Devleşen risklerin ciddiyetini ‘oyunla’ kavrayın

Siber güvenlik başlığında riskleri ve tehditleri net biçimde ortaya koyan PwC’nin patentli simülasyon oyunu Game of Threats’i bugüne kadar Türkiye'de de 100'ün üzerinde CEO, CxO ve yönetim kurulu üyesi oynadı. PwC Türkiye Siber Güvenlik ve Bilgi Güvenliği Hizmetleri Lideri Burak Sadıç, oyun atölyesinin iki temel hedefine dikkat çekti: Kurum üst yönetimlerine siber güvenlikle ilgili farkındalık kazandırmak ve eğlenceli, dinamik bir oyun atölyesi ile siber krizleri gerçekçi bir şekilde canlandırmak. Game of Threats; gerçek siber saldırıların hızı ve yarattığı karmaşayı simüle etmek üzere tasarlanan bir oyun atölyesi. Oyun sırasında katılımcılar “saldıran” ve “saldırıya uğrayan” olarak iki gruba ayrılıyor. Saldıran ekibe nasıl saldırı yapacakları, saldırıya uğrayan ekibe ise kendilerini nasıl koruyacakları öğretiliyor. Moderatörler oyun süresince katılımcılara gerçek zamanlı geri bildirimler yapıyor, strateji geliştirme ve karar alma sürecinde destek oluyor. “Oyunlaştırma teorisini etkileşimli katılımcı deneyimi ile buluşturarak yaratılan oyun ortamında, her iki ekip de minimum bilgi ile hızlı ve etkili kararlar alma, zor durumdan kurtulma yollarını arıyor” diyen Burak Sadıç, oyunlaştırmanın öğrenmeye etkilerini ve güvenlik başlığında önemini anlattı:
 
Kurum bütününde güvenlik farkındalığını nasıl değerlendiriyorsunuz? Gelişen ve çeşitlenen riskler farkındalıkta, beraberinde güvenlik odaklı yatırımlarda artış da getiriyor mu?
Güvenlik farkındalığının sadece BT bölümlerinde değil, tüm iş birimlerinde ve üst yönetimlerde de yerleşmesi çok önemli. Temel güvenlik kavramlarına ve prensiplerine aşina olan iş birimleri güvenlik projelerinin hayata geçmesini kolaylaştırıyor. Siber risklerin ve kurumlara olası etkilerinin farkında olan üst yönetimler de güvenlik yatırımlarını sadece bir masraf ya da lüks olarak görmeyip, rakiplerin önüne geçilmesi için bir gereklilik olarak görmeye başlıyorlar.
 
Şirketlerde C seviyesi yönetim kademesinde güvenlikten sorumlu bir kişi de olmalı mı? Daha doğrusu güvenlik, BT biriminin işi mi olmalı, yoksa sadece kurumsal bilişim güvenliğinden sorumlu bir isim gerekli mi?
On binden fazla kurumun katıldığı PwC araştırmalarına katılan kurumların yarısından fazlasında bir bilgi güvenliği yöneticisi görev yapıyor. Bu bilgi güvenliği yöneticilerinin yarısından fazlası ise CEO ya da Yönetim Kurulları’na bağlı olarak çalışıyor. BT güvenliği, yani güvenliğin BT ile ilgili bileşenlerinin BT organizasyonu içinde görev yapması gayet doğal bir operasyonel gereklilik. Ama bilgi güvenliği ve siber güvenlik de sadece teknoloji yönetiminden ibaret değil. Bu bağlamda, konuya sadece BT güvenliği olarak bakmamak ve mümkün olan en üst kademeye bağlı olarak çalışacak bir bilgi güvenliği yöneticisinin atanması gerekiyor.
 
Türkiye'de ve küresel bazda şirketler güvenlik yatırımlarında neyi eksik veya hatalı yapıyor? Güvenlik yatırımlarında öne çıkan sorunlar neler?
Doğru güvenlik yatırımları insan, süreç ve teknoloji eksenlerinin tamamında dengeli yatırımlar yapılmasını gerektiriyor. Türkiye'deki en temel problem ise teknoloji yatırımlarının ağırlığı. Yani kurum bütçelerine baktığımızda bazı istisnalar dışında insan ve süreç bileşenlerinin ihmal edildiğini görüyoruz. Bilgi güvenliği ve siber güvenlik başlıkları BT güvenliği ile eşdeğer kabul edildiği için konu bir teknoloji problemi olarak görülüyor. Böylece kurumlar, bütçelerinin önemli bir kısmını yazılım ve donanım alımına harcıyorlar. Halbuki dünya ortalamalarına baktığımızda, artık güvenlik bütçeleri BT bütçelerinin beşte birine varan oranlara ulaşmış durumda. Bu yatırımların içinde insan ve süreçlere ayrılan pay da teknolojiye ayrılan paya eşdeğer.
 
Game of Threats'i Türkiye'den kaç şirket yetkilisi oynadı? Küresel sonuçları ile nasıl bir kıyas yapabilirsiniz?
Game of Threats'in Türkiye lansmanından sonra geçen bir sene içinde yüzden fazla üst düzey yöneticiye ulaşma imkanı bulduk. 10’dan fazla CEO'nun da aralarında bulunduğu ülkemiz katılımcıları ile küresel katılımcıların oyuna yaklaşımları ise oldukça benzer. Bu yönüyle Game of Threats bizim kültürümüze ve ülkemiz üst düzey yöneticilerine de gayet uygun bir yaklaşım sunuyor diyebiliriz.
 
Bu oyunu farklı kılan özellikleri neler? Oyunlaştırmak; eğitimi, bilgi edinmeyi kolaylaştırıyor mu?
Oyun atölyesi yardımıyla üst yönetim farkındalığını arttırmanın iki büyük avantajı var. Birincisi; üst yönetimlerin ilgisini çekebilmesi, yani tek yönlü bilgi akışı içeren bir sunuma ancak 10-15 dakika tahammül edebilen üst düzey yöneticiler, bir oyun atölyesine 2-2,5 saat ayırabiliyorlar. İkincisi ise oyun sırasında siber krizleri bizzat deneyimleyerek teknik detaylara boğulmadan, konu hakkında farkındalıklarını arttırma imkanı buluyorlar.