IBM Security ile IBM İş Değerleri Enstitüsü’nün üst düzey yöneticilerle gerçekleştirdiği araştırma, üst düzey yöneticiler ile Bilgi Güvenliği Yöneticilerinin siber suçlularla nasıl mücadele edilmesi gerektiği konusunda aynı fikirde olmadığını gösteriyor. 700’den fazla üst düzey yöneticinin katıldığı araştırmada, yeni güvenlik ortamında üst düzey yöneticilere olanaklar sağlanması için eğitime ve etkileşime gereksinim duyulduğu görülüyor.
“Üst Düzey Yöneticilerin Güvenliği, Yönetim Kurulundan ve Üst Düzey Yöneticilerden Siber Güvenlik Bakış Açısı” başlıklı yeni araştırma, kuruluş içerisindeki siber güvenlik konusunda 28 ülkeden ve 18 sektörden üst düzey yöneticilerle gerçekleştirilen görüşmelere dayanıyor. Üst düzey yönetimdeki diğer herkesin siber güvenlik konusundaki düşüncelerinin öğrenilmesi için Üst Düzey Bilgi Güvenliği Yöneticilerinin dahil edilmediği araştırmada kağıt üzerinde üst düzey yöneticilerin yüzde 68’i siber güvenliği en önemli önceliklerden biri olarak görüyor1 ve yüzde 75’i kapsamlı bir güvenlik planının önemli olduğuna inanıyor olsa da, araştırmanın sonuçları önemli yöneticilerin bilgi güvenliği yöneticileri ile güvenlik planlamasının ötesinde daha fazla etkileşim kurması ve daha etkin bir rol üstlenmesi gerektiğini gösteriyor.
Araştırmanın önemli bulgularından biri, üst düzey yöneticilerin yüzde 70’inin kuruluşları için en büyük tehdidin tek başına hareket eden kişiler olduğunu düşünmesi oldu. Birleşmiş Milletler raporuna göre, siber saldırıların yüzde 80’i yüksek düzeyde organize olmuş ve aralarında geniş çaplı veri, araç ve uzmanlık paylaşımı bulunan suç örgütleri tarafından gerçekleştiriliyor.2 Araştırma, üst düzey yöneticilerin endişe duymasına neden olan pek çok farklı düşman bulunduğunu gösteriyor. Yöneticilerin yüzde 54’ü suç örgütlerinden endişe duyuyor, ancak yüzde 50 oranındaki kısım rakiplerinden de neredeyse aynı ölçüde endişe duyuyor.
CEO’ların yüzde 50’sinden fazlası, siber suçlarla mücadelede işbirliğinin gerekli olduğunu kabul ediyor. İronik bir biçimde, CEO’ların yalnızca üçte biri kuruluşlarının siber güvenlik olayı bilgilerini harici olarak paylaşmaya istekli olduklarını belirtiyor. Bu durum, geniş çaplı ve koordineli sektör işbirliğine karşı bir direnişi ortaya koyuyor. Öte yandan, bilgisayar korsanlarından oluşan gruplar ise Karanlık Ağda gerçek zamanlı olarak bilgi paylaşma becerilerini geliştirmeye devam ediyor. CEO’lar aynı zamanda üçüncü tarafların daha fazla katkıda bulunması gerektiğini belirtiyor; daha güçlü devlet denetimi, sektör içinde daha fazla işbirliği ve sınır aşan bilgi paylaşımı – çözülmesi gereken bir çelişki.
Aslında, en hassas müşteri ve personel verilerinden bazılarını yönetmeleri, kurumsal finans işlerini yönetmeleri ve banka bilgilerine erişim yetkisine sahip olmaları nedeniyle Pazarlama, İnsan Kaynakları ve Finans birimleri siber suçlular için başlıca hedefleri oluşturuyor. Araştırmaya göre, üst düzey finans, insan kaynakları ve pazarlama yöneticilerinin yaklaşık yüzde 60’ı, kendilerinin ve dolayısıyla birimlerinin siber güvenlik stratejisinde ve bu stratejinin uygulanmasında etkin biçimde rol oynamadıklarını belirtiyor. Örneğin, üst düzey insan kaynakları yöneticilerinin yalnızca yüzde 57’si, çalışanların siber güvenlikte rol oynaması için ilk adım olan bir siber güvenlik eğitimi uyguladığını bildiriyor.
Araştırmaya katılan üst düzey yöneticilerin yüzde 94 gibi çok yüksek orandaki bir bölümü, şirketlerinin gelecek iki yıl içerisinde önemli bir siber güvenlik olayı ile karşı karşıya kalmasının mümkün olduğunda inanıyor. IBM’in analizine göre, yanıt verenlerin yüzde 17’si bu tehditlere karşı hazırlıklı olduklarını ve karşılık verebileceklerini düşünüyor. IBM, yüzde 17 oranındaki katılımcıları “Siber-Güvenli”, bir başka deyişle en hazırlıklı ve en yüksek kapasiteye sahip üst düzey yöneticiler olarak sınıflandırdı ve bu grubu araştırmanın sıra dışı katılımcıları olarak belirledi. “Siber Güvenli” liderlerin üst düzey yöneticilerle işbirliğini siber güvenlik programına eklemiş olması olasılığı ve siber güvenliği Yönetim Kurulu seviyesinde gündemin olağan maddelerinden biri haline getirmiş olması olasılığı diğerlerine göre iki kat daha fazla.
Kuruluşlar için “Siber Güvenli” İpuçları:
- Riski anlayın: Ekosisteminizi riskler açısından değerlendirin, güvenlik riski değerlendirmeleri yapın, çalışanlar için eğitim geliştirin ve güvenliği kurumsal risk planına dahil edin.
- İşbirliği Yapın, eğitin ve olanaklar sağlayın: Bir güvenlik yönetişimi programı oluşturun, Üst Düzey Bilgi Güvenliği Yöneticisine olanaklar sağlayın, siber güvenlik konusunu üst düzey yönetim toplantılarının gündemine dahil edin ve düzenli olarak ele alın, bir olay müdahale planının geliştirilmesine üst düzey yöneticileri dahil edin.
- Riski dikkatli ve hızlı yönetin: Sürekli güvenlik izleme uygulayın, ayrıntılı olay incelemelerinden yararlanın, ortamın güvenliğini sağlamak için tehdit istihbaratını paylaşın ve kullanın, organizasyonun dijital varlıklarının nerede barındırıldığını anlayın ve buna uygun olarak risk azaltma planları geliştirin, siber güvenlik ilkeleri geliştirin ve uygulayın.