CEO’lar İçin Siber Güvenlik Rehberi: Dijital Risklere Karşı Stratejik Yaklaşım

C-level yöneticiler için siber güvenlik rehberi: En sık karşılaşılan tehditler, risk yönetimi ve vCISO desteğiyle dijital dayanıklılığı artırma yolları.

Neden CEO’lar Siber Güvenlikle İlgilenmeli?

Şimdi şöyle bir rahatlayın, arkanıza yaslanın ve bir CEO olarak düşünmeye başlayın…

Şimdi birlikte çok uzak değil sadece birkaç yıl geriye gidelim. Neler yaşadık, eminim hiç kimse küresel bir salgının ortaya çıkıp, bütün bir toplumsal hayatı etkileyip, çalkantıya yol açacağını ve neredeyse her sektörü etkileyeceğini hayal edemezdi. 

Risk envanterimize koyduğumuz default tanımlı riski yok sayarsak 😊

2020’nin başlarında hemen hemen her ülkede hızla yayılan COVID-19 salgını, bildiğimiz hayatı, çalışma şeklimizi, birbirimizle etkileşimimizi ve esasen yaşama şeklimizi etkiledi. Bir anda herkes ve her sektör yeni normale alışmaya ve yaşam/iş koşullarını değiştirmeye başladı.

Bu süreçte İşletmeler ve eğitim kurumları kapandı, çalışanlar evden veya diğer yerlerden uzaktan çalışmaya zorlandı, tedarik zincirleri bozuldu, insanlar kendilerini izole etmek zorunda kaldı, çoğu seyahat yasaklandı. Yüz yüze toplantılar ve konferanslar sanal toplantılara dönüştü. Alışık olduğumuz tüm düzen değişti ve kartlar yeniden dağıtıldı. Elbette, bunun etki ve sonuçlarını sonraki yıllarda daha farklı şekil ve sonuçlar üzerinde görüyoruz ve göreceğiz.

Yine de, şirketlerin bu yeni ortamda faaliyet göstermesi gerekiyordu. Geçim kaynakları buna bağlı ve günün sonunda hem işletme sahipleri/paydaşları hem de tüm çalışanların para kazanmaları gerekiyor. Kurumsal operasyonlar/hizmetler sorunsuz ve verimli bir şekilde çalışmaya devam etmelidir.

Teknoloji hem geleneksel hem de yaratıcı yollarla kullanılan uygulanabilir bir çözüm olmuştur. Günümüzde dilimizden düşmeyen yapay zekâ, IoT teknolojileri gibi gelişmeler bunun en büyük kanıtlarıdır. Daha fazla işletme verimliliği, değeri ve İnovasyon hızını artırmak için dijital teknolojileri benimsedikçe, kendimizi dijital dönüşüm çağında bulduk. Birçok süreç ve hizmet sürekli olarak online (web/mobil) hale geliyor ve bulut bilişim, robotik, yapay zeka, sanal gerçeklikler, artırılmış gerçeklik, otonom sistemler ve Nesnelerin İnterneti gibi teknolojiler iş yerinin geleceğini şekillendiriyor. Teknoloji, bankacılık, sağlık, iş, eğitim, hükümet, hukuk sistemi ve toplum hizmetlerindeki operasyonlardan tüketiciye bağlı evlere kadar tüm faaliyetlerde hayati bir rol oynuyor (verilerimizin sızması buna dahildir.). Son teknolojik gelişmeler, günlük kişisel ve ticari faaliyetlerimizi yürütme şeklimizi önemli ölçüde değiştirdi.

Birçok üst seviyesi yönetici, teknolojinin işletmelere ve bireylere nasıl olanak sağlayabileceği konusunda heyecanlı olsa da artan bağlantı ve üçüncü taraflara bağımlılık gibi dezavantajlarla birlikte geliyor. Elbette üst düzeyde, özellikle Genel müdürler ve paydaşlar için öncelik her zaman hızlı işlem ve süreklilik olmaktadır. Bu bağımlılıklar ayrıca ortaya çıkan siber riskler konusunda endişelere yol açıyor. Yönetim kurulları sıklıkla siber saldırıları manşetlerde gördükçe, işletmelerin kurban gitmesi konusunda giderek daha fazla endişe duymaları ve tedirgin olmaları doğaldır. Aynı zamanda, iş paydaşları kendilerini teknik jargon ve iş ile siber güvenlik arasındaki uyumsuzluktan bunalmış halde buldular. Sonuç olarak, para kazanmak için hızlı çözüm, kolay kullanılabilirlik ve sürekli aktif olmak gibi sonuç odaklı yaklaşımlar nedeniyle bir anda doğru dengesi sağlanmayan güvenlik süreçlerinden kaynaklı Siber Riskler ile karşılaşılmaktadır.

