır. IBM’in açıklamasına göre “Veri İhlalinin Maliyeti Raporu 2024“küresel ortalama veri ihlalinin maliyeti ulaşmış 2024’te 4,88 milyon dolargeçen yıla göre %10 artış gösterdi. Bu önemli mali risk, CFO’ların artık siber güvenliği neden bir kuruluşun ekonomik sağlığı açısından birincil endişe kaynağı olarak görmesi gerektiğinin altını çiziyor.
CFO’lar, siber olaylardan kaynaklanan potansiyel mali yıkımı anlayabilecek benzersiz bir konuma sahiptir. Bir ihlalle ilgili maliyetler, anlık mali kayıpların ötesinde, itibar kaybı, yasal yükümlülükler ve idari para cezaları gibi daha uzun vadeli yansımaları da kapsar. CFO’lar, katılım sırasında bu potansiyel finansal etkileri ölçmeli ve dikkate almalıdır. olay müdahale planlaması.
Uyumluluk Koruma Gerektirir
CFO’lara yönelik düzenleyici ortam, Sarbanes-Oxley’in çok ötesinde gelişmiştir. Menkul Kıymetler ve Borsa Komisyonu’nun (SEC) siber güvenlik risk yönetimi, stratejisi, yönetişimi ve olay açıklamasına ilişkin kuralları, CFO’lar için birincil endişe kaynağı haline geldi ve siber güvenliğin kritik bir finansal ve operasyonel risk olarak giderek daha fazla kabul edildiğini yansıtıyor.
SEC’in siber güvenlik kuralları, halka açık şirketlerin önemli siber güvenlik olaylarını dört iş günü içinde açıklamasını ve siber güvenlik risk yönetimi, stratejisi ve yönetişimi hakkında periyodik güncellemeler sağlamasını gerektirmektedir. Bu, siber olayların zamanında açıklanmasını sağlaması ve risk yönetimi stratejilerinin geliştirilmesine ve uygulanmasına yardımcı olması gereken CFO’lara önemli sorumluluklar yüklüyor. Sonuç olarak, CFO’lar CISO’larla yakın çalışmalıdıryönetim kurulu üyeleri ve yöneticilerin etkili bir siber güvenlik yönetimi oluşturması ve şirketin siber güvenlik duruşu ve olaylara müdahale yetenekleri hakkında ayrıntılı raporlama sağlaması.
CFO’lar ayrıca Avrupa Birliği’ndeki Genel Veri Koruma Yönetmeliği (GDPR), Kaliforniya Tüketici Gizliliği Yasası (CCPA) ve eyalet düzeyindeki benzer düzenlemeler gibi diğer siber güvenlik düzenlemelerini de takip etmeli ve Sağlık Sigortası gibi sektöre özel düzenlemelere uymalıdır. Taşınabilirlik ve Sorumluluk Yasası (HIPAA). Bu düzenlemeler, uyumsuzluk durumunda ciddi mali cezalar içeriyor ve CFO’ların siber riskleri yönetmede oynadığı kritik rolü daha da vurguluyor. Sonuç olarak, CFO’ların artık kuruluşlarının mali çıkarlarını korumak ve uyumluluğu etkili bir şekilde sürdürmek için en iyi siber güvenlik uygulamaları, olay müdahale protokolleri ve gelişen düzenleyici ortam konusunda çok bilgili olması gerekiyor.
İşbirliği ve Tahsis
Karmaşıklığa ek olarak, CFO artık siber girişimlere ve yatırımlara öncelik vermek için BT, hukuk ve diğer departmanlarla yakın işbirliği içinde çalışması gereken işlevler arası bir işbirlikçidir. Ayrıca CEO’yu ve yönetim kurulunu siber güvenlik konularında eğitmek ve zaman zaman çalışanlarla, müşterilerle, ortaklarla ve yatırımcılarla geniş kapsamlı iletişim kurmak için CISO ve baş bilgi sorumlusu (CIO) ile birlikte çalışmalıdırlar.
CFO’ların, şirketin siber güvenlik araçlarına ve teknolojilerine yaklaşımını ve yatırımını belirlemeye yardımcı olması nedeniyle kurumsal stratejiyi ve daha geniş iş kararlarını dikkate alması gerekir. Bu düzeyde karar alma, CFO’ların siber ortamı, tehditleri ve eğilimleri ve uygulanabilir yatırım stratejilerini anlamasını gerektirir. Bu genişletilmiş rol, CFO’ların kuruluşlarının siber tehditlere karşı dayanıklılık oluşturmalarına yardımcı olurken güvenlik önlemlerinin uygun maliyetli ve genel iş stratejisiyle uyumlu olmasını sağlamasını gerektiriyor.
CFO’lar Nasıl Başarılı Olabilir?
CISO’larla yakın işbirliği içinde çalışan CFO’lar, kuruluşlarının kritik varlıklarını korumada ve uzun vadeli finansal istikrarı sağlamada kilit oyuncular haline gelebilir. Bu yeni ortamda başarılı olmak için CFO’ların, CIO’lar ve CISO’larla güçlü ortaklıklar kurması, siber güvenlik riskleri ve teknolojileri konusunda derin bir anlayış geliştirmesi ve siber güvenlik hususlarını finansal planlama ve risk yönetiminin tüm yönlerine entegre etmesi gerekiyor. Bunu yapmak, kuruluşların daha geniş iş hedeflerini ve büyüme stratejilerini desteklerken siber tehditlere karşı dayanıklılık geliştirmelerine yardımcı olabilir.