CFO Gözünden Siber Güvenlik Yatırımları

Siber saldırılar, günümüzün dijital çağında şirketler için en büyük tehditlerden biri haline gelmiştir. Finansal kurumlar hassas verileri nedeniyle bu saldırıların başlıca hedefidir. CFO’lar artık siber güvenliği sadece bir “maliyet” kalemi olarak değil, iş sürekliliği ve rekabet avantajı sağlayan stratejik bir “yatırım” olarak görmelidir. Siber güvenlik yatırımlarını ihmal eden şirketler, itibar kaybı, finansal zarar ve hatta iflas gibi ciddi sonuçlarla karşılaşabilir.

Bu tehditlerin farkında olan bankacılık sektörü, bilgi teknolojisine, dijital dönüşüme ve siber güvenlik alanlarına büyük yatırımlar yapıyor. Gartner araştırmasına göre, bankacılık sektörünün yılda yaklaşık 650 milyar dolarlık BT harcamasıyla, global çapta 4 trilyon dolarlık bu pastanın önemli bir bölümünü oluşturuyor. McKinsey’in araştırması da bu durumu doğruluyor. Bunlara ek olarak IANS Research tarafından yayımlanmış olan 2024 Security “Budget Benchmark Summary Report” da ise benzer şekilde hem şirket gelirine hem de BT bütçelerine göre siber güvenlik bütçelerinin oransal olarak arttığını göstermektedir. Bankalar, gelirlerinin yaklaşık %6 ila %12’sini BT ve BT ilişkili siber güvenlik yatırımlarına ayırırken, bu oranın diğer sektörlerden çok daha yüksek olduğu görülmektedir.

Bankaların büyüme ve strateji hedeflerini desteklemek için BT’ye yaptığı bu yatırımlar, CIO’ların, CTO’ların, CISO’ların ve diğer BT karar vericilerinin kurum içindeki önemini artırıyor. Bu durum, aynı zamanda bütçe ve ekip yönetiminde de değişiklikler gerektiriyor. Harcama trendlerini ve etkilerini iyi anlayan BT liderleri, daha doğru kararlar alabilecek ve kaynaklarını daha verimli kullanabilecektir. Ancak, artan bu BT yatırımları beraberinde siber güvenlik risklerini de getiriyor. CFO’lar, bu riskleri minimize etmek ve şirketin varlıklarını korumak için siber güvenlik yatırımlarına öncelik vermeli ve bu yatırımları stratejik bir bakış açısıyla değerlendirmelidir.

Bu yazıdaki yaklaşımlar, özellikle banka CFO’ları ve finans sektöründe görev yapmakta olan yöneticiler için, siber güvenlik bütçesi oluşturma sürecinde bir yol haritası sunmaktır. Risk değerlendirmesinden performans ölçümüne kadar oldukça kritik düzeydeki aşamaları ele almaya çalıştığımız bu yol haritasında, kurumların siber tehditler karşısında etkin bir koruma sağlamak için ihtiyaç duyduğu stratejileri ve yatırım alanlarını ortaya koymaktır.

Siber Güvenlik Bütçesi Oluşturma Süreci

Siber güvenlik bütçesinin oluşturulmasındaki ilk adım, kapsamlı bir risk değerlendirmesi yapmaktır. Bu süreçte/adımda, bankanın veya finansal herhangi bir kuruluşun dijital varlıklarını, müşteri verilerini ve finansal sistemlerini tehdit eden potansiyel riskler analiz edilmelidir.

CFO’lar, bu değerlendirme sonucunda en kritik tehditleri anlamakta ve bütçe tahsisini buna göre yapmaktadır. Yapılan değerlendirmede iç ve dış tehditler, veri ihlalleri, fidye (Ransomware) ve zararlı (Malware) yazılımları, sosyal mühendislik saldırıları gibi faktörler göz önünde bulundurulmalıdır. Risklerin realize edilmesi halinde, finansal kuruluşların/bankanın finansal kayıpların yanı sıra, itibar zedelenmesi ve yasal yaptırımlarla da karşılaşma olasılığı değerlendirilmelidir.

Bu risklerin doğru yönetilebilmesi için, kapsamlı bir risk değerlendirmesini destekleyen temel adımların atılması gereklidir. Varlık envanterinin çıkarılması, tehdit analizinin yapılması ve zafiyetlerin tespit edilmesi gibi adımlar, riskleri somutlaştırmak ve etkili bir şekilde önceliklendirmek için kritik öneme sahiptir.