En Yaygın Siber Tehditler ve Etkileri

Siber güvenliğin bir CEO’nun önceliği olması neden önemlidir?

Bilginin bir organizasyonun can damarı, teknolojinin ise kan damarı olduğu küresel olarak bağlantılı bir dünyada yaşıyoruz. Geleneksel olarak, şirketler fiziksel dosyalar ve kilitler aracılığıyla güven oluşturur ve müşterilerinin çıkarlarını manuel güvenlik süreçleriyle korur. İşletmeler geliştikçe ve müşterilere ürün ve hizmet sunma biçimleri değiştikçe, farkında olsunlar ya da olmasınlar teknolojiye olan bağımlılıkları da artar.

Günümüzde müşteriler işletmelerle dijital kanallar aracılığıyla etkileşime girerek çok sayıda dijital veri oluşturuyor. Müşteri beklentilerindeki bu değişimle birlikte işletmeler, bulut ağları, Nesnelerin İnterneti (IoT), yapay zekâ ve blok zinciri gibi yeni teknolojileri hızla benimseyerek ayak uydurmaya ve hatta bazen eğrinin önünde kalmaya çalışıyor.

Özellikle 2020 yılı, evden çalışmaya zorlanan insanların yönlendirdiği bir dijitalleşme patlamasına tanık olduk. Karantina gereksinimleri, müşterilerin artık herhangi bir fiziksel mağazaya giremeyeceği anlamına geliyordu. COVID-19’un oluşturduğu tehditler nedeniyle şirketler rekabetçi kalmak için daha fazla teknoloji odaklı iş modelleri benimsemek zorunda kaldı. Bu değişiklikler, otomasyon ve daha iyi müşteri hizmeti sağlayarak her şeyin müşterilerin parmaklarının ucunda olmasıyla gelirlerini artırdıkları için işletmeler için faydalı oldu. Ancak, bulutta ve diğer teknoloji sistemlerinde dijital biçimde depolanan verilerin ve varlıkların somut olmaması, yanlış bir güvenlik duygusunu da beraberinde getirdi.

Şirketlerin faaliyet gösterdiği giderek karmaşıklaşan ekosistemler de dahil olmak üzere bu değişiklikler, kaçınılmaz olarak kuruluşların risk maruziyetlerini ve dolayısıyla siber risklerini artırmıştır.

Diğer birçok işletme için siber güvenlik hala güzel bir şey olarak görülüyor, yalnızca müşteri talepleriyle yönlendirilen işlevsel olmayan bir gereklilik. Bu nedenle, işletmelerin siber riski somut bir iş riski olarak görmeye başlamadan önce siber suça kurban gitmesi talihsiz bir durumdur. Siber güvenlik stratejisi oluşturmak, başlatmak ve sürdürmek nihayetinde CEO’nun sorumluluğundadır.

Yönetici Perspektifinden Risk Yönetimi

Kuruluşlarında siber dayanıklılığı oluşturmaktan kimin sorumlu olduğuna dair anket İşletmeler müşterilere hizmet sağlamak için teknolojiye daha bağımlı hale geldikçe ve işletme modellerinde yeni değişiklikler yapıldıkça, CEO’ların müşterileriyle güvenlerini sürdürme ve bir siber saldırıdan sonra yeniden kazanma yollarını yeniden değerlendirmeleri gerekiyor. Teknolojiye bağımlılık kritik bir iş başarısızlığı kör noktası İşletmeler artık teknoloji sayesinde daha fazla esnekliğe, otomasyon seçeneklerine ve mobil yeteneklere sahiptir. Şirket sahiplerinin teknolojiye ne kadar bağımlı olduklarını ve teknolojinin işletmelerin büyümesine nasıl yardımcı olduğunu görmek şaşırtıcı değildi.

Siber risk, bir siber tehdit nedeniyle bilgi teknolojisi sistemlerinin arızalanması sonucu bir organizasyonda finansal kayıp, kesinti veya hasar riski olarak tanımlanır. Bu risk, teknoloji kesintisi, veri kaybı, veri hırsızlığı veya ifşası ve ürün geri çağırmaları gibi makul iş risklerine kadar uzanır. Her organizasyon (ve aslında her birey) bir hedeftir. Bilgi ve teknolojiye bağımlılık, sektör, boyut veya coğrafyadan bağımsız olarak herkesi katlanarak siber riske maruz bırakmıştır. “Asla saldırıya uğramayacağız” veya “Bize olmayacak” demek gerçekçi değildir. Şirketlerin iki kategoriye ayrıldığı yaygın olarak kabul edilmektedir:

  • saldırıya uğramış olanlar ve
  • saldırıya uğradıklarını henüz bilmeyenler.

