- Anasayfa
- Şirket Panosu
- Şirket Panosu Haberleri
- 'Siber güvenliğin geleceği yönetimde'
'Siber güvenliğin geleceği yönetimde'
Cisco Türkiye Genel Müdürü Kıvılcım, şirketlerin siber güvenlik için yapması gerekenleri capital.com.tr'ye anlattı.
Dünya genelindeki siber saldırılar, gün geçtikçe daha sofistike hale geliyor. Ülkeler ve siber-suç odakları, bu saldırıları finansal ya da politik amaçlarla sıklıkla finanse ediyorlar. Cisco 2016 Yıllık Güvenlik Raporuna göre fidye amaçlı yazılımlar, saldırganlar için tarihin en karlı kötü amaçlı yazılımı haline geldi. Gerçekleştirdikleri direkt saldırılarla siber saldırganların eline yılda 34 milyon dolar geçiyor. Şirketler açısından bakıldığında ise, 2015 yılında veri açıklarının şirketlere maliyetleri bir önceki yıla göre yüzde 23 artarak ortalama 3.8 milyon dolar olmuş durumda.
Siber saldırıların ulaştığı boyutu ve siber güvenlik için yapılması gerekenleri capital.com.tr’ye anlatan Cisco Türkiye Genel Müdürü Cenk Kıvılcım, “Eğer saldırganların arkasında bu kadar büyük güçler varsa, bu saldırılara maruz kalanlar da gardlarını almak durumunda” diyor. Günümüzü ve hatta geleceği yakalama vizyonu olan işletmeler için ‘siber güvenlik liderliği’nin organizasyon içinde daha yukarıya, yani yönetim kurulu odalarına taşınması gerektiğini vurgulayan Kıvılcım, şunları söylüyor:
“Siber güvenliğinin yönetim kurullarının gündemine girmesine neden olan faktörler arasında; kurumsal şirketlerin yakın zamanda yaşadıkları veri açıkları, veri güvenliği ile ilgili artan mevzuat ve düzenlemeler, jeo-politik dinamikler ve paydaş beklentileri geliyor. Bilgi Sistemleri Denetim ve Kontrol Derneği’nin (ISACA) raporu kurumsal yöneticilerin yüzde 55’inin siber güvenliği bir risk alanı olarak değerlendirmesi gerektiğini gösteriyor. Şirketleri etkileyen siber güvenlik sorunlarının gerçek boyutunu anlamak için yönetim kurullarındaki CIO ve hatta CISO’ların sayısının artışını dikkatle izlemeliyiz. Ernst & Young’un gerçekleştirdiği araştırmaya göre 2002’de dünyanın en büyük şirketlerindeki CFO’ların yüzde 36’sı yönetim kurulu seviyesinde pozisyonlara geldiler. Son 10 yılda yaşanan global finansal krizler ve gittikçe daha komplike bir hale gelen mevzuat ortamı, yönetim kurullarındaki CFO’ların sayısının artmasına neden oldu. Teknoloji ve siber güvenlik uzmanlığını getirecek üyelerle kurullar güvenlik kontrolleri için bazı önemli sorulara yanıt bulabilirler: Şu anda hangi kontrollere sahibiz? Bu sistemler ne kadar iyi test edildi? Bir raporlama sürecimiz var mı? Kaçınılmaz bir açığı ne kadar sürede tespit edip iyileştirebiliriz? Ve belki de en önemlisi: Başka ne bilmeliyiz? Hâlihazırda kurulda bir koltukları olmasa da CIO’lar ve CISO’lar bu soruları üst düzey yöneticiler için anlamlı olacak şekilde ve olası sonuçların işe etkisinin altını çizerek yanıtlamaya hazır olmalı.”
Yeni iş fırsatları oluşabilir
Siber güvenlik uygulamaları, yeni iş alanlarına da kapı aralıyor. Cisco Türkiye Genel Müdürü Cenk Kıvılcım direkt pazarlama gibi yeni iş modelleri, yeni kanallara ve bölgelere penetrasyon, değişen tedarik zincirlerinin yeni iş fırsatları oluşturabileceğini söylüyor. Kıvılcım’a göre, teknoloji ve güvenliğin bu modelleri nasıl destekleyeceği, bütçe konusu ve risk yönetimi bu yöneticilerin gündeminin en kritik maddesi olmalı.
Teknoloji ve güvenlik yöneticilerinin mevzuat gereklilikleri ve standartlar konusunda da yönetim kurulunu yönlendirmesi gerektiğinin altını çizen Kıvılcım, şöyle konuşuyor:
“Yönetim kurulu içinde iletişim nasıl yapılacağı da aynı şekilde önemli. Her bir mesaj net, kısa ve en az teknik jargon ile verilmeli. Örneğin bir CIO’nun tehditleri ve son günlerdeki saldırıların nasıl başarıya ulaştığını bilmesi beklenir. Ancak bu saldırıların etkilerini ‘gelir kaybı’, ‘üretkenlik’ veya ‘karlılık’ gibi iş terimleri ile açıklaması, gerekirse grafik ve tablolarla anlatması, üst düzey karar vericilerin sonuçları daha iyi algılamalarını sağlayacaktır. Siber güvenliğin bir yönetim kurulu gündem maddesi olması olumlu değil, ‘zorunlu’. Bu konumlandırma güvenlik yöneticilerine en üst düzey yöneticileri konu ile ilgili daha iyi eğitme şansı da veriyor. Edinilen bilgi ile yönetim kurulları daha iyi risk ve güvenlik yönetimi yapabilecek donanıma sahip olacak ve böylece hep birlikte iş hedeflerimize ulaşırken değerli şirket varlıklarımızı da koruyabileceğiz.”