●  Varlık Envanteri: Bankanın tüm dijital varlıklarının ve sistemlerinin kapsamlı bir listesi oluşturulur.

●  Tehdit Analizi: Potansiyel siber tehditleri ve bunların olası etkileri değerlendirilir.

●  Zafiyet Taraması: Mevcut sistemlerdeki güvenlik açıkları tespit edilir ve önceliklendirilir.

●  Risk Matrisi Oluşturma: Tespit edilen riskler, olasılık ve etki düzeylerine göre sınıflandırılır.

Uygulama ve Sistem Güvenliği

Bankaların/kuruluşların finansal sistem güvenliği, siber güvenlik bütçesinin en önemli bileşenlerinden biri olarak ele alınmaktadır. Günümüzde CFO’lar, çok katmanlı güvenlik yaklaşımını mutlak suretle benimsemelidir. Bu yaklaşım içerisinde uygulama güvenliği, ağ güvenliği, veri şifreleme ve güçlü kimlik doğrulama (2FA, MFA vs.) sistemleri yer almaktadır.

  • Uygulama güvenliğini ve uygulamaların güvenliğini sağlamak için, güncel ve güvenli yazılımlar kullanılmalı ve düzenli olarak test edilmelidir.
  • Ağ güvenliği açısından, gelişmiş güvenlik duvarları (Firewall, Nextgen Firewall vb.), sanal özel ağlar (VPN) ve saldırı tespit/önleme sistemleri (IDS/IPS) gibi teknolojilere yatırım yapılmalıdır. Veri şifreleme hususu ise, hem stabil hem dinamik durumdaki verilerin korunması hem de finansal kuruluşların bağlı oldukları mevzuata/mevzuatlara uyum sağlanması yönünden oldukça kritik bir öneme sahiptir.
  • Çok faktörlü kimlik doğrulama (MFA) ve biyometrik sistemler gibi güçlü kimlik doğrulama çözümlerinin/tekniklerinin tesis edilmesi, yetkisiz erişimleri önlemek adına finansal kuruluşlar/bankalar için vazgeçilmez olduğu aşikardır.

Yasal ve Düzenleyici Uyumluluk

Finans sektöründe faaliyet gösteren kurumlar/kuruluşlar için yasal ve düzenleyici uyumluluk, siber güvenlik bütçesinin önemli bir bölümünü oluşturmaktadır. Günümüzde CFO’lar, PCI DSS (Ödeme Kartı Endüstrisi Veri Güvenliği Standardı), GDPR (Genel Veri Koruma Yönetmeliği), DORA (Dijital Operasyonel Dayanıklılık Yasası), KVKK (Kişisel Verilerin Korunması Kanunu), SPK (Sermaye Piyasası Kurulu) ve BDDK (Bankacılık Düzenleme ve Denetleme Kurumu) gibi yerel ve uluslararası düzenlemelere/yasalara uyum sağlamak için gerekli kaynakları tahsis etmeleri gerekliliği kaçınılmazdır.

Uyumluluk çalışmaları, düzenli denetimler, veri koruma süreçlerinin iyileştirilmesi, personel eğitimleri ve gerekli teknolojik altyapının kurulmasını kapsamaktadır. Ayrıca, düzenleyici gereksinimlerdeki değişiklikleri takip etmek ve bunlara hızlı bir şekilde adapte olabilmek için esnek bir bütçe planlaması yapılmalıdır. Uyum sağlanmadığı durumlarda ortaya çıkması kaçınılmaz olan ceza ve itibar kaybı gibi hususlar göz önüne alındığında, bu alana yapılan yatırımların hayati önem taşıdığı görülmektedir.

Türkiye’deki düzenlemelere uyum sağlanmadığı durumda, kurumlar ciddi cezalarla karşılaşabilirler. KVKK (Kişisel Verilerin Korunması Kanunu) kapsamında, kişisel verilerin hukuka aykırı olarak işlenmesi, aktarılması veya güvenliğinin sağlanmaması durumunda kurumlara idari para cezaları verilebilmektedir. Ayrıca, veri ihlalleri sonucunda kişilerin maddi ve manevi zararlarının tazmini de gündeme gelebilir.

