İçtiğimiz sudan, sürdüğümüz yollara, tükettiğimiz bilgilere kadar teknoloji toplumun dokusuna işlenmiştir. Hayatımızın neredeyse her yönü teknolojiye bağlıdır. Ancak dijital tehditlerin fiziksel risklerle bir araya gelmesi giderek daha belirgin hale gelmiştir. Tek bir siber saldırı veya teknolojik bozulma bir işletmeyi iflas ettirebilir veya insan hayatlarını riske atabilir.
Bu şu soruyu gündeme getiriyor: Kuruluşlar dijital risklere öncelik veriyor mu? Cevap olumsuz. Araştırmalar, işletmelerin yalnızca yüzde üçünün siber tehditlere karşı gerçek dayanıklılık geliştirdiğini gösteriyor. Bu farklılığın başlıca nedenleri şunlardır:
1. Teknolojiye Aşırı Bağımlılık, Dayanıklılığa Yetersiz Vurgu
Birçok kuruluş, sistem arızalarının olası sonuçlarını göz ardı ederek, iş büyümesini hızlandırmak için teknolojiyi kullanır. İngiltere’deki akıllı otoyolların durumunu düşünün, başlangıçta güvenli ve endişesiz olacak şekilde tasarlanmıştı. Bugün biliyoruz ki öyle değiller. Hükümet, teknolojinin kusursuz olacağı ve tüm sorunları çözeceği varsayımıyla mı (veya yanlış anlayışıyla) hareket ediyordu? Küresel CrowdStrike olayını hatırlayın. Finans kuruluşları, oteller, havaalanları ve hastaneler, operasyonlarının tamamen durmasıyla ilgili acil durum planları mı yazdılar?
2.Üst Düzeyden Taahhüt Eksikliği
İşletmeler şüphesiz siber güvenlik ve bilgileri koruma konusunda endişeleniyor. Ancak, kaynakların adil dağıtımı konusunda zorluk çekiyorlar — ister ürün özelliklerine, ister yeni pazarlara yatırım yapmak, ister müşteri deneyimini iyileştirmek olsun. Kuruluşlar maliyetleri kısmaya çalıştıklarında, hedef genellikle güvenlik oluyor. Bunun nedeni, güvenliğin uygun ROI ölçümlerine kolayca uyum sağlamamasıdır.
3. Üçüncü Taraf ve Tedarik Zinciri İlişkilerinde Şeffaflık Eksikliği
Geçtiğimiz yıl, kuruluşların yarısından fazlası (%54) bir yazılım tedarik zinciri saldırısına maruz kaldı ve ortalama saldırı yaklaşık 235 gün boyunca tespit edilemedi. Bir kuruluşun ekosistemi artık dört duvarla sınırlı değil, birden fazla katman ve hiyerarşiye yayılıyor. Zorluk, birden fazla düzeyde riski yönetmek için en etkili stratejileri gerçekten anlamakta yatıyor.
4.İnsan Faktörünü İhmal Etmek
Birçok kuruluş siber güvenliği yalnızca teknolojik yollarla ele alınabilen teknolojik bir sorun olarak görüp insanların önemli rolünü göz ardı eder. Bu yaklaşımın içsel riskleri vardır çünkü insanlar genellikle siber güvenlik ihlallerinin birincil nedenidir. Diğer taraftan, insanların çok yönlülüğü ve yaratıcılığı ve anormallikleri tespit etme ve sosyal mühendislik şemalarını belirleme konusundaki uyum yetenekleri, kuruluşun siber güvenlik saldırılarını çözmesine ve bunlardan kurtulmasına yardımcı olacaktır.
Kuruluşlar Dayanıklılığı Nasıl Artırabilir ve Yönetimi Nasıl İyileştirebilir?
Kuruluşlar evrimleşmeli ve ilerlemelidir, ancak hiçbir şeyin kusursuz olmadığını da akıllarında tutmalıdırlar. Siber suçlular, gelişmiş son teknoloji araçlara erişimleri olan, iyi eğitimli ve iyi finanse edilen işletmelerdir. Aşağıda dayanıklılığı ve siber güvenlik yönetimini teşvik etmek için bazı en iyi uygulamalar verilmiştir:
1. Temel Becerileri Koruyun: Çalışanları teknolojiye güvenmeleri konusunda eğitmek faydalı olsa da, cihazların ve dizüstü bilgisayarların arızalanması veya artık erişilemez hale gelmesi gibi acil durumlar için personeli temel becerilerle donatmak da önemlidir.
2.İnsanları ve Kuruluşları Sorumlu Tutun: Hükümetler, yasa koyucular, yönetim kurulları ve diğer paydaşların, pasif bir “olur” tavrından, kurumları kararlarından sorumlu tutmaya doğru geçiş yapmaları gerekiyor. Riski uygun şekilde değerlendirdiler mi? Alternatif bir eylem planı hazırlayarak bir acil durum için plan yaptılar mı? Siber saldırı gibi beklenmeyen olayları öngörüyorlar mı?
3.Çözüm Bulmak İçin İnsanlara Güvenin: Büyük veri ihlallerinde, şirketlerin toparlanmasına yardımcı olan genellikle teknoloji değil, insan müdahalesiydi. Kuruluşlar, kullanıcıları çözüm tasarımından dışlamayı veya teknolojik düzeltmeler lehine insanları kenara çekmeyi göze alamaz.
4.Tedarik Zinciri İçindeki Yönetimi İyileştirin: Tedarikçileri dijital risklere maruz kalmalarına göre önceliklendirin ve sınıflandırın. Sürekli güvence için bir süreç uygulayın ve tedarikçi risklerindeki değişiklikleri izlemek için bir raporlama ve izleme süreci uygulayın. Tedarikçi risk değerlendirmelerini tüm tedarik zinciri yaşam döngüsüne yerleştirin.
5.Risk Azaltma Stratejilerini Özelleştirin: Herkese uyan evrensel bir çözüm veya risk azaltma için bir plan yoktur. Kuruluşunuzun benzersiz risk duruşunu, iş yönünü, güvenlik hazırlığını ve siber güvenlik kontrollerine yatırım yapma isteğini değerlendirin. Risk azaltmaya akıcı bir şekilde yaklaşın. Risk azaltma çabalarına rehberlik etmek için ISF SOGP, NIST SP 800-53B veya ISO/IEC 27002:2022 gibi standart siber güvenlik çerçevelerini kullanın.
Teknolojik riskler önemsiz değildir ve hiçbir hızlı çözüm kolayca bulunamaz. Bir iş liderliği açısından, fayda sağlamak için kapsamlı bir risk yönetimi ve yönetişim stratejisi benimsenmelidir. Kuruluşların bunu tek başlarına yapmaları gerekmez, ancak siber güvenlik ve uyumluluk konusunda uzmanlarla ortaklık yapmaktan emin olabilirler. Kuruluşların belirlenen riskleri ciddi şekilde ele alıp almamaları bir iş yatırım kararıdır.
Reklam