Beş Adımda Modern Bir Siber Risk Yönetimi Ekibi

Son 10 yılda, siber suçların artık niş olmaktan çıkıp işletmeler için en önemli risklerden biri haline geldiğini rahatlıkla söyleyebiliriz. Belki de okudunuz, Deloitte’un siberin geleceğine ilişkin 2019 anketi, katılanların yüzde 95’inin değişik ölçeklerde siber saldırılara uğradığını ve yüzde 57’sinin bu saldırıları son iki yıl içinde yaşadığını belirtiyor.  Aynı zamanda, siber güvenlik için yapılan küresel harcamalar da artıyor. Harcamalar, 2015 yılında 3 trilyon dolarken, 2021 yılına kadar yıllık 6 trilyon doları aşarak ikiye katlanmış durumda.

Belki de Kurumunuzda, her yıl daha fazla harcama yaparken, risk azaltma orantılı bir etki göremiyorsunuz. Bunun sebebi, Kuruluşunuzun, risk yönetiminde iş birliğine dayalı bir çaba yerine tek başına gerçekleştirilecek tek seferlik bir işlev olduğu perspektifinden çalışmaya devam etmesi olabilir. Bununla birlikte, kuruluşların her bölümünü tehdit eden risklerle karşı karşıya olduğu açıkça ortadadır. Burada siber güvenliği sadece “BT personelinin sorunu” olarak görmek modası geçmiş bir düşüncedir. Silolu yaklaşımlara güvenmeye devam etmek, sorunları toplu olarak gün ışığına çıkarma çabalarını baltalamakta, bir ihlalin ardından düzeltmeyi yavaşlatmakta ve firmaları daha savunmasız bırakmaktadır.

Peki bu durumda ne yapılabilir? Sürekli olarak izlenen 1,4 milyondan fazla şirkete güvenlik derecelendirmeleri ve büyük işletmelerden KOBİ’lere kadar dünyanın dört bir yanındaki şirketlere otomasyon araçları sağlama deneyimi, firmaların güvenlik çabalarını modernize etmelerine yardımcı olabilecek beş adımı ortaya koymuştur.

Aşağıda bu adımlar özetlenmiştir. Daha detaylı bilgi yazının sonundaki bağlantıdaki e-kitap indirilerek elde edilebilir

 

1. Adım: Siber Güvenliği Tanımlayın ve İş Hedefleriyle Uyumlu Hale Getirin

SOC Ekibi

Dijital dönüşüm, geniş bir satıcı ortamı ve kullanımda olan uç nokta cihazlarının sürekli artan sayısı ile firmaların risk profillerini daha da karmaşık hale getirmektedir. Yönetilmesi gerekenlerin sayısı oldukça fazla. Daha stratejik düşünmeyi ve kuruluşunuzu başarıya hazırlamak için siber güvenliğin nerede gerekli olduğu hakkında doğru soruları sormak gerekiyor. 

Başlangıç olarak, şirketinizin gelir ve iş hedeflerini, hangi iç ekiplerin bunları karşılamaya dahil olduğunu ve stratejinizi uyumlu hale getirmeniz gereken kilit satıcıları belirleyebilrsiniz;

  • Dahili takımlar belirlenmelidir,
  • Anahtar üçüncü parti firmaları belirlenmelidir,
  • Tedarik zinciriniz boyunca, güvenlik ile ilgili rol ve sorumluluklar net olarak belirlenmelidir. 

Daha sonra, önümüzdeki adımlarda gerçekleşecek olan uygulamada daha iyi yardımcı olmak için siber güvenliğin mevcut risk çerçevenize nasıl uyduğunu incelemelisiniz. Bu konunun detayları için Tedarikçi Risk Yönetimi e-kitabı incelenebilir.