BDDK (Bankacılık Düzenleme ve Denetleme Kurumu) ise bankacılık sektöründe faaliyet gösteren kurumların uyum sağlaması gereken birçok yönetmelik ve tebliğ yayımlamaktadır. Bu düzenlemelere aykırı hareket eden kurumlar, faaliyet izinlerinin iptali veya ağır idari para cezaları gibi yaptırımlarla karşılaşabilirler.

Siber sigorta, kurumların siber risklere karşı finansal olarak korunmasını sağlayan önemli bir araçtır. Siber saldırılar, veri ihlalleri ve iş kesintileri gibi olayların finansal etkilerini minimize etmek için siber sigorta poliçeleri giderek daha fazla tercih edilmektedir. Bu poliçeler, uyumluluk yükümlülüklerinin yerine getirilmesinde de destekleyici bir rol oynayarak, olası cezai yaptırımların ve itibar kaybının etkisini azaltabilir.

Eğitim ve Farkındalık Programları

Siber güvenlik tehditlerine karşı en zayıf halka genellikle insan faktörüdür. Bu nedenle, dijital rönesansın ve buna müteakip siber saldırı metotlarındaki çeşitlilikte artışın yaşandığı günümüzde CFO’lar, muhakkak bütçede çalışanların eğitimi ve farkındalık programlarına yer vermelidir. Bu programlar, sosyal mühendislik saldırılarına karşı savunma, güvenli internet kullanımı, doğru reaksiyon, veri koruma politikaları ve olay raporlama prosedürleri gibi konuları kapsamalıdır.

Eğitim programları, interaktif online kurslar, simülasyon tabanlı eğitimler, düzenli güvenlik bültenleri ve kurum içi seminerler gibi çeşitli formatlarda düzenlenebilir. Ayrıca, üst düzey yöneticiler için özel olarak tasarlanmış ileri düzey siber güvenlik eğitimleri de bütçeye dahil edilerek bütünsel bakış açısı benimsenmelidir. Eğitim etkinliğinin ölçülmesi ve sürekli iyileştirme için periyodik değerlendirmeler yapılması da önemlidir.

●  Temel Siber Güvenlik Eğitimi: Tüm çalışanlar için zorunlu, temel siber güvenlik konseptlerini, günümüz saldırı tekniklerini hakkında bilgilendirici ve en iyi uygulamaları kapsayan eğitim programı.

●  Sosyal Mühendislik Simülasyonları: Çalışanların gerçek dünya senaryolarıyla karşılaşmasını sağlayan interaktif (etkileşimli) simülasyon eğitimleri.

●  Departmana Özel Eğitimler: IT, finans, müşteri hizmetleri gibi farklı departmanların spesifik ihtiyaçlarına yönelik özelleştirilmiş, hedef odaklı eğitim modülleri.

●  Yönetici Seviyesinde Siber Risk Yönetimi: Üst düzey yöneticiler için stratejik siber risk yönetimi ve kriz yönetimi odaklı ileri düzey eğitimler.

Siber Güvenlik Yatırımları ve Teknolojik Altyapı

Güçlü bir siber güvenlik altyapısı oluşturmak için sürekli teknolojik yatırım yapmak gerekmektedir. Cari dönemde CFO’lar, bu alanda yapılacak harcamaları/yatırımları planlarken, mevcut sistemlerin güncellenmesi, yeni teknolojilerin entegrasyonu ve gelecekteki tehditlere karşı hazırlıklı olma dengesini gözetmelidir. Yatırım yapılması gereken temel alanlar arasında ise gelişmiş antivirüs ve anti-malware çözümleri, yeni nesil güvenlik duvarları, yapay zeka destekli tehdit istihbaratı sistemleri ve veri güvenliği çözümleri yer almalıdır.

İzleme ve Olay Müdahale

Etkin bir siber güvenlik stratejisinin temel taşlarından biri, 7/24 izleme faaliyetine ve hızlı olay müdahale yeteneklerine sahip olmaktır. Kurum ve kuruluşlarda görev yapan CFO’lar, bu kritik operasyonel faaliyetler için bütçede kaynak sağlıyor olmalıdırlar. Bu, kurum/kuruluş içerisinde özel bir Siber Güvenlik Operasyon Merkezi (SOC) kurulmasını veya dış kaynaklı (outsource) bir SOC hizmetinin satın alınmasını içerebilir.

