Uyuyan Güzel’in Siber Güvenlik Dersi: Yönetim Kurullarının Bilmesi Gerekenler

Tıpkı Uyuyan Güzel masalındaki prenses gibi, günümüz dijital dünyasında şirketler de siber tehditlerin karanlığında uzun bir uykuda olabilir. Veri ihlalleri, fidye yazılımları ve diğer saldırılar şirketlerin operasyonlarını durdurabilir, itibarlarını sarsabilir ve büyük finansal kayıplara yol açabilir. Masaldaki prensin “gerçek aşkın öpücüğü” ile prensesi uyandırması gibi, CISO’lar da bilgi ve becerileriyle şirketleri bu uykudan uyandırarak siber güvenliklerini sağlama görevini üstlenir.

Yıl sonu CISO’ların, yönetim kuruluna şirketin siber olgunluk seviyesini, başarılarını, eksikliklerini ve gelecek stratejilerini paylaşma zamanıdır. Artık yalnızca bir BT meselesi olmayan siber güvenlik, tüm organizasyonun stratejik bir önceliği haline gelmiştir. Bu noktada, yönetim kurulu üyeleri de şirketin risklerini ve bu risklerin iş hedeflerine olan etkilerini bilmek istemektedir. Bu yazıda, CISO’ların yıl sonu yönetim kurulu sunumlarını “gerçek aşkın öpücüğü” gibi etkili hale getirebilmeleri için önemli ipuçları paylaşacağız.

Yönetim Kurullarının Siber Güvenlikteki Rol ve Sorumlulukları

Dijitalleşme, bulut bilişim, gelişmiş bağlantı ve yapay zeka gibi teknolojilerin hızla benimsenmesiyle birlikte siber saldırıların sayısının artacağı öngörülüyor. Siber güvenlik uzmanları, çok yönlü ve karmaşık saldırılarla başa çıkmak için günlük operasyonları yürütüyor. Ancak, ileri görüşlü kuruluşların benimsediği gibi, günlük sorunları çözmekle yetinmek yerine, stratejik bir güvenlik planı oluşturarak siber saldırılara karşı daha proaktif bir yaklaşım sergilemeleri gerekiyor. Bu noktada, kuruluşun yönetim kurulu da önemli bir rol oynuyor.

Yönetim kurulları, kuruluşun siber güvenliğinin nasıl sağlanabileceği konusunda yön gösterebilmeleri için, üyelerinin bu alandaki ortamı bilmeleri gerekiyor.

Yönetim kurulu, stratejinin uygulanmasını riske atan tehditlerin belirlenmesinden, değerlendirilmesinden ve işletmenin risk iştahına uygun olarak azaltılmasından sorumludur. Bu sorumluluklar şunları içerir:

  • Siber olayların iş stratejisinin uygulanması üzerindeki riskini anlamak. Örneğin, yönetim kurulu siber risk değerlendirme süreçlerini onaylamalı, siber güvenlik bütçesini belirlemelidir. Ayrıca siber güvenlik politikalarının oluşturulmasına ve uygulanmasına liderlik etmelidir.
  • İşletmenin siber saldırıları önlemek, tespit etmek ve bunlara yanıt vermek için yeterli siber dayanıklılığa sahip olmasını sağlamak. Siber olay durumunda kriz yönetimi planlarını gözden geçirmeli ve şirketin itibarını korumak için gerekli adımları atmalıdır. Ayrıca güvenlik yatırımlarının geri dönüşünü (ROI) değerlendirmeli ve bu yatırımların şirketin stratejik hedeflerine uygunluğunu garanti etmelidir.

Yönetim kurullarının bu sorumlulukları, dünya genelinde farklı regülasyonlar altında da belirtilmeye başlanmıştır. Avrupa Birliği’nin Genel Veri Koruma Yönetmeliği (GDPR), şirketlere kişisel verilerin korunması konusunda önemli yükümlülükler getirirken, yönetim kurullarına da bu konuda gözetim ve hesap verebilirlik sorumluluğu yüklüyor. Türkiye’de ise “Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik” ile nihai sorumluluk yönetim kurullarına verilmiştir.

MADDE 8 – (1) Banka bünyesinde bilgi güvenliğinin sağlanmasında nihai sorumluluk yönetim kuruluna aittir. Yönetim kurulu, bilgi sistemlerine ilişkin güvenlik önlemlerinin uygun düzeye getirilmesi hususunda gerekli kararlılığı göstermekle ve bu amaçla yürütülecek faaliyetlere yönelik olarak yeterli kaynağı tahsis etmekle yükümlüdür. Bu sorumluluk kapsamında yönetim kurulu, banka genelinde uygulanmasını gözetmekle yükümlü olduğu bir bilgi güvenliği yönetim sistemi tesis eder.

Yönetim Kurulu Üyelerinin Siber Güvenlik Hakkında En Çok Merak Ettiği Bilgiler

Yönetim kurulları artık siber güvenliği bir teknoloji problemi değil, iş sürekliliği riski olarak görüyor. Şirketin karşılaştığı riskleri ve bunların işletme üzerindeki potansiyel etkilerini anlamak istiyorlar. Bu nedenle sunumlar, yönetim kurulunun karar alma sürecine değer katacak ve net bir sahiplik anlayışı oluşturacak şekilde yapılandırılmalıdırYönetim Kurulu üyelerinin Siber Güvenlik hakkında en çok merak ettiği bilgiler KPMG raporunda görselleştirilmiştir. Görseldeki ana konu maddelerini baz alarak hazırlıkların yapılması önemli olacaktır.

