GRC sistemleri ile doğru risk tespiti ve yönetimi sağlanabilir mi?

EdZconsult kurucusu Ediz Öztürk, Wise TV’de GRC’nin (Governance, Risk, Compliance) şirketlerde nasıl bütüncül bir yönetim çerçevesi oluşturduğunu anlattı.

Şirketlerde özellikle GRC’nin doğru anlaşılıyor olması bence en önemli noktalardan bir tanesi ki bu, siber güvenliğin başındaki noktalardan biridir. Siber güvenlik deyince belirli protokollere, ağ segmentasyonuna, altyapılara vesaire çok daha fazla odaklanıyoruz; IDS, XDR vesaire gibi. Ancak bunun bir de yönetim tarafı var. Yönetim tarafı gerçekten doğru bir çerçeveyle yapılıyor olması lazım. GRC de aslında bunu sağlayan governance, risk ve compliance; yani yönetim, risk yönetimi ve uyum yönetiminin kısaltılmışı. Ancak GRC sistemlerinin doğru çerçeve çalışmasıyla oluşturulması çok önemli. Biz buna yönetişim diyoruz aslında, bilişimin yönetimi gibi düşünebilirsiniz. Bu sistemlerin belirli bir çerçeve çalışma içerisinde doğru risk tespitlerini yapıyor olması ve riskle doğru mücadele tekniklerini oluşturuyor olması lazım. Çünkü risk mücadele tekniklerine baktığımızda mesela risk avoidance, riskten kaçınma gibi çeşitli manevralar yapılıyor olması lazım. Bu kaçınma manevraları da ancak yönetişimin doğru bir çerçevede, doğru bir temele oturtulmasıyla yapılabiliyor. Bunun dışında risk azaltma, riskleri doğru yönetmeyi de bırakın, riski azalttıktan sonra kalıntı risk diye adlandırdığımız risklerin de bir daha yönetilmesi bunun bir parçası. Peki sadece risk mi yönetiyoruz? Yani baktığınızda risklerin karşılığında başka bir şey yok mu? Hayır, tabii ki birçok regülasyon ve uyum da yine aynı şekilde var. Şirketler izole çalışmıyor, izole çalışmadıkları için birçok regülasyona tabiler ve bu regülasyon içerisinde de sizin kimlik yönetiminden tutun, arka plandaki yama yönetimine, siber olaylara müdahale sistemlerine, siber sistemlerin incelenmesine, izlenmesine ve bütün bunların bütüncül bir şekilde red teaming gibi, blue teaming gibi, hatta purple teaming gibi ki purple teaming yönetim tarafına biraz daha giriyor, birçok sistemle bunları desteklememiz gerekiyor. Çok duymadığımız belki white teaming, green teaming, yellow teaming gibi farklı takımların da oluşması ve bütün bu takımların böyle bir dişlinin çarkları gibi uyumlu çalışması gerekiyor. Peki günümüzdeki çerçeve çalışmalar, yani GRC çalışmalarındaki kullandığımız çerçeve sistemler buna yeterli mi? Hayır, maalesef yeterli değil. Sırf bunun için ben akademik tabanı da olan bir çalışma gerçekleştirdim, ismi de “Holistic Methodology of Digital Governance Transformation” diye geçiyor. Burada tabii bahsettiğimiz bütüncül yaklaşımı mutlaka koymak gerekiyor. Dijital transformasyon bunun ayrı bir parçası ve dijital transformasyonu yaparken risklerden de bir şekilde ödün vermememiz gerekiyor, risklere izin vermememiz gerekiyor. Bu da bütüncül bir yaklaşımı gerektiriyor. Merak eden arkadaşlar tabii ki tez veri tabanından bunu bulup inceleyebilirler. Biz bu metodoloji içerisinde şirketlerin, kurumların belirli bir maturity levelini yani olgunluk seviyesini çıkartıyoruz. Olgunluk seviyesi içerisinde 6.000’e yakın soru var, 13’ten fazla domain var. Bunların içinde operasyonel domainden tutun da risk yönetimi, belirli sistemlerin yönetimi, altyapı yönetimi, fiziksel yönetim vesaire gibi çok farklı alanlar var. Bütün bunları bütüncül bir şekilde düşünecek farklı yaklaşımlara ihtiyacımız var. Tabii ki bununla ilgili çerçeve çalışmalar da kendilerini geliştiriyor. Biz de belirli yapılarla bunları destekliyoruz.