Siber saldırıların ulaştığı boyutu ve siber güvenlik için yapılması gerekenleri capital.com.tr’ye anlatan Cisco Türkiye Genel Müdürü Cenk Kıvılcım, “Eğer saldırganların arkasında bu kadar büyük güçler varsa, bu saldırılara maruz kalanlar da gardlarını almak durumunda” diyor. Günümüzü ve hatta geleceği yakalama vizyonu olan işletmeler için ‘siber güvenlik liderliği’nin organizasyon içinde daha yukarıya, yani yönetim kurulu odalarına taşınması gerektiğini vurgulayan Kıvılcım, şunları söylüyor:
“Siber güvenliğinin yönetim kurullarının gündemine girmesine neden olan faktörler arasında; kurumsal şirketlerin yakın zamanda yaşadıkları veri açıkları, veri güvenliği ile ilgili artan mevzuat ve düzenlemeler, jeo-politik dinamikler ve paydaş beklentileri geliyor. Bilgi Sistemleri Denetim ve Kontrol Derneği’nin (ISACA) raporu kurumsal yöneticilerin yüzde 55’inin siber güvenliği bir risk alanı olarak değerlendirmesi gerektiğini gösteriyor. Şirketleri etkileyen siber güvenlik sorunlarının gerçek boyutunu anlamak için yönetim kurullarındaki CIO ve hatta CISO’ların sayısının artışını dikkatle izlemeliyiz. Ernst & Young’un gerçekleştirdiği araştırmaya göre 2002’de dünyanın en büyük şirketlerindeki CFO’ların yüzde 36’sı yönetim kurulu seviyesinde pozisyonlara geldiler. Son 10 yılda yaşanan global finansal krizler ve gittikçe daha komplike bir hale gelen mevzuat ortamı, yönetim kurullarındaki CFO’ların sayısının artmasına neden oldu. Teknoloji ve siber güvenlik uzmanlığını getirecek üyelerle kurullar güvenlik kontrolleri için bazı önemli sorulara yanıt bulabilirler: Şu anda hangi kontrollere sahibiz? Bu sistemler ne kadar iyi test edildi? Bir raporlama sürecimiz var mı? Kaçınılmaz bir açığı ne kadar sürede tespit edip iyileştirebiliriz? Ve belki de en önemlisi: Başka ne bilmeliyiz? Hâlihazırda kurulda bir koltukları olmasa da CIO’lar ve CISO’lar bu soruları üst düzey yöneticiler için anlamlı olacak şekilde ve olası sonuçların işe etkisinin altını çizerek yanıtlamaya hazır olmalı.”
Yeni iş fırsatları oluşabilir
Siber güvenlik uygulamaları, yeni iş alanlarına da kapı aralıyor. Cisco Türkiye Genel Müdürü Cenk Kıvılcım direkt pazarlama gibi yeni iş modelleri, yeni kanallara ve bölgelere penetrasyon, değişen tedarik zincirlerinin yeni iş fırsatları oluşturabileceğini söylüyor. Kıvılcım’a göre, teknoloji ve güvenliğin bu modelleri nasıl destekleyeceği, bütçe konusu ve risk yönetimi bu yöneticilerin gündeminin en kritik maddesi olmalı.
Teknoloji ve güvenlik yöneticilerinin mevzuat gereklilikleri ve standartlar konusunda da yönetim kurulunu yönlendirmesi gerektiğinin altını çizen Kıvılcım, şöyle konuşuyor:
“Yönetim kurulu içinde iletişim nasıl yapılacağı da aynı şekilde önemli. Her bir mesaj net, kısa ve en az teknik jargon ile verilmeli. Örneğin bir CIO’nun tehditleri ve son günlerdeki saldırıların nasıl başarıya ulaştığını bilmesi beklenir. Ancak bu saldırıların etkilerini ‘gelir kaybı’, ‘üretkenlik’ veya ‘karlılık’ gibi iş terimleri ile açıklaması, gerekirse grafik ve tablolarla anlatması, üst düzey karar vericilerin sonuçları daha iyi algılamalarını sağlayacaktır. Siber güvenliğin bir yönetim kurulu gündem maddesi olması olumlu değil, ‘zorunlu’. Bu konumlandırma güvenlik yöneticilerine en üst düzey yöneticileri konu ile ilgili daha iyi eğitme şansı da veriyor. Edinilen bilgi ile yönetim kurulları daha iyi risk ve güvenlik yönetimi yapabilecek donanıma sahip olacak ve böylece hep birlikte iş hedeflerimize ulaşırken değerli şirket varlıklarımızı da koruyabileceğiz.”