İletişimin Önemi

Yönetim kurulu üyeleri ve CISO’lar arasındaki etkili iletişim, siber güvenlik stratejilerinin başarısı için kritik öneme sahiptir. Ancak, Harvard Business Review’da yayımlanan bir araştırmaya göre, bu iletişimde önemli eksiklikler bulunmaktadır:

  • İletişim ve Etkileşim Eksikliği: Yönetim kurulu üyelerinin yalnızca %69’u CISO’lar     ile aynı fikirde olduklarını belirtiyor. Yönetim kurullarının yalnızca %47’si CISO’lar ile düzenli olarak etkileşimde bulunuyor ve neredeyse üçte biri CISO’ları yalnızca yönetim kurulu sunumlarında görüyor.
  • Algı Uyumsuzluğu: Yönetim kurulu üyelerinin %65’i kuruluşlarının önemli bir siber saldırı riski altında olduğunu düşünürken, CISO’ların yalnızca %48’i bu görüşü paylaşıyor.
  • İlişkiyi Geliştirme Engelleri: Yönetim kurulu üyeleri ile CISO’lar arasındaki kişisel düzeyde aşinalık eksikliği ile CISO’ların teknik jargonu iş diline çevirmekte zorlanması iletişimi olumsuz etkiliyor.

CISO’ların Yönetim Kurullarına Sunumlarında Karşılaması Gereken Beklentiler

CISO’lar, yönetim kurullarına sunum yaparken, iş hedeflerine odaklanan, riskleri açıkça belirten ve siber güvenlik stratejisinin değerini anlatan bir yaklaşım benimsemelidir. Kurullar, teknik detaylardan ziyade, şirketin karşılaştığı riskleri, bu risklerin iş üzerindeki potansiyel etkilerini ve riskleri azaltmak için alınan önlemleri anlamak isterler.

İşte CISO’ların sunumlarında karşılaması gereken temel beklentiler:

  • Kurulun Önceliklerini Anlamak ve İletişimi Buna Göre Şekillendirmek: Kurullar genellikle iş dünyasından gelirler ve teknik konulara aşina olmayabilirler. Bu nedenle, CISO’lar karmaşık siber güvenlik kavramlarını basit ve anlaşılır bir dille açıklamalıdırlar.
  • Framework Kullanımı: Dünyaca bilinen Framework değerlendirmeleri kullanılarak yönetim kurullarına objektif yaklaşımların gösterilmesi gerekir.
  • Risklere Odaklanmak ve Etkili Bir Risk Yönetimi Anlatısı Sunmak: Kurullar, şirketin karşı karşıya olduğu en önemli siber güvenlik risklerini, bu risklerin potansiyel etkilerini ve riskleri azaltmak için uygulanan stratejileri bilmek isterler.
  • Siber Güvenlik Yatırımlarının Değerini Göstermek: CISO’lar, siber güvenliğe yapılan yatırımların geri dönüşünü ve şirkete nasıl fayda sağladığını net bir şekilde göstermelidirler.
  • Kurulla Düzenli ve Etkili İletişim Kurmak: CISO’lar yönetim kurulu ile düzenli olarak iletişimde kalmalıdır.
  • Diğer Paydaşlarla Uyumlu Çalışmak: CISO’lar, şirketin diğer yöneticileri ve departmanlarıyla iş birliği yaparak siber güvenlik stratejisinin şirketin genel stratejisiyle uyumlu olmasını sağlamalıdırlar.

Bunlara ek olarak teknik jargondan kaçınmak ve kurulun anlayabileceği bir dil kullanmak her zaman önemlidir. Görsel materyaller, sunum şablonları ve örnek olaylar, iletişimi daha etkili hale getirebilir. “Siber güvenlik herkesin işidir” mesajını vurgulamak ve kurul üyelerinin kişisel sorumluluklarını hatırlatmak da önemli olacaktır.

CISO’lar bu beklentileri karşılayarak, kurulun güvenini kazanabilir. Siber güvenlik konularına daha fazla ilgi ve destek sağlayabilir ve şirketlerini olası tehditlere karşı daha iyi koruyabilirler.

Siber güvenlik, günümüzün dijital dünyasında tüm iş süreçlerinin merkezinde yer alıyor. Yönetim kurulları, siber risklerin farkında olmalı ve bu riskleri yönetme konusunda sorumluluk taşımalıdır. Unutulmamalıdır ki, siber güvenlik yalnızca CISO’ların değil, yönetim kurulu üyelerinin de kişisel sorumluluğudur. Şirketin güvenliğini sağlamak ve tehditlere karşı dirençli bir yapı kurmak için birlikte çalışmak zorunludur. Zira siber güvenlik, organizasyondaki herkesin ortak bir görevidir. Tüm çalışanların bilinçli katkısı, güvenlik direncimizi güçlendirir.