Risk algısı ne kadar yükseltilirse risklerle mücadele o kadar başarılı olur

Risk algısı ne kadar yükseltilirse risklerle mücadele o kadar başarılı olur

Riskin her zaman var olduğunu söyleyen Aon Türkiye Genel Müdür Yardımcısı Ahmet Eryaman, “Yöneticiler farkında olmasa da firmalar risklere maruz ama çok iyi hazırlanıldığı takdirde kolay ve zahmetsiz atlatılıyor. Risk algısı yükseltilip herkes risk durumuna hazırlanırsa başarılı olunur” dedi.
Geçtiğimiz günlerde 150’den fazla ülkeyi etkileyen WannaCry virüsü 300 binin üzerinde de bilgisayara zarar vermişti. Pek çok sektörü de etkisi altına alan vaka sonunda, dünyanın önde gelen şirketleri maddi ve manevi olarak ciddi oranda zarara uğradı. Peki, bu denli büyük boyutlu siber saldırılarda en kritik hata neden kaynaklanıyor? Saldırıların çapının artmasında kurumların eksikleri söz konusu olabilir mi? Bilişim dünyasının gündemdeki konusu siber riskleri ve dünyadaki siber güvenlik algısını Aon Türkiye Risk Yönetimi Danışmanlığı’ndan Sorumlu Genel Müdür Yardımcısı Ahmet Eryaman ile konuştuk…

Aon Türkiye neler yapıyor, biraz bahseder misiniz?
Dünyadaki dev sigorta brokerliği firmaları işlerini tekrar gözden geçirip ‘sigorta işimizi, riski idaresine dönüştürmeliyiz’ diye düşündüler. ‘Biz müşterilerimize riski daha iyi idare etmelerine ve gerekirse transfer etmelerine yardımcı oluyorsak, riski daha iyi idare etmeleri için hizmetler sunmamız gerekir’ diye bir görüş oluştu. Danışmanlık hizmetlerini açmaları da böyle başladı. Aon çatısı altında da bu hizmeti veren bir ekip bulunuyor. Risklerin belirlenmesi ve ortaya çıkarılması için danışmanlık hizmeti ve çözümler sağlamaya yönelik bir yapılanma içindeler. 7 yıldır bu tür hizmetler devam ediyor.
Sonrasında riski tanımlama, riski ölçme, ‘riski sigortalayarak mı idare edeceğim, kendi içimde mi çözüm bulacağım?’ kararını verme, ‘kendi içimde çözüm bulacağım’ diyen müşterilere de o konuda çözüm bulan uzman bir kadromuz var. Müşterilerimizin maruz kaldığı riskler içerisinde siber risk ön plana çıktığı için biz de son 5 yıldır odağımızı siber riskler noktasında konumlandırdık.

