Yeni yıl bizi siyasi belirsizlik, toplumsal parçalanma, artan jeopolitik gerilimler ve çalkantılı bir makroekonomik ortamla karakterize edilen bir manzarayla karşı karşıya buluyor; bu da güvenlik liderlerinin yaklaşan zorluklara stratejik olarak hazırlanmalarını hayati önem taşıyor.
İşletmelerin 2024’te karşılaşacağı üç ana güvenlik sorununu inceleyelim:
1. Veri
Modern işletmeler her gün büyük miktarlarda veri üretir ve yönetir. Veriler, karar alma ve rekabet avantajı açısından merkezi bir öneme sahip olduğundan, verilerin aniden kesintiye uğraması veya kullanılamaması, işletme açısından ciddi sonuçlara yol açabilir.
Güvenlik ekiplerinin kendilerine sorması gereken temel sorulardan bazıları şunlardır: Verilerin gizliliği, bütünlüğü ve kullanılabilirliği gibi hususları nasıl yönetir ve koruruz? Verilerimizi siber tehditlere ve kötüye kullanıma karşı korumak için hangi stratejileri kullanabiliriz? Veri havuzlarının genişletilmesiyle ortaya çıkan güvenlik zorluklarını nasıl çözebiliriz? Değerli veriler ile gereksiz bilgiler arasında nasıl ayrım yaparız?
Ayrıca, verilerin yapılandırılması ile iş çerçevesi arasında sıklıkla bir uyumsuzluk vardır. Sonuç olarak, güvenlik ekiplerinin, verilerimizi nasıl uyguladığımız gibi konuları açıklığa kavuşturmak için iş birimleriyle görüşmelerde bulunması gerekebilir. Bu veriler kimlerle paylaşılıyor? Bunun sorumluluğunu kim üstleniyor? Veri güvenliğine ilişkin kararların alınmasından kim sorumludur? Bilgi güvenliği ekibi mi, icra başkanı mı, yönetim kurulu mu yoksa ortak bir çaba mı?
2. Yapay zeka
Yapay zeka teknolojileri yeni olmasa da son zamanlarda yapay zekanın yaygın biçimde benimsenmesi, kuruluşlar için sayısız iş ve güvenlik sorununu beraberinde getirdi. Göz önünde bulundurulması gereken temel sorular şunlardır: Kuruluş içindeki yapay zeka kullanımını nasıl izleriz? Çalışanların yapay zeka sistemleriyle paylaştığı verileri nasıl düzenliyoruz? Etik standartlara ve yasal gerekliliklere sürekli uyumu nasıl sağlayabiliriz?
Veri yapay zekanın temel taşıdır. Bu verilerin güvenli, etik ve şeffaf olmasını sağlarken yapay zeka sistemleri için yeterli veriyi nasıl sağlarız? Yapay zeka verilerini ve algoritmalarını tehdit aktörlerinin manipülasyonuna karşı nasıl koruruz? Güvenlik ekiplerinin etik kaygılar da dahil olmak üzere yapay zeka ile ilgili tüm riskler konusunda dikkatli olması gerekir. Bu zorluklara rağmen yapay zeka, iş modellerini geliştirmeyi ve geliştirmeyi hedefleyen şirketler için önemli fırsatlar sunuyor.
2024’te şirket yönetim kurulları büyük olasılıkla yapay zekanın kuruluş genelinde güvenli dağıtımını denetlemede merkezi bir rol üstlenecek. Bu senaryo, güvenlik ekiplerinin iş hedefleriyle yakın uyum içinde olması, yapay zeka devriminin ön saflarında yer alması ve yönetim ekipleriyle birlikte önemli iş kararlarına aktif olarak katılması için önemli bir fırsat sunuyor.
3. Düzenlemeler
Güvenlik hızla gelişiyor ve onu düzenleyen düzenlemeler de öyle. Önümüzdeki 12 ay boyunca çeşitli düzenlemeler getirilecek, güncellenecek veya gözden geçirilecek. Örneğin, GDPR 2024’te sıkı takviyelere yol açabilir; Dijital Operasyonel Dayanıklılık Yasası (DORA), Ocak 2025’te AB genelindeki finansal kuruluşlar için geçerli olacaktır; AB AI Yasası oylanabilir.