Daha fazla teknoloji meraklısı ve siber farkındalığa sahip CEO’lar, değişen iş modellerinin ve artan teknolojik bağımlılıkların, işletmeleri üzerinde somut bir etkiye sahip olabilecek yeni ortaya çıkan siber risklere yol açtığını bilirler. Bu, kuruluşların bu siber zorlukları ele almaları, yeterli ve uygun maliyetli siber girişimlere karar vermeleri için bir başlangıç ​​noktasıdır. Yeni bir teknoloji platformuna erken dönemde güvenlik eklemek, genellikle daha sonraki bir aşamada bir çözümü yeniden işlemekten daha ucuz olacaktır.

Siber güvenlik kritik bir çevresel, sosyal ve yönetişim ayağıdır Günümüzde yatırımcılar, bir firmanın siber güvenlik duruşu konusunda sistem yeteneği ve Operasyonel istikrar konusunda olduğu kadar endişelidir. Genellikle bir firmanın siber risklerini değerlendirmek için veri koruma ve bilgi güvenliği politikalarını incelerler. Dijital ekonomimiz gelişmeye ve gelişmeye devam ederken, üst düzey yönetim ve küresel yatırımcılar da bir siber ihlalin (finansal veya itibar kaybı gibi) yaygın ticari ve sosyal etkisinin hızla daha fazla farkına varmaktadır. Bir zamanlar öncelikli olarak teknolojik bir sorun olan siber güvenlik, artık kritik bir Çevresel, Sosyal ve Yönetişim endişesi olarak kabul edilmektedir. Bu, iş davranışlarını değerlendirmenin pratik bir yoludur. Siber güvenliği endişelerinden biri olarak dahil ederek, bir organizasyonun siber risklere ve çalışanların çevrimiçi davranışlarına nasıl yaklaştığına dair ön görü sağlayan yeni bir boyut ortaya çıkarılmaktadır.

Küresel iş gücü evden çalışmaya geçtikçe, daha fazla çalışan ofis BT sistemleri ve ortamlarının sunduğu güvenlik korumalarının dışında kalıyor. Bu, kuruluşların güvenlik savunmalarında artan bir güvenlik açığına (belki de farkındalık eksikliği veya güvenlik ilgisizliği nedeniyle güvenli olmayan alışkanlıklardan kaynaklanan) neden oldu ve daha sık siber olaylara ve doğal olarak siber güvenlik alanına daha fazla dikkat çekilmesine yol açtı.

Söyle düşünün, kritik bir sisteminiz vardı ve buna USB erişiminden uzaktan bağlantıya kadar birçok erişim kapalıyken bir anda uzaktan tüm işlemleri yapabilir oldunuz. İşte bu noktada tüm iş yapış şekilleri ile siber güvenlik dinamikleriniz de değişmiş oldu.

Şirketler bilgi ağlarını yeterince korumazlarsa, bir ihlal durumunda para cezası alma ve/veya itibarlarına zarar verme riskiyle karşı karşıya kalırlar. Bunun BT sektörlerinde, finans ve iletişim hizmetlerinde ve geleneksel olarak siber güvenliğe çok fazla para yatırmamış sektörlerde giderek daha yaygın hale geldiğini gördük. Siber güvenlik sosyal bir endişe haline geldi ve siber saldırıları analiz ederken coğrafi ve jeopolitik verileri dikkate alarak küresel bir bakış açısının hesaba katılması gerekiyor. Siber saldırılara karşı korumayı artırmak için bir şirketin sistemlerine, ürünlerine ve hizmetlerine yapılan yatırımı artırmak, farklı sektörlerdeki birçok işletmeye fayda sağlayabilir; bu da kuruluşların, yatırımcıların ve genel halkın siber güvenlik korumasına duyulan ihtiyacın giderek daha fazla farkına vardığı anlamına gelir.