İzleme sistemleri, ağ üzerindeki hareketleri ve kullanıcıların yaptıklarını sürekli olarak inceleyerek, şüpheli durumları ve olası tehditleri erkenden tespit etmelidir. Olay müdahale ekipleri ise, tespit edilen tehditlere hızlı ve etkili bir şekilde müdahale edebilmek için gerekli araçlara, eğitime ve yetkilere sahip olmalıdır. Ayrıca, düzenli olarak yapılacak tatbikatlar ve simülasyonlar, ekibin hazırlık düzeyini artırmak için önemlidir.

Şirketlerin siber güvenlik bütçelerini artırmalarının ardındaki temel nedenleri gösteren bu grafik, yaşanan olay veya ihlallerin bütçe artışında en etkili faktör olduğunu ortaya koyuyor. Risk iştahındaki değişiklikler de aynı oranda etkili olurken, tipik yıllık değişimler daha düşük bir oranda bütçe artışına yol açıyor. Görsel, şirketlerin siber güvenlik yatırımlarını proaktif olarak ele almaları ve özellikle olay/ihlal ve risk iştahı gibi kritik faktörlere dikkat etmeleri gerektiğini göstermektedir.

Bütçe İzleme ve Performans Ölçümü

Siber güvenlik yatırımlarının etkinliğini değerlendirmek ve bütçeyi optimize etmek için sürekli izleme ve performans ölçümünü gerçekleştirmek oldukça önemlidir. CFO’lar, siber güvenlik harcamalarının bankanın veya finansal kuruluşun/kurumun genel stratejik hedefleriyle uyumlu olup olmadığını düzenli olarak değerlendirmelidir. Bu süreç, yatırım getirisi (ROI) analizlerini, risk azaltma ölçümlerini ve anahtar performans göstergelerinin (KPI) takibini içermektedir.

Bu bağlamda ise performans ölçümünde kullanılabilecek bazı metrikler şunlardır:

●  Sigorta Primlerindeki İndirim

●  Siber Güvenlik sebebiyle Operasyonel Kesintilerdeki Azalma

●  Bilgi Güvenliği farkındalık metrikleri

●  BT Harcamalarının Yüzdesi Olarak Bütçe

●  Yıllık Gelirin Yüzdesi Olarak Bütçe

●  Çalışan Başına Güvenlik Bütçesi

●  Çalışan Başına Güvenlik Personeli Sayısı

●  BT Personeli Başına Güvenlik Personeli Sayısı

Ayrıca, düzenli olarak yapılacak bağımsız güvenlik değerlendirmeleri ve testleri, kurumların siber güvenlik durumunu ölçmek ve iyileştirmek için önemlidir.

Sonuç

CFO’ların beklentileri ve şirket stratejisine katkıları göz önünde bulundurulduğunda, siber güvenlik yatırımlarının önemi daha da belirginleşmektedir. Bain&Company blog yazısına göre, CFO’lar yönetim kurullarından strateji, performans yönetimi ve risk yönetimi konularında daha fazla katkı beklemektedir. Bu beklentiler doğrultusunda, CFO’ların siber güvenlik risklerini proaktif olarak yönetmeleri ve şirketin uzun vadeli stratejilerine uygun yatırımlar yapmaları beklenmektedir.

Bu bilgiler doğrultusunda, CFO’lar gelecek dönem bütçe planlamasında stratejik bir yaklaşım benimseyerek kaynakları en yüksek riskleri azaltacak ve kuruma/kuruluşa en büyük koruma sağlayacak alanlara yönlendirmeyi hedefleyebilir. CFO’lar ve CISO’lar arasındaki iş birliğini güçlendirmek, siber güvenlik stratejilerinin etkinliğini artırmada kritik bir rol oynar. Gartner’ın bu konudaki önerileri, CFO’ların CISO’larla daha verimli bir şekilde çalışmasına ve siber güvenlik yatırımlarından en iyi şekilde faydalanmasına yardımcı olabilir.

Siber güvenlik yatırımlarının etkinliğini artırmak için performans göstergelerini düzenli olarak takip etmeleri ve yatırımların kurumun genel finansal hedefleriyle uyumlu olup olmadığını değerlendirmeleri gerekmektedir. Ayrıca, siber güvenlik stratejisini dinamik bir yapıya kavuşturarak değişen tehditlere karşı esneklik sağlamaları önemlidir. Bu sayede, CFO’lar kurumlarının/kuruluşlarının siber dayanıklılığını ve esnekliğini güçlendirici, uzun vadeli güvenlik hedeflerini destekleyen etkili, sürdürülebilir bütçeler oluşturabilirler.