Siber risklerin yönetilmesi sürekliliği olan bir strateji gerektiriyor

*Arman Kurt
 
Günümüzde şirketler, siber güvenlik stratejilerine ilişkin her zamankinden daha zor sorularla karşı karşıya kalıyor. Düzenleyici kuruluşlar ve müşteriler, şirketlerin siber güvenlik stratejilerinin ne kadar efektif olduğu konusunda gittikçe daha fazla kanıt talep ediyor. Dolayısıyla siber risk konusu, her anlamda hazırlıklı ve yetkin olduğunu iddia eden şirketler için bile her daim ciddi bir potansiyel sorun teşkil ediyor.
Şirketler geçmişte yalnızca iş sürekliliği planı ve kriz yönetimi ile genel başlıklarda taleplerle karşılaşıyorlardı. Ancak günümüzde siber risklerin kayda değer şekilde artması bu talepleri çok daha farklı bir boyuta taşıdı. Kurumlar artık, hizmetlerinin aksaması olasılığının azaltılmasına yönelik ne gibi çalışmalar yaptıkları, sistemlerinin bir süre çalışmaması durumunda ne yapacakları, gerektiğinde faaliyetlerini manüel olarak nasıl devam ettirecekleri ve kriz durumunda kontrollü bir şekilde nasıl toparlanacakları gibi çok daha detaylı sorulara yanıt verebilecek yetkinliğe sahip olması gerekiyor. Bu anlamda siber güvenlik konusunda sürekliliği olan bir strateji uygulamayan şirketlerin yakın gelecekte rekabet gücünü ve pazar payını kaybedebileceğini söyleyebiliriz. Global iş dünyasında siber güvenliğin şirket operasyonlarının tüm alanlarında daimi bir faktör olarak hesaba katılması bir tercihten ziyade zorunluluk olarak görülmeye başlıyor.
Geçtiğimiz 12 aylık dönemde özellikle finansal hizmetler, sağlık, enerji ve tıbbi ürünler alanlarına yönelik gerçekleşen siber saldırılar geniş kapsamlı aksamalar ve daha önce görülmemiş seviyelerde finansal zararın ortaya çıkmasına neden oldu. Siber saldırı sayısının gittikçe arttığı böyle bir ortamda şirketlerin olağan iş akışlarına dâhil etmeleri gereken siber güvenlik konusunda reaktif bir yaklaşım benimsemeleri artık yeterli değil. Yapay zekâ, robotik süreç otomasyonu gibi yeni teknolojilerin giderek yaygınlaşması şirketlerin siber güvenlik konusunda uzun vadeli planlama yapmasını gerektiriyor. Müşteri ve düzenleyici kurumlarla ilişkilerin sağlıklı ilerlemesinde giderek daha büyük bir paya sahip olan siber güvenlik stratejisinin bileşenleri ana hatlarıyla şöyle:
Siber güvenlik inisiyatifiniz için şirket içi yönetim birimi oluşturun
Kritik öneme sahip fonksiyon, süreç, veri ve sistemlere yönelik risk değerlendirmesi yapın
Şirket için en önemli olduğunu düşündüğünüz sistemleri belirleyip koruma sistemlerini geliştirin
İşbirliği içerisinde olduğunuz üçüncü partiler ve tedarik zincirinizdeki şirketlerin risk analizi yapın
Siber saldırı anında tespit, tepki, toparlanma ve iletişim faaliyetleri senaryoları üzerinde çalışın
Sisteminizi ve toparlanma planlarınızı kapsamlı olarak test edin
Siber güvenlik yaklaşımınızı yeni tehditlere karşı düzenli olarak gözden geçirinEY olarak, 2018’in siber tehditlerin küresel çapta artacağı ve daha da karmaşık hale geleceği bir yıl olacağını öngörüyoruz. Şirketlerin siber güvenlik konusuna hız kaybetmeden eğilmeleri günümüz iş dünyasında rekabet güçlerini korumalarına destek olacaktır.

*EY Türkiye Siber güvenlik Hizmetleri Müdürü.