GRC’nin Önemi ve Anlamı

Günümüz iş dünyasında, şirketlerin karşılaştığı en büyük zorluklardan biri, siber güvenlik tehditleri ve bu tehditlere karşı alınması gereken önlemlerdir. Bu noktada, GRC (Governance, Risk, Compliance) kavramı devreye girer. GRC, yönetim, risk yönetimi ve uyum yönetiminin kısaltmasıdır ve şirketlerin siber güvenlik stratejilerini etkili bir şekilde yönetmelerine yardımcı olur. GRC’nin doğru anlaşılması, şirketlerin siber güvenlik tehditlerine karşı daha hazırlıklı olmalarını sağlar ve bu nedenle büyük önem taşır.

Siber Güvenlik ve GRC İlişkisi

Siber güvenlik, genellikle teknik protokoller, ağ segmentasyonu ve altyapı gibi konulara odaklanır. Ancak, bu teknik unsurların yanı sıra, yönetim tarafı da büyük bir öneme sahiptir. GRC, bu yönetim tarafını kapsar ve siber güvenlik stratejilerinin daha etkili bir şekilde uygulanmasına olanak tanır. Bu nedenle, GRC’nin doğru bir çerçeve ile uygulanması, siber güvenliğin temel taşlarından biridir.

Risk Yönetimi ve GRC

Risk yönetimi, GRC’nin önemli bir bileşenidir. Şirketler, riskleri doğru bir şekilde tespit etmeli ve bu risklerle mücadele etmek için uygun stratejiler geliştirmelidir. Risk avoidance (riskten kaçınma) gibi teknikler, doğru bir yönetişim çerçevesi ile uygulanabilir. Bu, şirketlerin karşılaştıkları riskleri minimize etmelerine yardımcı olur.

Uyum Yönetimi ve Regülasyonlar

Şirketler, çeşitli regülasyonlara tabidir ve bu regülasyonlara uyum sağlamak zorundadır. GRC, şirketlerin bu uyum süreçlerini yönetmelerine yardımcı olur. Kimlik yönetimi, yama yönetimi ve siber olaylara müdahale gibi konular, uyum yönetiminin bir parçasıdır ve GRC çerçevesinde ele alınır.

Takım Çalışması ve GRC

GRC, takım çalışmasını da kapsar. Red teaming, blue teaming ve purple teaming gibi kavramlar, siber güvenlik stratejilerinin bir parçasıdır. Bu takımlar, siber güvenlik tehditlerine karşı etkili bir şekilde mücadele etmek için birlikte çalışır. Ayrıca, white teaming, green teaming ve yellow teaming gibi daha az bilinen takımlar da bu sürece katkıda bulunur.

Dijital Dönüşüm ve GRC

Dijital dönüşüm, GRC’nin bir diğer önemli bileşenidir. Şirketler, dijital dönüşüm süreçlerini yönetirken, risklerden ödün vermemelidir. Bu, bütüncül bir yaklaşım gerektirir ve GRC, bu süreçte şirketlere rehberlik eder. Dijital dönüşüm, şirketlerin olgunluk seviyelerini artırmalarına yardımcı olur.

GRC’nin Geleceği

GRC, sürekli gelişen bir alandır ve şirketler, bu alandaki yenilikleri takip etmelidir. Akademik çalışmalar ve yeni metodolojiler, GRC’nin daha etkili bir şekilde uygulanmasına olanak tanır. Şirketler, GRC çerçevesinde olgunluk seviyelerini artırarak, siber güvenlik tehditlerine karşı daha hazırlıklı hale gelebilir.

Özet

GRC, şirketlerin siber güvenlik stratejilerini yönetmelerine yardımcı olan önemli bir kavramdır. Yönetim, risk yönetimi ve uyum yönetimi gibi bileşenleri kapsayan GRC, şirketlerin siber güvenlik tehditlerine karşı daha hazırlıklı olmalarını sağlar. Takım çalışması, dijital dönüşüm ve sürekli gelişen metodolojiler, GRC’nin etkinliğini artırır. Şirketler, GRC çerçevesinde olgunluk seviyelerini artırarak, siber güvenlik tehditlerine karşı daha güçlü bir duruş sergileyebilir.