Peki, öncelikle odak noktanızın siber riskler olduğunu düşünürsek gündemi oldukça meşgul eden WannaCry saldırısını sormak isteriz… WannaCry saldırısı neden gerçekleşti? Buradaki hata neydi? Saldırının ciddi boyuta ulaşmasında Microsoft firmasının hatalı olduğunu düşünüyor musunuz, yoksa firmaların bir eksiliği mi söz konusu idi?
WannaCry’dan Türkiye’deki büyük müşterilerimiz de dâhil pek çok firma etkilendi. Burada, Microsoft’un kullanıma koyduğu yamaların zamanında uygulanmamasından dolayı açıklar oluştu. Az değil aslında, tam 8 hafta önce Microsoft bu yamaları açıklayıp dağıtıma koymuş durumda… Etkilenen firmalardan bahsedecek olursak, burada müşteriyi iki gruba ayırabiliriz. Gelişmiş ülkelerdeki müşteriler; zaten bu müşteriler Windows’u, Microsoft’un sürümlerini izliyorlar. Ancak bir de korsan yazılım kullanımının yaygın olduğu ülkeler söz konusu. Bu ülkeler daha geriden geliyor. Daha eski versiyonları, hatta belki de lisanssız kullanımı oldukça yaygın. Dolayısıyla dünyada yüzlerce ülkede olduğu, binlerce bilgisayarın zarar gördüğü düşünüldüğünde o popülasyonu ikiye ayırmamız gerekiyor. Birinci grupta olan popülasyonda; bir yama yenileme prosedürü var. IT’nin önemli görevlerinden biri fakat bir o kadar da üst yönetim tarafından kıymeti bilinmeyen konulardan da biri olduğunu düşünüyorum. IT ekiplerinin üzerindeki iş yükü belli. Geliştirme projeleri, dijital dönüşüm gibi öncelikli çalışmalar söz konusu. Bunlar yapılırken yama bazen arka planda kalabiliyor. Bu noktada da böyle bir açık oluştu. 8 hafta geçtikten sonra hala WannaCry bir hasar verebiliyorsa oradaki yama yenileme prosedürünü gözden geçirmek lazım. İkinci grupta olan popülasyonda ki firmaların sorunu farklı. Bu müşteriler, güncel (upgrade) edilmemiş versiyonlar kullanıyorlar. Microsoft bu versiyonların desteğini kesmiş ve zaten bir yama yayınlamıyor. Dolayısıyla eski bir versiyon kullanan şirket zaten bile bile lades oluyor. Zira olayın büyüklüğü ortaya çıktığında Microsoft geri dönüp artık destek vermediği sürümler için de bir yama yayınladı.
Türkiye’deki büyük firmalardan biri ile bu konu özelinde bir görüşme yaptık. Bu görüşme, WannaCry konusu açılmadan önce idi. ‘Sizin yama yenileme prosedürünüzde ki hedef metriğiniz nedir?’ diye sorduğumda, ‘70-90 gün arası’ olduğunu ifade ettiler. Burada IT’de çalışan uzmana da suç bulunamaz çünkü prosedür de zaten belli bir metrik söz konusu. Biz buna risk idaresinde risk iştahı diyoruz. Kurumsal Risk Yönetimi (ERM) açısından bakıldığında uzun bir zaman olduğunu söylemek mümkün. Açıkların kötü niyetli kişiler tarafından kötü niyetli kullanılma süreleri o kadar hızlandı ki, bunun gibi metriklerin yeniden ve sıklıkla gözden geçirilmesi büyük önem taşıyor.

Burada zayıf nokta neydi peki? Etki alanı neden bu kadar büyük oldu?
Teknolojiyi takip etmek elbette çok önemli. Ancak bunun dışında insan faktörü en büyük bilinmeyen. Kasıtlı olunmasa bile, bir çalışanın gereken özeni göstermemesinden de kaynaklanan sonuçlar var. Bu konuya eğilmek farklı yaklaşım ve yatırımlar gerektiriyor. Eğitim, farkındalık ve biraz da kuruma bağlılıkla çözülecek konular olduğunu düşünüyorum. Tabi teknoloji ayağı da başka bir boyut. Teknoloji ayağında da bilişim teknolojilerindeki servis birimlerinin KRY tarafından saptanmış ve yayınlamış belli birtakım risk iştahı olması lazım. WannaCry vakasında bu risk iştahı tanımındaki eksiklik, yamaların uygulanma süresi idi. Yamalar bu işin bilinen ama uygulanmayan noktaları. Hiçbir müşteri bize gelerek, ‘Nasıl oldu, anlatın’ demedi; ancak ‘Bizim yama prosedürümüz bu kadar gün’ dediler. Şirketin fonksiyonlarını; rakiplerden daha iyi yapacak kadar bir esneklik içerisinde fakat gelen tehlikeleri de önleyecek seviyede sınırlandıran risk metrikleri ile düzenlemek lazım. Onu da analizle tespit etmek gerekiyor. İhtiyaçlarla tehlikeleri karşı karşıya getirip orta kademeyi bulmak öncelikli şart!

Aslında en büyük zafiyet çalışan noktasında başlıyor…
Bunun çözümü her zaman bilgilendirme, eğitim, ölçme ve aksiyon… ‘Ölçemediğiniz şeyi yönetemezsiniz’ diye her iş koluna uygulayabileceğiniz bir yaklaşım var; bu da onlardan farklı değil. Avrupa ve Amerika’daki firmalar bu konu ile mücadele etmek için yeni jenerasyona uygun yaklaşımlar uyguluyorlar. Artık yeni kuşağa oyunsallaştırarak öğretme eğilimi var. Yine de hata yapma ihtimali söz konusu. Böyle durumlar içinde ölçümleme lazım. Hata yapma noktasında ölçümleyerek onun sonuçlarına göre aksiyon geliştirmek lazım. Yurtdışında “oltalama (phishing)”eğitimi veriyorlar. Phishing’in nasıl yakalanacağı konusunda ipuçları ile eğitim uyguluyorlar. Bazı firmalar kendi içlerinde phishing gönderiyorlar. Ona kaç kişinin ‘tık’ladığına bakılıyor ve bir ölçme yapılıyor. Kaç kişi ‘tık’ladı ise yönlendirme ile zorunlu bir eğitim veriliyor. Personelin işten ayrılma hızına göre, İK ile temasta olarak bunu düzenli olarak tekrarlıyorlar.

