Siber Dayanıklılıkta Üst Yönetimin Rolü Nedir?

Ayşim Niksarlı | 09 Şubat 2024

İlgili Konular: Siber Güvenlik, Siber Saldırılar, Risk Yönetimi, Güvenlik Mimarisi

Focerta Siber Güvenlik Danışmanlığı Direktörü Ayşim Niksarlı, kurumlarda siber güvenliğin yalnızca teknik bir konu değil, aynı zamanda üst yönetim düzeyinde sahiplenilmesi gereken stratejik bir alan olduğuna dikkat çekiyor.

“Siber güvenlik dayanıklılığının artması ve bunun tüm kurum kültürünün bir parçası haline gelmesi için üst yönetimin farkındalığı gerçekten çok önemli. Ancak bu konuda nasıl bir durum görüyoruz diye baktığımızda, üst yönetim ve yönetim kurulu seviyesinde bu durum şirketten şirkete, sektörden sektöre çok değişebiliyor. Örneğin, regüle olmuş sektörlerde, finans gibi ya da enerji sektörü gibi üretim sektörü gibi kritik altyapılarla ilgili sektörlerde, gerek bu sektörlerin otoriteleri, regülasyon otoriteleri, gerekse özellikle Cumhurbaşkanlığı’nın Dijital Dönüşüm Ofisi tarafından çıkarılmış olan rehber anlamında çok ciddi yaptırımlar ve denetimler söz konusu. Dolayısıyla burada bir üst yönetim sorumluluğu gündeme gelmiş oluyor. Hatta bütün bulgular, takip edilen gerek iç dış denetim bulguları, gerekse sızma testleri bulguları, örneğin bankalarda yönetim kurulu onayı sonrasında sistemlere yükleniyor. Dolayısıyla burada ciddi bir rolü var üst yönetimin. Fakat dediğim gibi burada sektörler farklılaşabilir. Eğer regüle ise zaten yönetim kuruluna birçok konu çıktığı için bu biliniyor. Diğer sektörlere baktığımızda, yani regülasyon anlamında çok yoğunluk yaşamayan veya bütçesel anlamda çok ciddi bütçeleri olmayan şirketler, biraz daha musibet temelli yönetiliyor. Bu anlamda bilgileniyor üst yönetim. Eğer ki şirketin başına ya da çok yakın çalıştıkları veya rekabet içinde oldukları şirketin başına bir olay gelmişse, üst yönetim bu konuya biraz daha ilgili olabiliyor. Tabii burada yine insan faktörü anlamında gerek yukarıdan başlayarak yönetim kurullarının burada çok iyi bilgilendirilmesi ki bazı global şirketlerde, örneğin biz de Forcer olarak bu anlamda yönetim kurulu farkındalık eğitimleri, siber güvenlik eğitimleri de sağlıyoruz. Birkaç bankanın yönetim kurulunda bunu gerçekleştirdik. Global olanlarda bu zaten bir program olarak başlatıldığını gözlemliyoruz. Cyber Security Leadership diye bir program altında ele alınmış oluyor. O zaman zaten detaylı bir şekilde konuya eğilmiş oluyorlar. Türkiye’de ise biraz daha regülasyonlarla dediğim gibi oranlı gitmiş oluyor. Burada tabii ki de hem bütçe kararları hem stratejilerin belirlenmesi, şirketin rekabetçi rotasına zarar getirmeyecek şekilde hızlı hareketi, dijital dünyada rahat ilerlemesi açısından mutlaka ki yönetim kurullarında bu anlamda beslememiz gerekiyor.”

Siber Güvenlik Dayanıklılığı ve Üst Yönetimin Rolü
Siber güvenlik, günümüz dijital dünyasında her geçen gün daha da önem kazanan bir konu haline gelmiştir. Kurumların dijital varlıklarını koruma altına alması, sadece teknik bir mesele değil, aynı zamanda stratejik bir gerekliliktir. Bu bağlamda, siber güvenlik dayanıklılığının artırılması ve bu konunun kurum kültürünün bir parçası haline gelmesi, üst yönetimin farkındalığına bağlıdır. Üst yönetim, siber güvenlik stratejilerinin belirlenmesi ve uygulanmasında kritik bir rol oynamaktadır. Ancak, bu farkındalık ve sorumluluk seviyesi, sektörden sektöre ve şirketten şirkete değişiklik göstermektedir.

Regüle Sektörlerde Siber Güvenlik
Regüle olmuş sektörlerde, siber güvenlik konusundaki farkındalık ve sorumluluk daha belirgin bir şekilde ortaya çıkmaktadır. Finans ve enerji gibi kritik altyapılara sahip sektörlerde, regülasyon otoriteleri tarafından belirlenen kurallar ve yaptırımlar, üst yönetimin bu konudaki sorumluluğunu artırmaktadır. Bu sektörlerde, yönetim kurulları siber güvenlik konularında daha aktif bir rol üstlenmekte ve bu alandaki gelişmeleri yakından takip etmektedir.

Diğer Sektörlerde Durum
Regülasyon yoğunluğu yaşamayan veya bütçesel anlamda kısıtlı olan sektörlerde ise siber güvenlik konusundaki farkındalık daha düşük seviyelerde olabilir. Bu tür şirketlerde, genellikle bir siber olay yaşandığında veya rekabet içinde oldukları bir şirketin başına bir olay geldiğinde üst yönetim bu konuya daha fazla ilgi göstermektedir. Bu durum, siber güvenlik farkındalığının musibet temelli bir yaklaşımla ele alındığını göstermektedir.