YORUM
İş riskleri, operasyonel ve stratejik risklerden finansal, yasal ve uyumluluk risklerine kadar birçok örtüşen kategoriyi kapsar. Yine de her kategori aşağıdakilerden etkilenir: siber riskler bir şekilde. Ekipman arızaları ve tedarik zinciri kesintileri gibi operasyonel sorunlar, BT ağlarını kesintiye uğratan bir siber saldırının risklerini içermelidir. Benzer şekilde, CFO ofisi kredi risklerini, yatırım kayıplarını ve nakit akışı sorunlarını yönetir. Ancak finans ekibi ayrıca fidye yazılımı saldırılarından kaynaklanan devam eden finansal kayıp tehditlerini veya özel müşteri verileri İnternet’e sızdırıldığında itibarın zarar görmesini de tanımalıdır.
Pazar araştırmaları siber güvenliğin finansal performansın temel bir göstergesi olduğunu defalarca göstermiştir. Aslında, gelişmiş siber güvenlik performansına sahip şirketler, temel siber güvenlik performansına sahip akranlarına kıyasla %372 daha yüksek hissedar getirisi yaratmaktadır. Buna göre yakın tarihli bir rapor Bitsight ve Diligent’ın dünya çapında halka açık endekslerde yer alan 4.000’den fazla orta ve büyük ölçekli şirketi analiz ettiği bir çalışma.
Neredeyse tüm baş bilgi güvenliği görevlileri (CISO’lar) ve güvenlik liderleri, gelişmiş siber saldırılara karşı savunma stratejilerinin bir parçası olarak yapay zekayı benimsiyor. CISO’ların dörtte üçünden fazlası (%78) güvenlik ekiplerine yardımcı olmak için yapay zekayı kullanıyor, %20’si ise benimsemeden önce daha güçlü modeller ve daha iyi yapay zeka güvenlik araçları bekliyor, Bugcrowd’un “Bir CISO’nun Zihninin İçinde 2024” rapor.
Küresel anket, CISO’ların %91’inin AI’nın güvenlik uzmanlarından daha iyi performans gösterdiğine veya gelecekte göstereceğine inandığını, %76’sının ise AI tehdit ortamının yeterli güvenliği sağlamak için çok hızlı bir şekilde evrildiğini düşündüğünü ortaya koydu. Ancak CISO’lar AI’nın riskleri hakkında karışık duygular dile getirdi. Yarısından fazlası AI’nın risklerinin faydalarından daha büyük olduğunu söylerken (%58), %42’si bu konuda henüz bir fikir birliğinin olmadığını belirtti.
Elbette, siber risk yalnızca teknik korumalarla çözülebilecek bir teknoloji sorunundan daha fazlasıdır. Çözüm ayrıca insanların ve politikaların önceden hazırlıklar yaparak öngörülemeyen olayları tahmin etmesini ve önlemesini gerektirir. Siber riskler, önemli iş kararları üzerinde zararlı etkilere sahip olabilir. birleşme ve satın almalartedarik zinciri ortaklıkları ve üçüncü taraf tedarikçi işlemleri. Bu nedenle liderlerin finans, satış, pazarlama ve insan kaynakları gibi daha az teknik rollerdeki meslektaşları arasında siber risk yönetimi konusunda farkındalık yaratmaları çok önemlidir.
Siber Güvenlik Uygulamaları Daha İyi İş Performansı Sağlar
İşletmelerin siber risk yönetimini, genel risk yönetimi çerçevelerinin bir parçası olarak yönetilen temel bir protokole yükseltmesinin zamanı geldi. Tüm bunlar, karmaşık teknik tehditlerin, C-suite ve yönetim kurulu üyelerini güvenliğe yatırım yapmaya motive edecek net finansal acil durum planlarına dönüştürülmesini gerektiriyor.
İyileştirme dürtüsü siber farkındalık eğitimi ve güvenliği artırmak, sağlık ve finansal hizmetler gibi sıkı bir şekilde düzenlenen sektörlerde en yaygın olanıdır. Bu sektörler için, uyumsuzluk ağır para cezalarına, cezalara, davalara yol açabilir ve marka itibarına zarar verebilir.
