Son yıllarda dijital alanlarda meydana gelen değişiklikler, birçok kuruluş için bilişim teknolojisi (BT) riskinde keskin bir artışa yol açmıştır. Bulutun benimsenmesi, dijital süreçler, uzaktan çalışma ve üçüncü taraf ilişkilerinin önemli ölçüde artmasıyla birlikte artık yeni, karmaşık ve genişletilmiş tehdit ortamları vardır, ancak kötü aktörler de bunlardan yararlanmaya can atıyor. Ve tüm kuruluşlar riskle başa çıkmak için yeterince hazırlıklı değildir. İşte bu yazıda, liderliğin riske bakış açısının uyum işlevini nasıl renklendirdiği anlatılıyor.
IBM ve Ponemon Institute’ye göre siber güvenlik ekiplerinin bir veri ihlalini tespit etmesi ve kontrol altına alması ortalama 277 gün sürüyor, bu nedenle bir şirketin görünürlükten yoksun olduğu veya aktif olarak yanıt veremediği her saniye, kötü aktörlere önemli hasara neden olma şansı veriyor. Bu nedenle, riski görme, azaltma, anlama ve riske göre hareket etme konusunda proaktif bir yaklaşım, güvenliğin etkinliğini ve dolayısıyla siber uyumluluğu iyileştirmenin anahtarıdır.
Ancak risk, tüm kuruluşlarda aynı şekilde ele alınmaz ve hatta görülmez ve bu farklılıkların çeşitli paydaşlar için sonuçları olabilir. Siber risk söz konusu olduğunda, ayrıntılar bakanın gözündedir.
Gül renkli gözlükler ve at gözlüğü (rose-colored glasses and blinders)
Forrester’e göre güvenlik liderlerinin yalnızca %35’i uyumluluğun işlerinde doğru odaklanmayı ve davranışları yönlendirdiğine inanıyor. Bu kopukluğun giderilmesi gerekir, daha iyi risk değerlendirmeleri de buna bir cevaptır. Liderler, uyumluluğun önce risk zihniyetiyle desteklenmesi gerektiğinin farkındadır. Güvenlik liderlerinin %59’u, risk yönetimini uyumun neredeyse iki katı kadar bir iş önceliği olarak göstererek risk teknolojisine yapılan yatırımı artırmayı planlıyor.
Bazı şirketler uyumluluk düzenlemelerine bağlı kalmanın bir kuruluşu korumak için yeterli olduğunu düşünür. Bu, bazı şanslı kuruluşlar için doğru olsa da, bu yaklaşım, güvenlik liderliğinin gerektirdiği mevcut tehdit ortamı kadar kapsamlı değildir.
Evet, düzenlemeler ve politika değişiklikleri güçlü bir uyumluluk programının temelini oluşturur ve süreci dijitalleştirmenin ve otomatikleştirmenin yolları vardır. Belirli pazarlarda, bölgelerde ve ekonomik koşullarda baş gösteren tehditleri tahmin etmek, bilgi güvenliği liderlerinin ve bilgi güvenliği şeflerinin (chief information security officers; CISOs) proaktif ve çevik risk yönetimi programları yönetmesine yardımcı olacaktır. Kuruluşlarının risk alma iştahını göz önünde bulundurmadan yalnızca uyumluluğa imza atan liderler, riskin tam resmini kaçıracaklardır. Güvenliğin bu yönünü kabul etmemek, gül renkli gözlükler takmaya veya daha da kötüsü, şirketleri etkileyen güvenlik açıklarını örten at gözlüğü takmaya benzer.
Bu, önce uyum yaklaşımının yanlış olduğu anlamına gelmez. Bununla birlikte, mevcut uyumluluk faaliyetlerini risk temelli bir yaklaşımla desteklemek, programı işletmelerini çevreleyen çok gerçek ve yakın tehditlere dayandırır. Örneğin, bir şirket Almanya’ya açılmak istiyorsa, önce uyum yaklaşımı muhtemelen Avrupa Birliği Genel Veri Koruma Yönetmeliği’nin (General Data Protection Regulation-GDPR) bir boşluk analizini içerecektir. Buna karşılık, önce risk yaklaşımı, Almanya genişlemesi ile ilgili kapsamdaki benzersiz tehditleri, güvenlik açıklarını, süreçleri, politikaları ve üçüncü taraf sağlayıcıları belirleyerek başlar. Ardından, her birinin etkisi ve olasılığı değerlendirilir ve söz konusu riski azaltmak için tamamlayıcı kontroller belirlenir.
Büyüteçler (magnifying glasses)
Risk ve uyum yelpazesinin diğer ucunda, bazı liderler büyüteç kullanır. Bu tür bir lider, genel olarak risk programlarının ayrıntılarına ve analizine gömülür, çünkü riski azaltmak için bütünsel olarak ne yapıldığını anlamazlar. Büyüteç kullanıcıları, uyumluluğa yaklaşımlarında ayrıntılı olma konusunda harikadır, ancak riskin işletmeyi nasıl etkilediğine ve paydaş yatırımının akıllıca kullanılmasını sağlamak için riskten nasıl yararlanılabileceğine ilişkin tam görüşü genellikle kaçırırlar.
Riske büyüteç ile yaklaşmak genellikle risk azaltma faaliyetlerine olan güven eksikliğinden kaynaklanır ve bu da karşılanmayan hedeflere ve kaynakların israf edilmesine yol açar. Uyumluluk ekibi için de son derece sıkıcı olabilir. Büyük resim yerine ayrıntılara öncelik vermek, denetimi daha uzun sürerek kontrol etkinliğinin belirlenmesinde gecikmelere yol açabilir. Kanıt toplamak ve kontrolleri değerlendirmek için harcanan her gün, kuruluşunuzun aktif olarak riski önlemediği bir gündür. Çoğu zaman, bir değerlendirme tamamlandığında, bir altyapı değişikliği, yeni veya değişen kayıtlar veya yeni güvenlik açıkları nedeniyle veriler eskimiş olur. Uyum ekibi ince ayrımlara takılıp kalırken bu, kuruluşu savunmasız bırakabilir.
Risk renkli gözlükler (risk-colored glasses)
Bu yaklaşımlar veya bakış açıları -pembe gözlükler, at gözlüğü ve büyüteçler- artık modern organizasyonlar için yeterli değildir.
Liderler, uyumluluk süreçlerini, işletmeye yönelik risk öncelikli bir bakış açısıyla tamamlayabilirler. Risk yönetimine doğru yaklaşımı seçerken, şirketin iş bağlamında riski tanımlayan bir program seçmek önemlidir. Modern bir risk yönetimi programı, şirketlerin siloları yıkmasına, boşlukları ortadan kaldırmasına ve kör noktaları azaltmasına olanak tanıyarak kuruluşların kendiişleri bağlamında uyumluluk ve risk duruşları hakkında üst düzey içyüzünü anlamayı elde etmelerine yardımcı olabilir ve olmalıdır.
Siber güvenlik liderleri, uyumluluk programlarını risk merkezli bir vizyonla destekleyerek daha az çabayla daha iyi sonuçlar sağlayabilir. Riske dayalı bir yaklaşım, siber riski iş bağlamına yerleştirir, böylece CISO’lar ve CIO’lar (chief information officer; bilgi ofis şefi) riski C-suite ve yönetim kurulu tarafından öncelik verilen iş hedeflerine bağlayabilir. Kuruluşun genel risk duruşuna yönelik görünürlük sayesinde liderler, eylemlerinin ve yatırımlarının iş başarısını nasıl etkilediğine dair doğru ve ilgili bir görüşe sahip olacaktır.