2. Adım: Teknik Olmayan Personele Siber Güvenliğin Açıklanması

Çalışanlar, güvenlik sorunları hakkında her zaman sizinle aynı düzeyde anlayışa sahip olmayabilir. Siber güvenliği günlük olarak endişelenmelerini gerektirenen bir şey olarak görmedikleri gibi, acil bir sorun olarak da algılamayabilirler. Bunun neden önemli olduğunu anlamalarını sağlamak gereklidir. Bağlantısı verilen e-kitap yardımı ile siber güvenliğin anlaşılmasını nasıl kolaylaştıracağınızı öğrenebilirsiniz, bu da çalışanların tüm şirketinizi daha güvenli hale getiren en iyi uygulamaları benimsemelerini sağlayacaktır. Ayrıca, sürecinizi destekleyebilecek güvenlik araçları hakkında da bilgi edinebilirsiniz. Güvenliği iş birliğine dayalı bir çaba haline getirmek için bu araçlardan yararlanmanız önerilir ve tüm iş birimlerinizi, dahil ettikleri üçüncü tarafların, satıcıların ve/veya tedarikçilerin güvenliğini sahiplenmeleri için güçlendirebilirsiniz.

3. Adım: Üçüncü Taraf Satıcılarınız ve İş Ortaklarınızla İşbirliği Yapın

Bir Opus ve Ponemon Enstitüsü araştırmasına göre, şirketlerin yüzde 59’u üçüncü taraflardan birinin neden olduğu bir veri ihlali yaşadı. Tedarik zincirinizde tam ve sürekli görünürlüğe sahip olmak, ihlal riskini azaltmak ve maliyetli iş kesintisini önlemek için kritik öneme sahiptir. Sağlam üçüncü taraf ilişkileri kurmak, herhangi bir satıcı risk yönetimi programını ilerletmek bakımından çok önemlidir ve teknoloji burada çok önemli destek sağlar. Siber güvenlik anketi sürecini hızlandırmak, daha hızlı düzeltme gerçekleştirmek ve riski azaltmak için tedarikçilerle sorunsuz bir şekilde nasıl birlikte çalışacağınızı öğrenmelisiniz.

4. Adım: Yöneticilerinizin ve Yönetim Kurullarınızın Anlayabileceği Eyleme Dönüştürülebilir Bilgiler Sağlayın

Siber güvenlik önlemleri hakkında yönetime, yönetim kuruluna ve dış paydaşlara rapor verme ihtiyacı giderek artmaktadır. Ancak, yönetimin siber güvenlik girişimlerinizin her teknik ayrıntısıyla ilgilenmek için zamanları yoktur. Siber riskin iş işlevselliğini nasıl etkilediğini ve bu riski piyasa eğilimleriyle tutarlı bir şekilde azaltmaya nasıl yatırım yapacaklarını bilmeleri gerekir. Bazı güvenlik liderleri için bu, manuel yönetim raporları hazırlamak için saatler harcamak anlamına gelir. Halbuki, yönetim kurulu üyelerinin bilmesi gereken tüm metrikler, bir risk derecelendirme platformu yardımıyla otomatik olarak raporlaştırılabilinir.

5. Adım: Görünürlüğü ve Şeffaflığı Korumak için Girişimlerinizi Operasyonel Hale Getirin

Güvenlik girişimlerinizi kuruluşunuzdaki çeşitli ekipler arasında operasyonel hale getirmeyi ve programlarınızın görünürlüğünü her birimde korumak için otomatik çözümlerden yararlanarak tehdit algılamayı optimize etmeli ve yanıt yeteneklerine öncelik vermelisiniz. Modern risk yönetimi, etkili işbirliği ve mevcut süreçlerinize sorunsuz entegrasyon gerektirir. Dahili ekipleriniz ve üçüncü taraflarla işbirliği içinde çalışarak, kuruluşunuzun mevcut araçlarınızın yatırım getirisini (ROI) artırmasına, riski azaltmasına ve uyumluluk duruşunuzu güçlendirmesine olanak tanıyabilirsiniz.

Sonuç

Öncelikle aşağıda bağlantısı verilen e-kitaptaki soru setini yanıtlayarak kuruluşunuzun etkili işbirliği bakımından nerede durduğunu anlayabilirsiniz. Bu temelden hareket ederek kurumunuzda, işbirliğinin arttırılmasını gerektiren alanlara odaklanabilirsiniz. Bunu takiben yukarıda özetlenen ve kanıtlanmış 5 adımı uygulayarak, modern siber risk yönetimi yolunda önemli bir adım atmış olursunuz. 

Referans: SecurityScorecard Five Steps to a Modern Cyber Risk Management Team E-book

Konuyla ilgili daha fazla bilgi almak için aşağıdaki formu doldurarak, Complete Guide to Building Your Vendor Risk Management Program” e-kitabını indirebilirsiniz: