Tomorrow

Yönetim Kurullarına Siber Güvenlik Rehberi

Yönetim Kurullarına Siber Güvenlik Rehberi

İş ve özel hayatın her alanında dijitalleşme artıyor. 2 yılı aşan salgın dönemi bu süreci hem yoğunlaştırdı hem hızlandırdı. Buna koşut olarak yaygınlaşan siber güvenlik ve siber saldırılar, bankalar, sigorta şirketleri veya kritik altyapıya yönelik kamu kurumları gibi sadece belirli kurumların önceliği olmaktan çıktı. Son yıllarda söz konusu kurumlar haricinde ve daha geniş ölçekte gerçekleşen fidye ve “oltalama” gibi birtakım siber saldırılar, her organizasyonun saldırıya açık olduğunu gösterdi.

Bu saldırılar, maddi kayba ilave olarak dijitalleşen sanayi ve üretim süreçlerini aksatabiliyor; ticari olarak hassas bilgiler, müşteri bilgileri, bunlardan kaynaklanabilecek hukuki veya düzenleyici cezalar ile itibar kaybına sebep olabiliyor. Dolayısıyla yönetim kurulları, şirketlerinin siber saldırıdan nasıl etkileneceğini değerlendirmesi ve saldırı halinde olası hasarı asgariye indirebilmek için uygun bir bakış açısına sahip olma konusunda sorumluluk sahibi olmak zorunda. Diğer taraftan, güncel şartlar yönetim kurullarının siber güvenlik konularını teknik ekiplerine delege etmesine izin vermiyor. Aksine organizasyonu bütüncül bir yaklaşımla yönlendirmesi gerekiyor.

Bu doğrultuda kurul üyeleri arasında ortak farkındalık ve eylemleri önceliklendirme, temel adımları teşkil ediyor. Bu bağlamda yönetim kurullarında organizasyona geniş bir açıyla yön vermek için aşağıdaki soruların gündeme getirilmesinde yarar var…

1) En değerli varlıklarımız neler ve bunları nasıl koruyoruz?

Organizasyonun en önemli varlığı hangisi? Müşteri verileri mi, sistemler ve operasyonel süreçler mi, patent ve diğer kurumsal hafıza mı? Verilerin sayısallaştırılması, merkeze yerleştirilmesi, üçüncü taraf hizmet sağlayıcılarla etkileşimin artması ve uyumluluk zorlukları, veri koruma modellerinin gelişiminde etkenken; yönetim kurulları, organizasyonun en önemli varlıklarının mümkün olan en iyi seviyede korunduğundan emin olmalı.

2) Risk değerlendirmesi/tespiti neden önemlidir?

Oldukça fazla risk unsuru bulunmakta. Korunması gereken kart verileri, hassas şirket verileri varken, yönetim kurulları olası saldırıları göz önünde tutulmalı. Risk değerlendirmesinde bir saldırı gerçekleşmişcesine analitik olarak hesaplaması yapılır bu prosedür atılacak bir sonraki adımın belirlenmesinde kritik rol oynar.

3) Hangi koruma katmanlarını uyguluyoruz?

Çok katmanlı savunma, prosedür ve siyasalar ve diğer risk yönetim yaklaşımlarından hangileri uygulanıyor ve ne kadar koruma sağlıyor? Üç temel koruma katmanı; idari kontroller, fiziksel kontroller, teknik kontroller. Yönetim kurulları koruma katmanlarını mutlaka bilmelidir.

4) “Kırıldıysak” nasıl bileceğiz? Veri sızıntısını nasıl tespit ediyoruz?

Veri sızıntısı gerçekleştiğinde genelde hemen tespit edilemediğinden yönetim kurulları, sızıntının nasıl tespit edildiğini bilmeli ve bundan kaynaklanacak risk seviyesi hakkında hemfikir olmalı. IBM’nin 2021 Veri İhmal Raporuna göre; veri ihlal maliyetleri 2021’de son 17 yılın toplam ortalama maliyetini geçerek 4,24 milyon ABD dolarına yükseldi. Söz konusu sayılar göz önüne alındığında, yönetim kurullarının hazırlıklı olması gerektiğini söylemek mümkün.

5) Siber vaka halinde tepki planlarımız nedir?

Fidye saldırı olması halinde, ödeme hakkında siyasamız nedir? Hangi yöneticiler, hangi konulardan sorumlu? İletişim planımız nedir? Basınla kim konuşacak? Yönetim kurulları planın ayrıntılarıyla meşgul olmayabilir ama plan olduğundan emin olmak isteyecektir. PCI DSS uyumluluğu bu noktada ciddi öneme sahip ve olaya müdahale ederken atılacak adımları bünyesinde barındırıyor.

6) Siber vaka durumunda yönetim kurulunun rolü nedir?

Yönetim kurullarının rolünü bilmesi ve uygulaması yararlı olacaktır. Fidyeyi ödeyip ödememe kararı, en büyük müşterilerle konuşulması gibi konular yönetim kurullarının görevi mi? Bu konularda kararları vaka olmadan almak, planlamalar ve tatbikat yapmak iyi bir hazırlık olacaktır.

7) Siber vaka halinde iş kurtarma planlarımız nelerdir?

Vaka sızıntısının sebep olabileceği veri imhası veya zarar görmesi gibi senaryolarda verinin tekrar derlenmesi için farklı yöntemler gerekecektir, verilerin saklanması için alternatif hizmetler belirlenmesi bir adım olacaktır. En başından hazırlanmış bir kriz yönetim stratejisi, siber olay planı ve daha geniş kapsamlı olarak iş sürekliliği planı süreci rahatlatacaktır. Yönetim kurulları, bu işin sorumluluğunun kimde olacağını, bu konuda bir plan olup olmadığını ve test edilip edilmediğini bilmelidir.

8) Siber güvenlik yatırımımız yeterli mi?

Yüzde 100 güvenli olmak söz konusu değil. Ancak yeni yatırımlardan önce, korunma seviyesi ve risk toleransı değerlendirilmelidir. Bu doğrultuda, siber saldırı simülasyonları ile zafiyet-penetrasyon testleri en çok başvurulan iki yöntemdir.

SONUÇ

Artan dijitalleşme doğrultusunda değişen iş hayatı ve modelleri, önceden daha dar bir alana odaklanan siber saldırılar için geniş bir hedef yüzeyi oluşturdu. Kapsamlı ve genel siber saldırılar, her organizasyonun siber saldırıya açık olduğunu ve bunun birçok farklı ve ciddi hasara sebep olabileceğini gösterdi. Sadece teknik ekibe bırakılmayacak hale gelen siber güvenlik konularında yönetim kurullarının şirket organizasyonlarına bütüncül bir bakış açısı kazandırması ve yönlendirmesi gerekiyor. İlk adım olarak, temel meselelerin yönetim kurulu toplantılarında düzenli olarak ele alınması bile isabetli bir başlangıç olacaktır.

Siber güvenlik konularında daha fazla bilgi ve destek için PCI Checklist olarak sizlerle birlikte hareket etmekten mutluluk duyarız. Bize hello@pcichecklist.com adresinden ulaşabilirsiniz.

Bu yazıyı paylaş: