YORUM
Bu yaz bir Siber saldırı binlerce otomobil bayisinin normal operasyonlarını aksattı Amerika Birleşik Devletleri’nin dört bir yanında, kayıtlardan planlamaya kadar her şeyi etkiliyor, sonu gelmeyen sıkıntılara neden oluyor ve bıkkın satıcı ve müşteri sürülerini akıllarının ucunda bırakıyor.
Bilgisayar korsanlarının başarısının en yeni ve çarpıcı örneği, BT güvenliğinin bir kuruluşun en üst düzeylerinde birinci öncelik olması gerektiğini gösteriyor. Bu modern zaman vebası hiçbir azalma belirtisi göstermiyor. Her başarılı saldırıyla birlikte bilgisayar korsanları daha da cesaretleniyor.
Bu, her şeyi kapsayan bir bültenin kurumsal eşdeğerini gerektiren, topyekun bir saldırıdır. Kısacası siber güvenlik sadece bir BT meselesi değil; bu, başta CEO olmak üzere tüm üst düzey yöneticilerin aktif katılımını gerektiren kritik bir iş riskidir. Bu, arayışın önemini göstermek amacıyla mikro yönetimden yararlanabilecek işletmenin bir alanıdır.
Meslektaşlarım ve ben müşterilerimize düzenli olarak ekiplerine şu üç soruyu sormaları gerektiğini tavsiye ediyoruz: Ne yapıyoruz? Yeterli mi? Nasıl biliyoruz?
Etkili siber güvenlik, harcama ile teknoloji değeri arasında doğru dengeyi, sürekli değerlendirmeyi ve otomasyon ile yapay zeka gibi ileri teknolojilerin benimsenmesini gerektirir. Siber güvenlik savunmalarına yapılan akıllıca yatırımlardan çok az kişi pişmanlık duyuyor.
Siber saldırıların artan sıklığı ve karmaşıklığı, siber güvenliğe yönetici düzeyindeki katılımın ciddiyetinin altını çiziyor. Son zamanlarda yaşananlar örneğin SEC, New York Menkul Kıymetler Borsası’nın ana şirketine 10 milyon dolar para cezası verdi ve meşhur SolarWinds eylemiiş operasyonları ve mevzuata uygunluk üzerindeki ciddi etkiyi göstermektedir. Bu etkinlikler, CEO’ların siber güvenlikteki kritik rollerinin farkına varmalarının gerekliliğini vurguluyor.
Ascension Healthcare’in fidye yazılımı saldırısıDiğer önemli örneklerin yanı sıra, özellikle sağlık alanında konunun aciliyeti konusunda bir ders niteliğindedir. Doktorlar ve eczaneler düzen ve reçete sorunlarıyla boğuşuyordu; bu da hastaların başka yerlerde hizmet araması nedeniyle gelir kaybına yol açtı ve devasa hastane sistemini neredeyse mecazi anlamda dize getirerek personel ve hastalar arasında büyük bir hayal kırıklığına neden oldu. Bu durum, teknoloji uzmanlarının iş operasyonlarını anlama ve işi destekleyen güvenlik önlemlerini uygulama ihtiyacının altını çizdi.
CEO’lar, siber güvenliğin yalnızca devredilecek “teknoloji konuları” değil, yönetim görevlerinin merkezinde yer aldığını anlamalıdır. Mali ve güvenlik raporlamasıyla aynı düzeyde titizlikle iş sonucu odaklı raporlama almaları gerekiyor. Bu raporlama, sistem tarafından oluşturulan ölçümleri kullanarak yukarıdaki üç soruyu yanıtlamalı ve kendilerine zarar vermek için komplo kuran düşmanların giderek daha yıkıcı hale gelen yeteneklerinin önünde kalmak için sonuçları iş kararlarına entegre etmelidir.
CEO’lar organizasyonun tonunu belirler ve sonuçta siber güvenlikten sorumludur. Güvenlik önlemlerini onaylamaları, bunların önemini ortaya çıkarabilir, üst düzey liderlik ekibinin iş hedefleriyle uyumunu sağlayabilir ve yetenekleri yönetim kurullarına iletebilir. CEO’ların siber güvenliğe öncelik vermesi için aşağıdaki adımlar gereklidir:
-
Siber güvenlik planlaması ve müdahalesine katılın: CEO’lar ve yönetici liderlerin siber güvenlik planlaması ve müdahalesine aktif olarak katılmaları gerekiyor. Siber güvenliğin öneminin onaylanması ve anlaşılması, kurumsal bağlılığı artırabilir ve doğru tonu belirleyebilir. Varsayımsal fidye, gasp ve dolandırıcılık olaylarının nasıl ele alınacağına karar vermek, bir olay meydana geldiğinde müdahaleyi hızlandırır.