Sıkı kurallarla karşı karşıya kalan bu sektörler, genellikle siber programları ve en iyi uygulamaları diğer sektörlerden daha hızlı benimserler çünkü risklerini yönetmeye aşinadırlar ve bu konuda daha iyidirler. İç kültürleri, sağlık hizmeti sağlayıcıları için Sağlık Sigortası Taşınabilirliği ve Hesap Verebilirlik Yasası (HIPAA) veri gizliliği kuralları gibi belirli düzenleyici gerekliliklere uyumu sağlamalarını gerektirir. Bu tür firmalar için siber riskin muhasebeleştirilmesi, listede işaretlenmesi gereken bir uyumluluk gerekliliğinden başka bir şeydir.
Benzer şekilde, düzenli denetim komitesi toplantıları düzenleyen şirketler, siber riskleri bir uyumluluk sorunu olarak yönetmeye daha elverişli bir kültüre sahiptir. Düzenli raporlama kadanslarını ve altyapılarını kullanarak siberi düzenleyici uyumluluk ve iş riski konularının daha geniş tartışmasına dahil ederler. Düzenlenen endüstriler en yüksek siber güvenlik derecelendirmelerine sahiptir ve Bitsight raporuna göre, uzmanlaşmış bir risk komitesi veya denetim komitesi olan şirketler, her ikisine de sahip olmayanlara kıyasla daha iyi siber güvenlik performansı elde eder.
Akıllı Siber Risk Yönetimini Desteklemek Faydalıdır
Siber olaylar, iş operasyonları, işgücü verimliliği, müşteri memnuniyeti ve marka itibarı üzerinde kalıcı etkilere sahip olabilir. Tüm bu nedenlerden dolayı, güvenlik yalnızca CISO veya güvenlik operasyon merkezi (SOC) ekibinin değil, tüm kuruluşun sorumluluğunda olmalıdır. Herkes, kuruluşun bilgilerini ve BT altyapısını koruma taahhüdünü paylaşmalıdır, çünkü müşterilerinin ve ortaklarının beklentisi budur.
Bunu yapmak için, iş liderlerinin bu siber riskleri tıpkı diğer iş risklerini yönettikleri gibi tanımaları ve yönetmeleri gerekir. Siber saldırılardan kaynaklanan doğrudan maliyetler, kaybolan verileri kurtarmak ve tehlikeye atılmış sistemleri onarmak için veri kurtarma ve düzeltmeyi içerebilir. Önleyici tedbirlere yatırım yapma kararının, başarılı bir siber saldırının ardından sonuçlarıyla ilgilenmekten çok daha uygun maliyetli olduğu kanıtlanmıştır.
İş liderleri olarak, günlük olarak kaynakları önceliklendirmemiz isteniyor – bütçeler, insanlar ve tesisler için – işimize sağladıkları getirilere göre. Siber programlara ve en iyi uygulamalara yatırım yapmak, bir iş kolaylaştırıcı ve kuvvet çarpanı olarak görülmelidir. Sonuçta, bu yatırımlar, işi korumanın yanı sıra müşteri güvenini oluşturarak ve koruyarak şirkette gelir büyümesini yönlendirmeye yardımcı olabilir. Günümüzün risk ortamında, CISO, C-suite’in geri kalanıyla eşit seviyede olacak şekilde yükseltilmelidir ve CEO’ya doğrudan bağlı bir kişi — rolün stratejik iş öneminin göstergesi.
Sağlam bir siber risk yönetimi stratejisi, olası bir saldırıdan kaynaklanabilecek tüm iş etkilerinin dikkatlice analiz edilmesine ve ilgili azaltma maliyetleri ile eylemde bulunmamanın maliyetleri arasındaki farkın tahmin edilmesine dayanır. Sonuç olarak, tüm risk yönetiminde olduğu gibi, bu süreç temel bir dolar ve sentlik finansal karara dayanır.
En son haberleri kaçırmayın Karanlık Okuma Gizli podcast, Iowa’nın Dallas County bölgesinde kalem testi işlerini yaptıkları için tutuklanan ve geceyi hapishanede geçirmek zorunda kalan iki siber güvenlik uzmanıyla konuşuyoruz. Şimdi dinle!