Evet, Siber güvenlik genç ve yükselen bir meslektir. Bu, birçok C seviyesi yönetici tarafından tam olarak anlaşılmamasının veya ciddiye alınmamasının nedenlerinden biridir. Birçok CEO ve yönetim kurulu üyesinin muhasebe, finans, pazarlama veya İK alanlarında kapsamlı işlevler arası deneyimi olsa da, çok azının siber güvenlik deneyimi vardır. Sonuç olarak, siber riskler yönetim kurullarında genellikle anlaşılmaz. Birçok şirket siber güvenliği kuruluşun Bilgi Teknolojileri Yöneticisine (CIO – CTO) bırakır ve siber risk yönetimi, gelir yaratma, kar artırma, müşteri edinme vb. için yeni girişimlere karşı kaynaklar/bütçe için rekabet etmesi gereken BT departmanıyla sınırlı bir maliyet olarak algılanır. Verilerin gizliliğinden, bütünlüğünden ve kullanılabilirliğinden sorumlu olan Bilgi Güvenliği Yöneticisi (CISO) genellikle bir CIO’ya veya CTO’ya rapor verir. Bu yapı yaygın olsa da, CISO’nun siber güvenlik konusundaki hedefleri ve CIO ile ilişkili çıkar çatışması nedeniyle etkisiz olduğu kanıtlanmıştır. CIO, herhangi bir iş teknolojisinin uygulanmasının gerekli zaman dilimi ve bütçe içinde tamamlanmasını sağlamayı amaçlar, ancak güvenlik gereksinimleri geliştirmeler bitmeden önce daha fazla kontrol ve test gerektirerek bu süreci yavaşlatabilir. Çoğu durumda, güvenlik unsurları bir iş önceliği olarak bile ele alınmayabilir.

Siber güvenlik ve bilgi teknolojisi: benzer beceriler ancak farklı bir odak noktası olan yapılardır. Siber güvenlik süreçleri BT departmanına bırakıldığında, siber güvenlik genellikle teknik bir sorun, bir maliyet merkezi ve diğer BT projeleriyle bütçe kaynakları için rekabet eden düşük öncelikli bir görev olarak kabul edilebilir; bunların çoğu işletme için daha iyi yatırım getirisi gösterir.

Siber güvenlik yöneticileri tıpkı diğer yöneticiler gibidir ve etkili bir şekilde iletişim kurabilme yeteneğine sahip olmalıdır. Rollerini yerine getirme becerileri çoğunlukla teknik olsa da, liderlik düzeyinde iletişim becerilerine sahip olmak kritik öneme sahiptir. Ne yazık ki, güvenlik uzmanları siber güvenliği yıllardır teknik jargon kullanarak ele almaktadır. Bu eğilim siber güvenlik liderleri ile işletmeler arasında bir ayrıma yol açtı. Teknik olmayan bir dille iletişim kurmak çok önemlidir. Ayrıca, CISO’ların kuruluşlarının iş perspektifinden ne yaptığını anlamaları ve iş stratejileri hakkında konuşabilmeleri beklenir.

CEO’lara Özel İpuçları: Siber Dayanıklılık Nasıl Artırılır?

CEO’nun bir organizasyonun siber güvenlik lideri ve rol modeli olması gerekir. Her ekip üyesinin işletmeye yönelik siber riskleri yönetme sorumluluğunu anladığı ve siber güvenliğin yalnızca bir “BT sorunu” olmadığını kabul ettiği siber açıdan güvenli, aktif ve sorumlu bir kültürü teşvik etmeleri gerekir. Organizasyondaki herkesin kritik bir rolü vardır. CISO tarafından tanımlanan siber güvenlik stratejisi ve yol haritasıyla anlaştıktan sonra, CEO’nun organizasyondaki herkesin organizasyon için siber güvenliği sağlamak için kritik bir rol oynamasını sağlamak için iletişimini, uyumunu ve uygulanmasını desteklemesi gerekir. Teknolojinin ötesinde siber risk bir iş riskidir Siber güvenlik başarısız olduğunda, yalnızca BT departmanını değil, tüm işletmeyi etkiler.

CEO, siber güvenliğin BT’nin çözmesi gereken bir sorun olmaktan çok, kurumsal bir yetenek olduğu fikrini güçlendiren bir kültürü teşvik etmede liderlik etmelidir. Güçlü bir siber güvenlik kültürü, kuruluş üyelerini güvenlik zorluklarıyla karşı karşıya kaldıklarında uyum içinde davranmaya yönlendirir. Yönetim kurulu tarafından onaylanan yerleşik, iyi düşünülmüş bir siber güvenlik planı, yalnızca her personel bir etkinlikten önce, sırasında ve sonrasında rolünü ve sorumluluklarını anlarsa, siber tehditlerin önemini takdir ederse, güvenlik önlemlerine ve yönergelerine uyarsa ve siber açıdan uyanık kalmanın ne anlama geldiğini anlarsa yararlı olur. Başarılı olmak için bir siber güvenlik planına bütünsel olarak yaklaşılması gerekir. Kuruluşun her bir parçası, süreçlerin ve teknolojinin sağlam bir siber güvenlik kültürü geliştirmede ve sürdürmede kritik bir rol oynadığını anlamalıdır. Siber risk, doğal afetler veya akut hastalıklar gibi riskler kadar ciddiye alınmalıdır. En önemlisi, siber tehditleri test etmeli, denetlemeli, uygulamalı ve provasını yapmalıdır.

