Siber riskler geri plana düşüyor

Aon Risk Yönetimi Danışmanlığı’ndan Sorumlu Genel Müdür Yardımcısı Ahmet Eryaman

Şirketlerde üst yönetim ya da şirket ortakları, ilk olarak siber güvenlik konusunu değerlendirirken ön inceleme başlatıp eksiklerinin farkına varmalı, Aon Risk Yönetimi Danışmanlığı’ndan Sorumlu Genel Müdür Yardımcısı Ahmet Eryaman’ın tabiriyle “siber teşhis’’ yapmalı. İşin durduğu ya da kesintiye uğradığı anda kâr ve ciro kaybına sebep olacak en önemli BT varlıklarının listesini çıkararak işe başlamak ise ilk adım. “Aon’un müşterilerine uyguladığı “siber teşhis”, bir sonraki adımda seçilmiş sistemlere bu unsurların hangi yollarla saldırabileceğinin analizidir ve buna siber jargonunda “tehdit vektörü” denilir” bilgisini veren Ahmet Eryaman, son adımda ise senaryolaştırılmış saldırılarda seçilmiş unsurların, tahmin edilen yöntemlerle yapacakları saldırılara karşı BT’nin ve firmaların mevcut savunma mekanizmasının göz önüne alındığını belirtti. Tüm bu adımların sonrasında firma üst yönetimi ya da firma ortakları açısından, ne gibi kriterlerin göz önüne alınması ve güvenlikte neler yapılması gerektiği tartışılabilecek seviyeye gelir. Sektörel bazda değerlendirildiğinde, bu metodoloji her büyüklükteki şirkete ve her sektöre uygun. Hizmet sektöründe danışmanların firmalara sundukları hizmetleri üç başlık altında; verimlilik, tecrübe ve uzmanlık olarak sıralayan Eryaman, danışmanlık desteğine bakışı şöyle yorumladı:

“Siber güvenlik konusunda danışmanlık alıp almamaya karar verecek firma, kendi olanaklarına bakarak bu açıkladığımız üç maddeden hangisine ihtiyacı olduğunu belirlemeli. Örneğin, telekomünikasyon devlerinin siberle ilgili kuvvetli ekibi mevcuttur. Bu durumda “Biri benim adıma bu işi daha çabuk yapsın, ben de elemanlarımı yeni ürün geliştirmede kullanayım” şeklinde düşünerek verimlilik odaklı danışmana ihtiyaç duyabilir. Anadolu’daki orta ölçekli bir işletmenin dijitalleşme sürecine yeni başlaması ve BT konusunda sınırlı insan kaynağı nedeniyle işini iyi bilen, firmaların nasıl çözeceğini bilmediği sorunları onlar adına çözüp bilgi aktarımı sağlayacak bir servis alması daha doğru olur.”

Firmaların danışmanlık alma eğiliminin firmadan firmaya değiştiği bir gerçek. Ahmet Eryaman’ın belirttiği gibi, eğer firma BT konusunda son derece ileri bir noktada ise bazen danışmanlarla çalışanların bilgi rekabeti içine girdiğini görmek de mümkün. Ancak, Ahmet Eryaman, sigorta başlığında önemli bir değişimi de anlatmadan geçmedi:

“Bugün bir yangın veya deprem sigortası için fabrika ziyareti yaptığımızda, bu konuda ilgili fabrika müdürü ile beraber çalıştığımızda böyle bir sorgulama ile karşılaşmıyoruz. Ama bundan 30 sene evvel aynı durumu fabrikalarda yaşıyorduk. Bugün ise “İyi ki geldiniz, geçen seneki rapor burada, lütfen bu yıl şu noktalara iyi bakın, benim göremediğim bir şey varsa bunu bana iletin ve bu açıkları tamamlayalım” diyorlar. Siber sigortada ve siber danışmanlıkta da geleceğimiz nokta çok yakında böyle olacak. Aon her iki senede bir tüm dünyada risk farkındalığını ölçmek ve yeni gelişen trendleri bir raporda toplamak için Global Risk Yönetim Anketi’ni düzenlemekte. Aon Türkiye’ye de kısa aralıklarla aynı risk anketini uygulamakta. Türkiye’deki 4 bine yakın iş ortağımıza gönderdiğimiz en son risk anketinde siber risklerin 12’nci sırada olduğunu gözlemedik. Türkiye’nin Avrupa ve Orta Doğu ile entegre çalışmaya başlayan dev firmalarında ya da Türkiye’nin en büyük 10 bankasında şüphesiz bu konuda yoğun çaba, ilgi ve farkındalık mevcut. Ancak Türkiye’nin geri kalan sektörlerinde, kritik altyapı sektörünün dışındaki sektörlerde başka problemler ön planda olduğu için bu konuya olan ilgi baskılanıyor. Ayrıca, Aon Türkiye risk anketine göre içinde bulunduğumuz dönemde en önemli 10 riskin 8’i ekonomik ve sosyopolitik riskler. Bundan dolayı siber riskler ve siber farkındalık geri plana düşmekte.”