Siber güvenlik yönetim kurullarının öncelikli konuları arasına girmiş durumda. Peki bu gündem uygulamaya ne kadar yansıyor?
Pandeminin başlangıcından bu yana yönetim kurullarının ve şirket yöneticilerinin üzerinde düşünüp karar alması gereken pek çok acil konu ortaya çıktı. Çalışanların işe nasıl katılacakları, hastalanan çalışanların iş yükünün nasıl dağıtılacağı ya da devredileceği, azalan işlerin karlılığı nasıl etkileyeceği gibi konular sıklıkla gündemdeydi. Diğer taraftan artan uzaktan çalışma süreleri başta olmak üzere çevrimiçi hizmetlerden daha fazla yararlanılması bir siber güvenlik riski olarak da karşımıza çıktı.
McKinsey tarafından hazırlanan “Inside the Strategy Room” isimli podcast’te iki siber güvenlik uzmanı, yönetim kurullarının bu alanda neler yapması gerektiğine dair önemli bilgiler paylaştı. McKinsey Yönetim Kurulu Çözümleri Lideri Frithjof Lund, Birleşik Krallık Ulusal Siber Güvenlik Merkezi’nin eski müdürü ve ülkenin sağlık otoritesi NHS’in teknoloji tarafındaki yansıması NHS Digital’in Yönetim Kurulu Üyesi John Noble ile McKinsey’nin CIO’lar’a teknoloji dönüşümü konusunda rehberlik eden ortağı Wolf Richter’in görüşlerini sizler için özetledik.
Siber güvenlik dört öncelikli konudan biri
Yayında McKinsey adına açılışı yapan Frithjof Lund, son yönetim kurulu anketinde katılımcıların siber güvenliği dört öncelikli konu arasına eklediğine dikkat çekiyor. Buna karşın karşılaşılan temel zorluklar sorulduğunda kurul üyelerinin yalnızca 5’te 1’i siber güvenlikten bahsediyor. Wolf Richter’in bu girişin ardından yaklaşımlarda bir değişiklik olup olmadığı sorusunu Richter, eskiden bankalar, sigorta şirketleri, ulusal altyapıyı temsil eden kamusal hizmetler ile kamu kurumlarının siber güvenliğe öncelik verdiğini, buna karşın birkaç yıl önceki WannaCry fidye yazılımı saldırılarından sonra perakende ve imalat sektöründeki şirketlerin de bir farkındalığa sahip olduğunu dile getiriyor.
Siber suçlar başlı başına bir sektöre dönüştü
John Noble, iki noktaya dikkat çekerek sözlerine başlıyor: “Bunların ilki saldırıları gerçekleştiren kişilerin ‘iş modellerinde’ yaptığı değişiklik. Bu, siber suç sektörü olarak tanımlayabileceğimiz bir noktaya evrildi. Güvenlik açıkları suç gruplarıyla paylaşılıyor; ardından bu suç grupları kârın belirli bir yüzdesi karşılığında fidye yazılımları kiralayarak para kazanıyor. Şirketler, dijitalleşme yolunda pek çok adım attı. Son birkaç yılda kritik varlıklarını ve süreçlerini bulut platformlarına tanımlayarak çalışanlarına uzaktan erişim olanağı tanıdı. Ancak sürecin hızlı ilerlemesi nedeniyle prosedürleri test etmek, acil durum planları ve geri dönüş senaryoları oluşturmayı çok azı yapabildi.
Yönetim kurulları, özellikle şirketleri daha az hazırlıklı olanlar nasıl hareket etmeli?
Wolf Richter, yönetim kurulu ve üst düzey yöneticilerin görüşme yapması gerektiğini kaydediyor. Kurulun sorumluluğunun, yönetim ekibinin bir planı olduğuna, hazırlık yaptığına ve tüm organizasyonu bir saldırı olasılığına karşı hazırladığından emin olmak olduğunu belirten Richter, asıl soruların saldırının olup olmayacağı ya da nasıl önleneceği değil, organizasyonun bunu tespit etmeye hazır olup olmadığı, etkileri hafifletip olabildiğince hızlı geri dönüş yapabilme yeteneği olduğuna dikkat çekiyor.
Siber güvenliğin tüm organizasyon için bir sorun olduğunu dile getiren Noble, ister olay öncesinde ister olay sırasında fark etmeksizin konuyu yalnızca CIO’ya ve teknik ekibe bırakmamak gerektiğine vurgu yapıyor.
Siber saldırı gerçekleştiğinde yönetim kurulları ne yapmalı?
John Noble, iletişimin çok önemli olduğunu ifade ediyor. Ulusal Siber Güvenlik Merkezi’nde görev yaparken 800’den fazla olaydan aldığı izlenimin, karşılaşılan muazzam baskı sırasında yöneticilerin yönetim kurulunun desteğine ve rehberliğine ihtiyaç duyduğu yönünde olduğunu kaydediyor. 2017’deki WannaCry vakasının NHS tarafında da büyük etkiye yol açtığını belirten Noble, o dönem elde edilen kazanımın pandemi döneminde bir avantaja dönüştüğünü belirtiyor.
Yönetim kurulları için uyarılar
Yayının sonraki bölümlerinde yönetim kurulları için çeşitli uyarılar da veriliyor. John Noble, genel olarak bir siber saldırı durumunda tepkinin CIO ve teknik ekibe yöneleceğini, bu ekibin yalnız bırakılmasının ise olumsuz sonuçlanabileceğine değiniyor. Bir siber saldırının yalnızca teknik bir meseleden ibaret olmadığına değinen Noble, kurum itibarı, yasal durumlar ve operasyonel konular için tüm üst yönetimin bir araya gelinmesi gerektiğine dikkat çekiyor.
Wolf Richter ise merkezi bir liderlik ekibi olmayan ya da bir kriz sırasında kimin liderlik etmesi gerektiğine dair belirsizlikler olan organizasyonlarda hasarın daha büyük olduğunu vurguluyor. Bu tip bir durumda suçlu bulmanın öne çıktığını belirten Noble, çözümün arka planda kaldığına dikkat çekiyor.
Organizasyonunuzun siber güvenlik yeteneklerini nasıl geliştirebilirsiniz?
Yayındaki belki de en kritik soru, organizasyonun işleyişini ele alıyor. Frithjof Lund, bu duruma yönetim kurullarının odaklanmaları gereken temel alanları da ekliyor. Wolf Richter, ilk önceliğin farkındalık olduğunu vurguluyor ve ekliyor: “Çoğu kurulda yönetim kurulu üyelerinden birinin CIO kademesindeki yönetici olduğunu görebiliyoruz, ancak arada büyük bir kopukluk söz konusu. Hem yönetim ekibi hem de yönetici kadrosunun bu konunun aciliyet gerektirdiğinin farkında olması gerekiyor. Bu, başkalarını etkileyen bir şey değil, organizasyonun dijital dünyadaki yansıması için varoluşsal bir tehdit.”
Richter, farkındalığın ardından kavramları ve araçları geliştirmek gerektiğini ifade ediyor: “Önemli varlıklar ve süreçler kontrol edilmeli. Bunlarla ilgili prosedürler belirlenmiş mi? Bir saldırı durumunda bunların nasıl geri getirileceği belli mi?”. İş bununla sınırlı kalmıyor, Richer, iç inovasyonu engellememesi için uygulanan kontrollerin ve bürokrasinin dengeli olması gerektiğine işaret ediyor. Richter, üçüncü aşamayı ise yetenek gelişimi olarak tanımlıyor: “Özellikle mühendislik ve yüksek teknoloji sektörlerinde güvenlik temalı sorular yönelten müşteriler artıyor. Bu kişilerin bilgi almak için kime başvuracaklarını bilmesi gerekiyor. Siber güvenlik bir ortak yetenek haline geldiğinde tüm organizasyon saldırılara karşı daha dirençli hale gelir.”
John Noble ise fidye yazılımı risklerinden hareketle hemen her kuruluşta eski ya da güncel olmayan ekipman olduğuna dikkat çekiyor. Bunun, saldırganların kullandığı araçlardan biri olduğunu kaydeden Noble, bu tip ekipmanların güvenilmez olarak tanımlanması gerektiğini ve yönetebilmek için ek kontroller koyulması gerektiğini ifade ediyor.
Siber saldırılara hazırlıklı olduğunuzu nasıl ölçersiniz?
Ölçme ve değerlendirme başarı kriterleri arasında yerini alalı uzun zaman oldu. Lund, bu kapsamda, yönetim kurullarının nasıl bir yol izlemesi gerektiğini soruyor. Wolf Richter, bunu ölçmenin birkaç yolu olduğunu ifade ederek sıralıyor: “Belirli bir olaydan kaynaklanan risk altındaki iş değeri ölçülebilir, ancak çoğu şirket ticari etkiyi netleştirecek şeffaf ve güvenilir bir modele sahip değil. Bu durum gereksiz yatırımlara ya da yanlış yönlendirmelere neden olabiliyor. Burada siber güvenlik ekiplerinin dikkatlerini kuruluşu hangi varlıklarına ve bölümlerine odakladıkları önem kazanıyor. Örneğin saha çalışanları ya da müşteri hizmetleri gibi savunmasız çalışan gruplar belirli mi? Kimler ayrıcalıklı kullanıcı hakkına sahip? Kaynaklar kısıtlı ve siber güvenlik yatırımları ile diğer yatırımların sistemler, altyapılar, süreçler ve insanlar açısından dengelenmesi gerekiyor.”
John Noble, bu noktada KPI oranlarına güvenilemeyeceğine vurgu yapıyor. Üçüncü taraflar zorlanmalı diyen Noble, kritik varlıkların sızma testleri, bu testlerin en son ne zaman gerçekleştirildiği, hangi problemleri ortaya çıkardığı ve çözüm önerilerinin neler olduğunun dikkatli bir şekilde ele alınması gerektiğini kaydediyor ve ekliyor: “Tüm bunları yapmadan önce neyin kritik olduğunu ve korunması gerektiğini belirlemeniz gerek.”
İlgili yazının orijinaline McKinsey’nin sitesinden ulaşabilirsiniz.