-
Siber harcamalara yönelik iş analizi yapın: Uygun siber güvenlik yatırımlarını belirlemek için iş analizinden yararlanın. Riskin daha fazla azaltılmasını sağlayan ve harcamaların iş öncelikleriyle uyumlu olmasını sağlayan önleyici teknolojilere odaklanın.
-
Çok faktörlü kimlik doğrulamayı uygulayın: Çok faktörlü kimlik doğrulamanın yerinde ve etkili olduğundan emin olun. Kullanıcıların düşünmeden tıklayabileceği kalitesiz çözümlerden kaçının ve güvenliği artırmak için parola sıfırlamalarda güçlü kimlik doğrulama önlemlerine öncelik verin.
-
Siber güvenlik önlemlerini düzenli olarak gözden geçirin ve değerlendirin: Değerlendirme sonuçlarını sık sık gözden geçirin ve önemli boşlukları giderin. Bu, sürekli tehdide maruz kalma yönetimi için otomasyonun benimsenmesini ve siber güvenliğin iş operasyonlarına entegre edilmesini sağlamayı içerir.
-
Gelişmiş teknolojileri ve sürekli testleri benimseyin: Güvenlik testleri ve güvenlik açıklarını kapatmak için otomasyonu ve gelişmiş teknolojileri benimseyin. Yapay zeka ve diğer teknolojilerdeki gelişmelere ayak uydurarak ortaya çıkan tehditlerin önünde kalın.
-
Bağımsız tavsiye ve uzmanlık isteyin: Nitelikli siber güvenlik danışmanları ve yöneticilerinin işe alınması konusunda iş dünyası liderleri çağrılacak. Kuruluş içindeki siber güvenliğin mevcut durumunu anlamak için üç soruyu kullanın. Güncel tehditlere ve savunmalara ayak uydurmak için bağımsız tavsiye alın. Yönetim kurulu üyelerinin siber güvenlik uzmanlığını diğer temel iş becerileriyle birleştirin veya değerli bilgiler sağlayacak bağımsız danışmanlar kiralayın.
Henüz gerçekleşmemiş olan şey, hem saldırganların hem de savunucuların yapay zeka kullanımının artmasının tam etkisidir. Yapay zeka teknolojisi ilerledikçe kuruluşların siber güvenlik önlemlerinin etkili olduğundan emin olmaları gerekiyor. Yakın zamanda yapılan bir anket BT güvenlik görevlilerinin oranı, yapay zeka kullanımının artmasının daha fazla güvenlik ihlaline yol açacağını, buna karşılık beş kişiden dördünün aynı ihlallere karşı koruma sağlamak için yapay zekayı kullanmayı planladığını ortaya çıkardı. Sistemlerin devam eden karmaşıklığı ve genişleyen yüzey alanı, muhtemelen 2030 yılına kadar siber saldırılarda bir artışa yol açacaktır. Bu, sürekli dikkati, tehdit ve güvenlik açığı yönetimi için otomasyonun benimsenmesini ve siber güvenlik önlemlerinin düzenli olarak gözden geçirilmesini gerektirir. Şirketlerin ayrıca geliştirdikleri yeni yapay zeka destekli sistemleri anlamaları ve bunlara karşı koruma sağlamaları gerekecek.
Siber risk doğası gereği bir iş riskidir ve değerli bilgilerin korunması ve sistem kullanılabilirliğinin sürdürülmesi için etkili siber güvenlik önlemleri gereklidir.
Siber güvenliğin yalnızca BT departmanları tarafından yönetilebileceği iddia edilebilir. Ancak, yönetici düzeyinde katılım olmazsa kuruluşlar önemli iş kesintileri ve düzenleyici cezalarla karşı karşıya kalabilir. CEO’ların kapsamlı koruma sağlamak için siber güvenlikteki rollerini anlamaları gerekiyor.
İş kesintilerine ve düzenleyici cezalara neden olan siber olayların tutarlı yapısı, şirketlerin şu üç soruyu yanıtlayabilmesini sağlamak için CEO katılımının hayati önem taşıdığı sonucunu desteklemektedir: Ne yapıyoruz? Yeterli mi? Nasıl biliyoruz? Risk altındaki iş değerinin ve doğru miktarda korumanın belirlenmesi iş girdisi gerektirir. Şirket liderliği olarak artık teknoloji ekiplerinin sürekli izlemeyi, otomatik testleri ve kuruluş genelinde iş gereksinimlerine uyumu yönetmesini sağlamanın zamanı geldi.