YORUM
2024, siber güvenlikte benzersiz bir değişkenlik ortamına dönüşecek. Düzenleyici değişiklikler, üçüncü taraf hizmet olayları ve baş gösteren ekonomik belirsizlikler göz önüne alındığında, yönetim kurulunun risk yönetimi programlarına katılımı kritik önem taşıyor.
Yanında dolar da var. Yönetim kurullarının siber tartışmalara aktif olarak katılmadığı kuruluşlar için veri ihlalleri iki ila üç kat daha pahalıdır. Ayrıca CISO’ların, şirketlerinin risk ortamını paydaşlarla paylaşmanın yenilikçi yollarını bulmalarına yönelik artan bir talep var.
Ek olarak, düzenleyiciler yeni güven gereklilikleri dayatıyor. Örneğin, ABD Menkul Kıymetler ve Borsa Komisyonu’nun siber düzenlemeleri, yönetim kurullarını bu büyüyen siber tehditle uyumlu hale getirmek amacıyla “maddi” siber olayların, bir olayın önemliliğinin belirlenmesinden sonraki dört gün içinde ifşa edilmesini zorunlu kılmaktadır. Kararlar aynı zamanda maddi risklerin ve şirketin bunları nasıl yönettiğinin yıllık olarak açıklanmasını da gerektiriyor.
CISO’lar, riski üst düzey yöneticilere ve kurullara iletmek için üzerinde anlaşmaya varılan önemlilik tanımlarını kullanıyor. Bu, kendi kuruluşları için önemliliğin ne anlama geldiğini netleştirmelerine ve siber olayların olasılığını değerlendirmelerine yardımcı olur. Ancak birçok CISO için önemlilik, bir kuruluşun benzersiz siber güvenlik ortamına dayalı olarak yoruma açık, belirsiz bir terim olmaya devam ediyor.
Malzeme Kaybının Endüstri Karşılaştırmalarıyla Belirlenmesi
Önemlilik konusundaki kafa karışıklığının özü, neyin “maddi kayıp” teşkil ettiğinin belirlenmesidir. Bu, başlatılması zor ama önemli bir tartışmadır. Kovrr’un baş risk sorumlusu ve Distinguished ISSA Üyesi Dr. Jack Freund ve Freund-Jorion Siber Önemlilik Buluşsal Yöntemini formüle eden Natalie Jorion tarafından şimdiye kadar yayınlanan en açık sektör tanımı, önemliliği önceki yılın gelirinin %0,01’i olarak değerlendirmektedir; yaklaşık olarak bir baz gelir noktasına eşittir. (Aşağıda göreceğimiz gibi bu, Fortune 1000 şirketlerinin yaklaşık bir saatlik gelirine denk geliyor.)
Kuruluşlar, endüstri kıyaslamalarına göre farklı eşikleri test ederek, maddi siber saldırılara karşı savunmasızlıkları konusunda daha net bir anlayış kazanabilirler. Kovrr yakın zamanda ABD Fortune 1000 şirketlerinin deneyimlemesi beklenen siber olayları modelledi. Her kuruluş, güvenlik kontrollerinden gelen özel olay ve yanıt koleksiyonuna göre analiz edildi ve sektöre göre her olayın olasılığını ve maliyetini ortaya çıkaran bir siber risk ölçümü (CRQ) değerlendirmesi üretildi.
“Fortune 1000 Siber Risk Raporu” Fortune 1000 listesinde yer alan bir şirketin belirli bir eşiği aşan siber kayıp yaşama olasılığını tahmin ediyor. Örneğin model, yaklaşık 1,2 günlük gelir anlamına gelen 50 milyon dolarlık siber kayıp yaşama olasılığını değerlendiriyor. Önemli olmasına rağmen, bu 100 milyon dolarlık bir olay 2,4 günlük gelire, 500 milyon dolarlık bir olay ise neredeyse iki haftalık operasyona tekabül ediyor ki bu da ortalama bir Fortune 1000 şirketi için kuşkusuz maddi bir kayıp.
Bu rakamları bir bağlama oturtmak gerekirse, Fortune 1000’de yer alan bir şirketin ortalama yıllık geliri yaklaşık 15 milyar dolar, günlük geliri ise yaklaşık 41 milyon dolardır. Bu, finansal planlamayı destekleyebilecek model sonuçlarının daha pratik bir yorumudur.
Yukarıdaki grafik, belirli bir sektördeki kuruluşların, tek bir önemli olaydan veya bir kuruluşun siber güvenlik duruşundaki zayıflıklara işaret eden bir dizi küçük olaydan kaynaklanabilecek büyüklüğe göre bir kayıp yaşama olasılığını göstermektedir.
Özellikle, finans ve emlak, perakende ticaret, kamu hizmetleri ile petrol, gaz çıkarma ve madencilik endüstrilerinin tümü, işletmelerine (12 ay içinde) 50 milyon dolardan fazlaya mal olacak siber olayların yaşanma ihtimali %10’dan daha yüksektir (10’da 1). ve maliyetin 100 milyon dolardan fazla olma ihtimali %5’ten fazladır (20’de 1).
Kuruluşun bir günlük gelirine mal olacak bir olayın yaşanma ihtimali 10’da 1 gibi görünse de, olay bir saate indirilseydi bu olasılık çok daha yüksek olurdu.
Özel Olaylardan Korunmak İçin Önemliliğin Tanımlanması
CISO’lar, maddi riske en yatkın iş alanlarında gerekli yatırımları yapmalarına olanak tanıyan önemlilik eşiklerini belirlemek için bir dizi strateji kullanabilir. Keskin tanımlar sayesinde yöneticiler ve siber güvenlik liderleri işbirliği yapabilir ve bir kuruluşun tehdit ortamını doğru şekilde yansıtan veriye dayalı kararlar alabilir.
İlk olarak CISO’lar, hangi olay etkenlerinin kendi sektörlerinde maddi kayba yol açma olasılığının en yüksek olduğunu belirlemelidir. Veri ihlallerinin yüksek maliyeti de dahil olmak üzere genel eğilimler olmasına rağmen, daha ayrıntılı bir değerlendirme yapılması gerekmektedir. Örneğin, olayların ortalama (büyük olasılıkla) maliyetini türe göre gösteren aşağıdaki grafik, şantaj ve hizmet sağlayıcı olaylarının birçok kuruluş için daha yüksek risk taşıdığını ortaya koymaktadır.
Bir CRQ çözümü tarafından sağlanan finansal bilgiler sayesinde CISO’lar, kontrollerin, duruşların ve güvenlik uygulamalarının iyileştirilmesinin faydalarını yönetim kuruluna etkili bir şekilde iletebilir ve önemli olay olasılığındaki ve genel maliyetteki potansiyel azalmayı gösterebilir.
Son olarak, kurumsal riskin sürekli olarak izlenmesi çok önemlidir. Dış tehdit ortamı ve iyileştirme maliyeti düzenli değişikliklere tabidir.
2024 yılı siber güvenlik personeli için en zorlu yıllardan biri olacak olsa da, maddi kayıpları net bir şekilde tanımlayan veriye dayalı bir çerçevenin uygulanması, yönetim kuruluyla daha doğrudan görüşmeleri kolaylaştırabilir ve siber dayanıklılık kültürünü teşvik edebilir.