Bu gelişmeler göz önüne alındığında, kuruluşların faaliyet gösterdikleri yetki alanlarındaki düzenlemelere ilişkin kapsamlı bir anlayış geliştirmeleri gerekmektedir. Bu bilgi, gerekli süreçleri ve çerçeveleri proaktif bir şekilde oluşturmak için çok önemlidir; çünkü bu düzenlemeler bir kez yürürlüğe girdikten sonra bunlara geriye dönük olarak uyum sağlamak zor olacaktır. Bu nedenle, 2024’te bu düzenlemelerin ilerisinde kalmak zorunludur; zira uyumsuzluk ciddi hukuki, mali ve itibarla ilgili sonuçlara yol açabilir.
Siber güvenlik liderleri bu güvenlik sorunlarını nasıl çözebilir?
Siber güvenlik liderlerinin 2024 siber güvenlik planlarına entegre edebilecekleri dört risk yönetimi girişimini aşağıda bulabilirsiniz:
1. Sorunları iş terimleriyle iletin
Siber güvenlik liderlerinin sorunları iş liderlerinin ilgisini çekecek şekilde sunması önemlidir. CEO’lar genellikle teknik detaylardan kaçınmayı tercih ederler. Onların endişesi teknolojinin işi nasıl etkileyeceği ve bunun genel hedeflerle uyumlu olup olmadığıdır. Paydaşların beklentilerini karşılayacak mı? Teknik boyutların ötesinde finansal, operasyonel ve ekonomik faktörler açısından riskler nelerdir?
2. Açık risk tolerans seviyeleri belirleyin
Yönetim ekipleriyle çalışan güvenlik liderleri için, diğer risk türlerine benzer şekilde şirketin siber kayıplara ilişkin risk toleransını tanımlamak çok önemlidir. Örneğin, üretken yapay zekayı kullanmanın risk toleransı nedir? Bu kararın verilmesinden kim sorumludur? Hangi düzenlemeler konuyla ilgilidir ve bu, ifşa ettiğimiz bilgileri nasıl etkileyecektir?
3. Sağlam ve pratik bir müdahale planı uygulayın
Yönetici ekipler ve yönetim kurulu odaları güvence arar. Kuruluşun beklenmedik krizlere karşı hazırlıklı olduğuna dair güveni, kuruluş genelinde kapsamlı durumsal farkındalığın olmasını ve faaliyetlerin ihtiyatlı bir şekilde izlendiğinin teyit edilmesini gerektirirler. Temel siber koruma önlemlerinin uygulandığına ve kapsamlı bir şekilde belgelenen ve düzenli olarak prova edilen bir iş sürekliliği ve müdahale planının bir güvenlik olayı durumunda etkinleştirilmeye hazır olduğuna dair güvenceye ihtiyaçları var.
4. İş gücünde ve tedarik zincirinde farkındalık yaratın, hesap verebilirliği teşvik edin
İşin doğası son yıllarda önemli ölçüde değişti ve güvenlik politikalarında ve prosedürlerinde bu değişiklikleri yansıtacak güncellemeler yapılması zorunlu hale geldi. Kuruluşlar, veri toplama ve kullanımına ilişkin hesap verebilirliği açık bir şekilde özetlemeli, paydaşlarla işbirlikçi ve şeffaf etkileşimlerde bulunmalı ve herkesin işin korunmasındaki rolünü anlamasını sağlamalıdır. Benzer şekilde, aynı güvenlik ilkelerini ve prosedürlerini ana kuruluş adına verileri işleyen üçüncü taraflara ve tedarik zinciri ortaklarına da yaymak çok önemlidir.
Özetlemek gerekirse, karmaşıklığı ve zorluğu artmaya devam edecek üç temel alanla karşı karşıyayız: veri, yapay zeka ve düzenleme. Güvenlik ekipleri ile iş operasyonları arasında daha yakın etkileşime dair artan bir beklenti var ve buna yönetim kurulu yöneticilerinin kişisel sorumluluklarıyla ilgili artan endişeleri de eşlik ediyor. Güvenlik liderleri bu tehdit yönetimi girişimlerine odaklanırlarsa, riskin azaltılmasına önemli ölçüde yardımcı olabilirler ve gelecekte dayanıklı bir organizasyon oluşturmaya katkıda bulunabilirler.