İş siber suçla mücadeleye geldiğinde, dünya genelinde
şirketlerin BT güvenliği liderlerinin eli kolu bağlı kalıyor. Yönetim
kurullarında pek etkisi olmayan bu yöneticiler, ihtiyaç duydukları bütçeleri
elde etmekte zorlanıyor. Bu da şirketlerin saldırılara daha da açık hale
gelmesine yol açıyor. Bu durum, CISO’ların %86’sının siber güvenlik
sızıntılarının kaçınılmaz olduğuna inandığı ve özellikle finansal fayda elde
etmek isteyen gruplardan çekindiğinin ortaya çıktığı yeni kaspersky lab raporundaki bulgular arasında yer alıyor.
Modern şirketler için saldırı alanı içeriden zarar vermek
isteyen kişilerden buluta kadar uzanıyor
Günümüzde çoğu kurumun geçtiği dijital dönüşüm süreci ile
birlikte artan siber tehditler, modern şirketlerde CISO’ların (Chief
Information Security Officer - Bilgi Güvenliğinden Sorumlu Genel Müdür) rolünü
giderek daha da önemli kılıyor. Kaspersky Lab tarafından hazırlanan rapor,
CISO’ların üzerinde daha önce hiç olmadığı kadar baskı olduğunu gösteriyor:
CISO’ların %57’si bulut ve mobil kullanım ile ilgili karmaşık altyapıların bir
numaralı zorluk olduğunu belirtirken, %50’si ise siber saldırıların sürekli
artışından endişe duyuyor.
CISO’lar finansal fayda elde etmeyi hedefleyen suçlu
grupları (%40) ve içeriden yapılan saldırıların (%29) şirketleri için en büyük
riskler olduğunu düşünüyor. Bu tehditleri önlemek ise bir hayli zor çünkü bu
saldırılar ya ‘profesyonel’ siber suçlular tarafından düzenleniyor ya da doğru
tarafta olması beklenen çalışanlardan yardım alınarak yapılıyor.
Bütçenin gerekli olduğunu göstermede zorluk yaşayan CISO’lar
diğer departmanlarla rekabet etmek zorunda kalıyor
Siber güvenlik için ayrılan bütçelerin arttığı belirtiliyor.
CISO’ların yarısından fazlası (%56) bütçelerin gelecekte artacağını, %38’i ise
aynı kalacağını düşünüyor.
Her şekilde, CISO’lar büyük bütçe sorunlarıyla karşı karşıya
çünkü yapılan yatırımın tam karşılığının ne olacağını tam olarak ortaya
koymaları veya siber saldırılara karşı %100 koruma sağlamaları neredeyse
imkansız.
Örneğin, CISO’ların üçte birinden fazlası (%36) bir sızıntı
yaşanmayacağını garanti edemedikleri için gereken BT güvenliği bütçesini
alamıyor. Güvenlik bütçelerinin toplam BT harcamalarının bir parçası olarak
değerlendirildiği şirketlerde ise CISO’lar kendilerini bütçe için diğer
departmanlarla mücadele ederken buluyor. Bütçe alamamanın ikinci büyük nedeni
ise güvenliğin bazen toplam BT harcamalarının bir parçası olarak ele alınması.
Ayrıca, CISO’ların üçte biri (%33) kendilerine verilebilecek bütçelerin
öncelikle, yatırım karşılığının daha net görülebildiği dijitalleşme, bulut ve
diğer BT projelerine aktarıldığını söylüyor.
Dijital dönüşüm gerçekleşirken CISO’ların yönetim kurulunda
yer alması gerek
Siber saldırılar şirketler için çok ciddi sonuçlar
doğurabiliyor. Kaspersky Lab araştırmasına katılanların dörtte birinden
fazlası, siber saldırılarda en kritik sonuçların itibar kaybı (%28) ve maddi
hasar (%25) olduğunu belirtti.
Ancak, siber saldırıların olumsuz etkilerine rağmen ankete
katılan BT güvenliği liderlerinin yalnızca %26’sı kendi şirketlerinde yönetim
kurulu üyesiydi. Yönetim kurulu üyesi olmayanların dörtte biri (%25),
kendilerinin de üye olması gerektiğini dile getirdi.
BT güvenliği liderlerinin çoğu (%58) şu anda şirketlerinde
karar alma süreçlerine yeteri kadar dahil olduklarını düşünüyor. Ancak, siber
güvenlik de dijital dönüşüm gibi büyük kurumların ana stratejik doğrultusu
haline gelmeli.CISO’ların rolü de bu değişikliklere göre gelişmeli ve CISO’lar
kararlara etki edebilmeli.
Kaspersky Lab Global Satışlardan Sorumlu Başkan Yardımcısı
Maxim Frolov konu hakkında şunları söyledi: “Geçmişten beri, siber
güvenlik bütçeleri düşük öncelikli BT harcamaları olarak görülür. Ancak şimdi
durum değişti. Modern şirketlere yönelik saldırıların çerçevesi genişliyor.
Siber tehditlerin sıklığı, etkisi ve maliyetleri artıyor. Bunların sonucunda,
her geçen gün daha fazla C-Düzey yönetici BT güvenliğini bir yatırım olarak
görmeye başladı.
Günümüzde siber güvenlik riskleri CEO’lar, CFO’lar ve Risk
Yöneticilerinin gündeminde ilk sıralarda yer alıyor. Aslında siber güvenlik
bütçesi, yalnızca sızıntıları ve onlarla ilişkili korkunç riskleri önlemenin
değil aynı zamanda işlerin sürekliliğini ve şirketin temel yatırımlarını
korumanın da bir yolu.”
