Teknolojik gelişmeleri yakından takip eden ve faaliyet gösterilen alanların olası risk kaynaklarındaki değişimleri koklayarak belki de riskin ortaya çıkışından önce aksiyon alabilen bir siber risk profesyoneli, önümüzdeki dönemde bir şirketin sahip olabileceği en önemli insan kaynağı olarak değerlendirilecek ve görüşleri mutlaka yönetim kurulu odalarında daha çok yankılanacak.

Salgının sonuna yaklaşıyoruz ve şirketlerdeki dijitalleşme son hızıyla devam ediyor. Artık evler ofis, bütün dokümanlar bilgisayarlarda ve toplantılar sanal odalarda… Bu hızlı değişim, uzun zamandır talep ediliyor olsa da Kovid-19, süreci inanılmaz hızlandırdı ve gerçek zamanlı uygulamalarla ağırlığını arttırdı. Madalyonun bu harika yüzünün diğer tarafındaysa endişe, değişen riskler ve yüksek finansal kayıplar yer alıyor. Salgının başladığı ilk çeyrek olan 2020’den beri gerçekleşen finansal kayıpların yüzde 250’nin üzerinde arttığı göz önüne alındığında siber riskin uykuları kaçırmasına şaşırmamalı, en çok da yönetim kurullarının.

Balık baştan kokuyor ve risk yönetimi gibi proaktif olmanın en temel kural olduğu bütün süreçlerde başarı ‘ilk düğmenin doğru iliklenmesinden’ başlıyor. Peki üst yönetim gerçekten konuya bu kadar hâkim olmalı mı? Kesinlikle! Elini taşın altına koyup belki de risk yöneticilerinden önce davranmalı mı? Kesinlikle! Siber risk gibi, rüzgârın her an tersine esebileceği dalgalı bir denizde her şeye hazırlıklı olmak mümkün değil ve günün sonunda kazanan en çok teminat sahibi olan değil, risklerini yakından tanıyarak en akıllıca kapsamlı teminatlara rasyonel prim bedelleri ile sahip olan olacak.

Paranın yanı sıra itibar da kaybettiriyor

Her aşamasıyla sınırları iyi çizilmiş ve etkin yönetilen bir çerçeveye ihtiyaç duyan siber risk, etkileriyle sadece finansal kaybı değil, kurumlar için daha yıkıcı etkileri beraberinde getiren itibar kaybına da yol açıyor. Günümüzdeki gibi bilgi aktarımının saniyeler içerisinde gerçekleştiği bir dünyada ise itibar riski, negatif etkisini ışık hızında arttıran kontrol edilmesi zor bir yapıya dönüştü. Bu perspektifle yola çıkıldığında itibar riski yönetiminin mutlaka siber risk yönetiminin ayrılmaz bir parçası olması gerektiğini ve belli durumlarda geleneksel itibar risk yönetim uygulamalarından ayrılarak daha hızlı ve kapsamlı bir çözümler üretebilen bir yapıya kavuşturulması gerektiğini görüyoruz.

Risk yönetiminin literatüre geçen altı temel adımı vardır. Bunlar;

1-Riskin değerlendirilmesi,

2-Riskin önceliklendirilmesi,

3-Kurumsal risk profilinin belirlenmesi,

4-Risk stratejisinin oluşturulması,

5-Risk stratejisinin uygulanması ve

6-Kontroller sonrası kalan riskin belirlenmesi adımlarıdır.

Siber risk yönetimi, bu çerçeve içerisinde olmakla birlikte yeni bir çerçeve kazanıyor ve özellikle siber risk iştahının her adımda yeniden şekillendirilmesi ve bazı durumlarda aynı zamanda yönetim kurulu üyesi de olan CRO (Chief Risk Officer) tarafından yeniden yorumlanmasını gerektirebiliyor.

Reaktif yapı 21. yüzyılda bile oluşmadı

Ancak bu yazıldığı kadar kolay gerçekleştirilemiyor ve siber riske karşı alınması gereken önlemlerin karar ağacına entegrasyonu her zaman kolaylıkla mümkün olamıyor. Tıpkı iklim değişikliği gibi, yakın zamana kadar karar süreçlerine entegrasyonunda gecikmeleri üzülerek gördüğümüz siber riskin, kurumlar tarafından dikkate alınması da salgın dolayısıyla kapsamını genişletmesi ve yüksek kayıpları tetikleyerek hasar belirsizliğini arttırması nedeniyle olmuştu ki bize aslında risk yönetiminin en büyük handikabı olan reaktif yapının ne yazık ki 21. yüzyılda bile hala mevcut olduğunu gösteriyor.

Bu karamsar havaya güneş gibi doğacak farkındalığı yüksek bir yönetim kurulu, şirketin belki de gelecekte de var olup olamayacağını belirleyebilecek. Bu kritik görevi yerine getirmek için birçok farklı yöntem olmakla birlikte icradan bağımsız ve sadece siber riski yönetmekten sorumlu bir yönetim kurulu üyesinin varlığı en etkin çözüm olarak başı çekmekte. Hem bütün risklerden sorumlu bir yönetim kurulu üyesinin hem de sadece siber riskin yönetilmesinden sorumlu bir yönetim kurulu üyesinin beraberinde çıkar çatışmalarını getirebileceğini öngörebiliriz. Ancak siber risk yönetimi, tıpkı aktüeryal risk gibi daha teknik bir eğitime ve daha sofistike ölçüm metotlarına ihtiyaç duymakta. Teknolojik gelişmeleri yakından takip eden ve faaliyet gösterilen alanların olası risk kaynaklarındaki değişimleri koklayarak belki de riskin ortaya çıkışından önce aksiyon alabilen bir siber risk profesyoneli, önümüzdeki dönemde bir şirketin sahip olabileceği en önemli insan kaynağı olarak değerlendirilecek ve görüşleri mutlaka yönetim kurulu odalarında daha çok yankılanacak.

Etkileri bu kadar kapsamlı, yıkıcı ve uzun döneme yayılan siber riskle alakalı bir süre daha her gün yeni bir gündeme uyanacağız. Sadece risk tetikleyicilerinin değil, hasar kapsamının ve teminat potansiyelinin de sürekli değiştiği bir zeminde siber riski yönetebilmek ve kurumların hissedarları tarafından onaylanan seviyelere çekebilmek artık daha fazla beceri gerektiriyor.