Kurumsal direktörlerin sadece yüzde 37’si organizasyonlarının siber güvenlik planları konusunda emin. Siber güvenlik ve bilgi güvenliği hususunda kurumsal ve kamu sektörü kurulları yanlışlıklar için ne gibi sorumluluklara sahip ve onlar için hangi kaynaklar mevcut? İşte detaylar…
Yönetim kurulu ve idarecilerin bilgi güvenliğini çözmedeki başarısızlığı masraflı ve önlenebilir, zayıf bir biçimde ele alınan Equifax ihlali firmaya zaman içinde doğrudan 1,5 milyar dolara mal olabilir. Yönetimdeki bu dikkat eksikliği Equifax CEO’su Paulino do Rego Barros bir toplantıda “firmasının tüketici verisini şifreleyip şifrelemediği konusunda emin olmadığını” söylediğinde açık bir şekilde ortaya koyulmuştu.

Bu sistemik bir problem iş dünyasında oldukça yaygın. Wall Street’in Ocak ayındaki bir makalesinde “Enformasyon teknolojisi riskleri ve stratejilerine adanmış kurul komitesi üyeleri halen nadir. Sadece Fortune 100 firmalarında mevcut,” diye yazıyordu. Dahası kurumsal direktörlerin sadece yüzde 37’si “hizmet verdikleri firmanın bir siber saldırıya karşı düzgün bir biçimde güvene alındığı” hususunda emindi. Daha geniş SMB ve yerel yönetimler arenasında yönetimler bilgi güvenliğini daha da nadir bir oranda göz ardı ediyor ve yüzde 37 oldukça iyimser görünüyor.

Söz konusu WSJ makalesinde açıklanan daha rahatsız edici şey ise bazı yönetim kurullarının “fidyecilere ödeme yapmak üzere bir Bitcoin hesabının oluşturulması dâhil olmak üzere düzenlenmiş yanıt planlarına” sahip olması. Yönetim kurulu bakış açısından bu durum için savunulabilir ve ölçülebilir olurluk durumlarının olduğunu var sayıyorum ama suçlularla anlaşma yoluna giderek onları ödüllendiren bu yöntem rahatsız edici. Önleme ve dirençlilik daha iyi politikalar.

Kurul ve yönetimin rolü nedir?
Kurul ve idarecilerin organizasyonlarının bilgi güvenliğine dikkat göstermesini temin etmek üzere yapmaları gerekenler konusunda gizem yok. ISO/IEC 27001’in beşinci bölümü bir organizasyonel bilgi güvenliği yönetim sistemi (ISMS) geliştirmeye dair “tepe yönetim”den istenen 18 gereksinim tanımlanıyor. Bu gereksinimler arasında politika geliştirme, kaynak yerleştirme, kesintisiz gelişim, dokümantasyon, raporlama ve daha birçok şey yer alıyor.
NACD (Kurumsal Direktörler Ulusal Birliği) direktörler için 16 saatlik siber risk sertifikası sunuyor. Kurs sonunda yapılan sınavın ardından katılımcılar Carnegie Mellon Üniversitesi’nden bir sertifika alıyor. NACD bununla birlikte “efektif siber risk yönetimi için beş prensip”i tanımlayan 44 sayfalık bir el kitabını da ücretsiz yayınlıyor. Kitapçıkta aynı zamanda siber güvenlik konusunda yönetimin sorması gereken 48 soruyu içeren zengin bilgiler içeriyor.

Yerel yönetimler için ICMA diğer bilgilerle birlikte Yerel Yönetimler Siber Güvenlik: Başlangıç rehberini yayınlıyor. Bu rehber bazı faydalı bilgilere sahip ama NACD el kitabının derinliğine ve kalitesine sahip değil. Bunu okul kurulu üyeleri ile yerel meclis üyelerine öneririm. Kamu sektörü siber güvenliği ciddiye almıyor.
Bu organizasyonlardaki “siber” hususuna dair problemim onların daha geniş bir disiplin olan ‘enformasyon güvenliği’nin çözümünde başarısız olmaları. Bu basitçe bir anlambilim meselesi değil ve tam anlamıyla efektif olabilmesi için siber riskin daha geniş bir bağlamda enformasyon güvenliği içinde anlaşılması gerekiyor.

Basitçe söylemek gerekirse, şayet kıdemli yönetim sizin bilgi güvenliği programınızın bir parçası değilse, gerçekten bir programınız yok demektir. Kurullar ve idareciler rutin olarak CPU çevrimlerini soruna adamalı, aynı diğer herhangi bir kritik iş sorununda yaptıkları gibi.
Durumu netleştirmek
Kapsamlı bilgi güvenliği programları çok küçük işletmeler için dahi basit, güçlü ve sürekli büyüyen bir bulgu gövdesiyle destekleniyor. Enformasyonun güvenliğini sağlamada başarısız olmak masraflıdır, hem de çok. Anthem ihlalinde ki firma ihmalkâr ne de sorumlu bulundu, kabaca onlara 414 milyon dolara mal oldu ve Target ihlalinin maliyeti de 230 milyon dolar.
Mali tartışmalar her ne kadar bir güvenlik programı için en iyi durum olsa da, bazen harekete geçmek zaman alabiliyor zira nispeten küçük organizasyonlardaki idareciler bu devasa ihlallerin kendi işleriyle nasıl bağlantılı olduğunu hemen göremeyebiliyor. Dolayısıyla benim tercih ettiğim durumu ortaya koymanın en iyi yolu kurumsal konseyi veya kurum avukatını en başından dâhil etmektir.

Avukatları ve parayı getirin
Avukatlar bağlantıları ekibin kalanından çok hızlı yapar bilhassa mevzuat uyumluluğu sorunları mevcutsa. Onlar hızlıca aptalca hatalar, ihmal, ihlal, adli ve mevzuat incelemeleri, cezalar, kamu rahatsızlığı ve kaçınılmaz davalar arasındaki noktaları birleştirir. Çoğu organizasyonda avukatlar oldukça sayılma eğilimindedir ve onlar bütün filmi kafalarının içinde izleyebilir. Onlar sezgisel olarak hazır olmadıkları sürece kahramanı oynamayacaklarını bilir.
Kapsamlı bir politika geliştirdiğim bir organizasyonda süreç yönetim kurulu üyeleri, idareciler, İK, avukatlar ve diğer çalışanların dâhil olduğu büyük bir paydaş komitesiyle aylarca devam etti. Tartışmalar zaman zaman çekişmeliydi ama ekip yaklaşımı çabaya değerdi çünkü herkes nihai ürüne yatırım yaptı. Organizasyonun politikayı eksiksiz olarak geliştirmesi iki yıl sürdü ve ilk periyodik risk değerlendirmesi geldiğinde direktörlerden bir tanesi “yani bunun maliyetli olacağını mı söylemeye çalışıyorsunuz?” dedi.