Siber dayanıklılık, güvenlik tehditlerini anlamak, etkili güvenlik kontrollerini sürdürmek ve herhangi bir olayın etkisini azaltmak için hızlı ve odaklanmış bir siber olay müdahalesine sahip olmakla ilgilidir. Bir organizasyonun siber olgunluğu ne olursa olsun, herhangi bir şirketin ana siber dayanıklılık hedefi, iş operasyonlarının korunması, verilerinin gizliliğinin korunması ve bir siber saldırı durumunda mümkün olan en kısa sürede minimum kesinti ve kayıpla kurtarılması olmalıdır.

Siber saldırılar genellikle hedef odaklıdır, iş operasyonlarında maksimum etki ve kesintiye neden olmak üzere tasarlanmıştır. CEO’nun işini bu tür durumlara hazırlaması gerekir. Genellikle, kuruluşlar kapsamlı bir güvenlik ekibine sahip oldukları için bir siber saldırının asla başarılı olamayacağına yanlış bir şekilde inanırlar. Ya da saldırılara karşı koruma sağlamak için önemli bir yatırım yaptıkları için bir siber saldırının asla başarılı olamayacağına inanırlar. Bunlar efsanedir; yüzde 100 güvenlik bir hedef olmamalı ve gerçekçi bir hedef de değildir.

Kuruluşunuzu güvence altına almak, bir saldırı gerçekleşirse işletmenin operasyonlarına devam edebilmesini sağlamakla ilgilidir. Dayanıklılık, bilgi varlıklarınızı güvende tutmak kadar kuruluş tarafından erişilebilir tutmakla ilgilidir. Bu tür bir dayanıklılık, müşterileriniz arasında güven oluşturur ve bir saldırı durumunda itibarınızı korur. Bu nedenle, güvenlik kontrol başarısızlıkları da dahil olmak üzere başarısızlığa karşı plan yapmak çok önemlidir. Başarısızlığa hazırlanmak, kuruluşunuzun hayatta kalmasını ve diğer önleyici tedbirler zamanla oluşturulurken çalışmaya devam etmesini sağlar. Bu, bir siber olay tehdidiyle başa çıkmanıza ve işletmenizi diğer felaketlerle başa çıkmaya hazırlamanıza yardımcı olacaktır.

CEO, siber risklerinden ve risk iştahından risk toleransına kadar kuruluşun siber risk duruşuna aşina olurken bir CISO ve ekibinin yerinde olduğundan ve etkili bir şekilde çalıştığından emin olmalıdır. Ne yazık ki, tehdit aktörleri ve siber riskler bir CEO hazır olana kadar beklemeyecektir. Bir siber felaket bir CEO’yu mahvedebilir; önemli veri kaybına, veri hırsızlığına veya iş kesintisine yol açan bir siber olay, CEO’nun itibarını, pozisyonunu, kariyerini, gelirini ve operasyonlarını tehlikeye atabilir. Bu noktada güncel ve iyi prova edilmiş bir olay müdahalesi, BCP ve DRP’ye sahip olmak, bir kuruluşun siber felaket durumunda hızla toparlanıp operasyonlarına devam edebilmesini sağlayacaktır. İyi planlanmış bir iletişim planı, siber güvenlik planlamasının temel bir unsurudur. CEO, bir kuruluşun kriz iletişim planındaki görünürlüğünü dikkate almalıdır. Bu amaçla, CEO’dan personele, medyaya, müşterilere ve kamuoyuna iletişim için şablonlar ve yönergeler BCP’ye dahil edilmelidir.

Sonuç: Liderlik, Farkındalıkla Başlar

Özetle, CEO güvenlik süreçlerini şirketin temel iş hedefleri ile bir tutmalı ve bunun için doğru yatırım ve takip mekanizmasını oluşturmalıdır. Burada her zaman savunduğum 4 temel prensibi yeniden paylaşarak, bu uzun yazımı tamamlıyorum. Buraya kadar sabredip okudunuz için çok teşekkürler.

  • Security by Design
  • Executing Control Framework
  • Security Mindset
  • Functional reporting lines

“Şirketinizi dijital tehditlere karşı daha dayanıklı hale getirmek istiyorsanız, şimdi vCISO hizmetimizle tanışın!”

Services

Leave a Reply

Your email address will not be published. Required fields are marked *