Siber riskte artan farkındalığın kurumların sırtına yüklediği iş yükü ve siber riski azaltan çözümlerin günden güne artan finansal maliyetleri, akıllara hemen acaba siber riskin olması gerekenden daha çok mu abartılıyor olduğu sorusunu getiriyor. Aslında kurumlar yel değirmenlerine mi karşı savaşıyor ya da gelen küresel felaketi görüp erken önlem almak isteyen mesihler mi?
Yapılan araştırmalar, salgın nedeniyle değişen yaşam ve çalışma koşullarımızın sahip olduğumuz siber riske maruz kalma olasılığını yüzde 600 arttırdığını gösteriyor. Bu inanılmaz bir sıçrama! Bu artışta başı çeken etkenler; fiziksel kontrol yapılarından uzaklaşmamız, birçok veriye online ulaşabilmemiz ve ekonomik faaliyetlerin artık tam bir entegrasyon içinde bir arada ve yüksek etkileşimle gerçekleştiriliyor olması. Bir adımın riski, bütün sistemin riski haline gelirken karar süreçlerimizin yaratabileceği etki, hayal dünyamızı zorlayabiliyor.
Bu zor ortam; sadece risk yönetim fonksiyonlarının değil, iş süreci sahiplerinin de alarm düzeyini arttırmaları ve riskleri irdelemede daha proaktif davranmak zorunda olmaları anlamına geliyor. Yükselen endişe de beraberinde daha tetikte bir yapıyı getiriyor.
Peki siber risk abartılıyor mu ya da konuşulan konuşulması gerekenin onda biri mi?
Siber riskte artan farkındalığın kurumların sırtına yüklediği iş yükü ve siber riski azaltan çözümlerin günden güne artan finansal maliyetleri, akıllara hemen acaba siber riskin olması gerekenden daha çok mu abartılıyor olduğu sorusunu getiriyor. Aslında kurumlar yel değirmenlerine mi karşı savaşıyor ya da gelen küresel felaketi görüp erken önlem almak isteyen mesihler mi? Bu sorunun cevabı uzun yıllar önce verildi ve günümüzde siber riski gerektiği kadar ciddiye al(a)mayan her kurum veya kişi kendini birden ölü şirketler mezarlığında buluverebiliyor. Peki bu meşakkatli yol nasıl başlıyor? Mevcut farkındalığını arttırmak isteyen ya da bunu sıfırdan yaratmak isteyen bir kurum neler yapmalı?
Hala en etkili yöntem yemleme yani phishing
Bu stratejik öneme sahip sorunun öncelikle verilebilecek cevap, siber risk yönetiminin aslında kitaplar üzerinde başladığı olabilir. Çünkü bu çok boyutlu faaliyet, öncelikle bir regülasyon takibi ve regülatif yapıdaki en ufak bir nüansın bile siber riskin kapsamında yapabileceği değişiklikleri sezebilme yeteneğine sahip uzmanlar ‘up&running’ dediğimiz işleyen bir siber risk yönetiminin öncelikli koşulu. Günümüzün birbirine her geçen ve gün daha fazla entegre olan piyasalarında iş bununla bitmiyor. Artık en küçük şirketler bile kendi çaplarında farklı ülkelerin piyasalarında faaliyet gösterebiliyor ve bu ülkelerde geçerli farklı siber risk kanunlarına uyumlarını garanti altına almaları gerekiyor. Bu girift yapı da risk yönetimi fonksiyonunun siber risk saldırılarını önlemedeki rolünü daha da önemli hale getiriyor.
Siber risk saldırı türleri çeşitlenmeye devam etse de halen en çok kullanılan ve en etkili yöntem yemleme yani phishing yöntemi. Çalışan tarafından tıklanan bir linkin kolayca şirketin arka kapısı haline geldiği bu yöntemi engellemenin en kolay yolu ise yazının da başlığı olan farkındalık. Teknolojik okuryazarlığın arttırılması, iletilen e-postaların kaynaklarının sorgulanmasının sağlanması ve olabilecek veri sızıntılarının engellenmesi süreci ancak siber riskle alakalı kurum genelinde farkındalığın arttırılmasıyla mümkün.
“Ne bilmediğimi bilmiyorum”
Bu aşamada iç kaynaklarla hazırlanan ve hayata geçirilen siber risk politikalarından çalışanların haberdar edilmeleri, mevcut bilgi seviyelerinin düzenlenen eğitimlerle güncellenmesi ve geliştirilmesi ise alınması gereken diğer aksiyonlar arasında yer alıyor. Bu eğitimlerin diğer bir olumlu etkisi ise siber riskin çalışanların üzerinde oluşturduğu stresi azaltması ve ne yaptığını bilen bir insan kaynakları yapısının oluşmasına zemin hazırlaması. Yapılan araştırmalar sosyal medyada hızla yayılan veri sızıntısı haberlerinin ilgili şirkette olmasa bile özellikle sızıntının gerçekleştiği sektördeki çalışanlar üzerindeki olumsuz etkisini ortaya koyuyor ve böyle bir bilinmezlik ortamının farklı saldırı türlerine de zemin hazırlayabileceğinin altını çiziyor.
Şirket yapısı içerisindeki farkındalığın mutlaka yönetim kurulu, hissedarlar ve üst yönetim için de geliştirilmesi, olabilecek kayıplara karşı bir maliyet planlamasının gerçekleştirilmesi ve mevcut faaliyetlerin siber riske karşı kullanılabilecek önlemler de dikkate alınarak fiyatlanması gibi aksiyonlar ise bu önemli görevdeki sürdürülebilir olmasını sağlıyor. Siber risk özelinde risk yönetiminin en az olgunlaşmış aşaması olan ‘ne bilmediğimi bilmiyorum’ safhasında olduğumuzu dikkate alırsak kat etmemiz gereken yolun uzunluğu ve zorluğu bir kez daha ortaya çıkıyor.