Kurum kültürünün değişmez parçası olmalı
Siber güvenlik risklerinin gün geçtikçe artmakta olduğu konusunda artık bilgi sahibi olmayan kalmadı denilebilir. Ancak konunun ne kadar vahim olduğu konusunda bilinç düzeyi hala tartışmaya açık. “Kurumların farkındalık düzeylerinin bu açıdan büyük değişiklikler gösterdiğini araştırmalarımızda gözlemleyebiliyoruz” diyen Accenture Security Kıdemli Yöneticisi Gürol Erdoğan, şu önemli detayı paylaştı: “Birçok kurum konunun aciliyetini idrak etmiş, hatta ciddi sayıda kurum bizzat yıkıcı saldırılara maruz kalmış ve toparlanmaya çalışmakla uğraşırken, bazı sektörlerin konuya ne kadar uzakta kaldıklarını da görmek ürkütücü. Bizim bu konuda önerimiz her zaman bir temel yaklaşım uygulamak ve bu yaklaşımı üst yönetimden en alt kademelere kadar, siber güvenlik farkındalığını kurum kültürünün değişmez bir parçası haline getirmeyi hedeflemekten geçiyor.”
Gürol Erdoğan’ın dikkat çektiği gibi, kurumsal bilgi güvenliğinin nasıl yönetileceği ve kurumdaki esas sahibinin hangi birimde olması gerektiği konusu da çok tartışılan konular. Kurumda BT yönetiminden ayrı bir Kurumsal Güvenlik birimi kurulma gerekliliğini; Accenture olarak kurumun yapısı, bulunduğu sektör, birimlerin birbiriyle olan dinamiklerini göz önüne alarak yaptıkları kapsamlı analizler sonucunda ortaya çıkardıklarını ifade eden Gürol Erdoğan, “Kurumlara etkin ve güçlü bir şekilde çalışabilecek, optimum fayda sağlayacak bir organizasyonel model öneriyoruz” bilgisini verdi. Erdoğan, önemle vurguladıkları başlıkları şöyle sıraladı:
Hatalı algıdan artık uzaklaşılmalı
“Kurumlar, güvenlik stratejilerini belirleyip güvenlik mimarilerini ve buna bağlı güvenlik altyapılarını oluştururlarken, her zaman bulundukları iş alanı ile uyumlu olduklarına emin olmalılar. İş birimlerinin çalışma modelleri ve süreçleri ile çatışmamak, kurumun esas varlık sebeplerinden uzaklaşmamak için güvenlik ekipleri ve iş birimlerinin uyum içinde olmalarını sağlamalılar. Bu noktanın sağlanabilmesinin tek yolu güvenlik stratejisinin en üst yönetimin onayı, bilgisi ve desteği ile her zaman sahiplenmesi, ciddiyetinin ve önceliğinin yönetim kurulu tarafından korunması ve tüm kuruma bu mesajın sürekli verilebilmesinde yatıyor.”
Kurumların, var olma sebepleri olan iş bağlamlarından uzaklaşmadan güvenlik stratejilerine yatırım yapmaları çok önemli ve bunu sağlamak için en üst yönetimin, güvenlik politikalarını her zaman öncelikli tutmaları gerekiyor. Accenture olarak, 2016 yılında 15 ülkede, 12 sektörde 2 bin güvenlik profesyonelinin katılımıyla yaptıkları “Yüksek Performanslı Güvenlik” araştırmasının sonuçlarını Erdoğan, şöyle paylaştı:
“Buna göre, güvenlik yöneticilerinin yüzde 75’i şirketlerinin, bilgi güvenliği stratejilerine güvendiklerini ifade ediyor. Oysa gerçekleşen siber tehditlere baktığımızda, bu algının ne kadar sorunlu olduğunu görüyoruz. Dünya çapındaki çok büyük firmalara yapılan her 3 saldırıdan 2’si hasara yol açıyor ve bu saldırı teşebbüslerinin sayısı artık binlerle ifade ediliyor. Yöneticilerin, bu hatalı algılarından uzaklaşması ve sorunla yüzleşmeye başlaması gerek. Yöneticiler, kurumlarının en öncelikli “iş” ve “veri” varlıklarının ne olduğunu tespit etmeli, saldırılara karşı koyacak araç ve tekniklere sahip olma planlarını bir an önce oluşturmalı ve hayata geçirmeli, savunma duvarlarını örmeye ve güçlendirmeye sürekli yatırım yapmalılar. Kurumlara, şu adımları uygulayarak güvenlik yaklaşımlarını “restart” etmelerini öneriyoruz: Güvenlik yeteneklerinizi zorlayın, güvenliği herkesin işi haline getirin, savunma duvarlarınızı içten dışa doğru örün, inovasyona yatırım yapıp manevra yeteneğinizi arttırın, güvenliği en tepeden yönetin ve son olarak, işinizi güvenle büyütün.”