Bu tür saldırılar birçok kurum ve sektörü fazlasıyla etkiliyor; peki sizce en çok hangi sektörler bu konuda daha güçlü bir duruş sergiliyor?
Bu konuyu objektif tarafa çekmek için Aon’un risk dünyasına yönelik iki yılda bir gerçekleştirdiği Global Risk Yönetimi Anketi var. Sonuncusu Ocak ayında bitti ve şu anda katılımı en yüksek anket olduğu söylenebilir. Orada siber riskler dünya çapında 5. risk olarak çıktı. Aon olarak yaygın bir katılıma ulaşabildiğimiz için sonuçları 33 adet alt sektöre kırabiliyoruz. Ankette hiçbir alt sektör toplam katılımcıların yüzde 7’sini geçmiyor. Demek istediğim şu ki, dağılım gerçekten doğru ve çok güzel. Kuzey Amerika’da siber riskler 1 numara. Yani; katılan firmaların hemen hemen hepsinin ilk üçte saydığı risk siber. Ortadoğu ve Doğu Avrupa olarak baktığımızda ise siber riskler ilk 10’nun sonlarına doğru geriliyor. Latin Amerika’da 18. sırada. Bunun sebebi; sektör bazında herkes eşit dağılmış durumda ama coğrafi olarak Kuzey Amerika ile Avrupa yüzde 60’ı dünyanın geri kalanı yüzde 40’ı karşılıyor. O yüzden de Siber Riskler Kuzey Amerika’da 1 numara olunca toplamda da 5. risk olarak gösteriliyor.
Kuzey Amerika ve gelişmiş Avrupa ülkelerinin teknolojiye yaptıkları yatırım, aldıkları verimlilik ve inovasyondan kazandıkları verimliliğin ön planda olması ve bundan mütevellit son hızla otomasyona gitmeleri siber risklerin önemsenmesi noktasında etkili oluyor. Global Risk Yönetimi Anketimize katılan firmaların yüzde 33’ü siber sigorta almış durumda. Hâlbuki Kuzey Amerika’dan katılan firmaların yüzde 68’i siber sigorta almış. 2015 yılında Washington, ABD’de çok iyi bilinen The Center for Strategic and International Studies adlı düşünce kuruluşu, siber suçların ve ekonomik casusluğun dünya ekonomisine yılda 445 milyar dolara mâl olduğunu tahmin ediyor. Küresel ölçekte Bankalar, Telekomünikasyon sektörü uzun zamandan beri bu riskin farkında ve ciddiyetle eğiliyorlar. Eğitim Sektörü, Otelcilik, Enerji Üretim/Dağıtım, Perakendeciler siber riskleri ilk 3 risk içinde gösteriyorlar. Kuzey Amerika’dan Türkiye’ye döndüğümüzde ise sektörel ayrılık söz konusu. Güçlü şirketlerin olduğu sektörler artık Avrupa ile eşdeğer olarak dünyayı izliyorlar. Bankacılık mesela böyle bir sektör. Onların siber risk algısı elbette daha yüksek. Keza Telekom sektörü için de bunu söylemek mümkün. Risk algısı yüksek sektörler burada daha güçlü kalıyor.

Nesnelerin İnterneti ile ilgili gelişmeleri siber risk noktasında nasıl değerlendiriyorsunuz?
Risk bir algı… Dolayısıyla risk algısı artacak evet; ancak bir de hasara bakmalıyız. Hasar gerçekten artacak mı? Risk algısı hasar olunca zarar olarak ortaya çıkıyor. Nesnelerin İnterneti’nde bir bilinmezlik var mı? Evet var. Uygulama alanları hızla artıyor, kullanım alanları çoğalıyor, standartlar henüz yok ve tasarlama aşamasında birçok firmanın önceliğinde siber güvenlik yok. Daha çok nesnelerin internetinin kullanım senaryolarına, projelerin bütçesine ve üretimde yaygınlaştırmaya odaklanılmış durumda. Dolayısıyla risk söz konusu. Sigortacılık olarak biz buradayız. Yöneticiler farkında olmasa da firmalar risklere maruz ama çok iyi hazırlanıldığı takdirde kolay ve zahmetsiz atlatılıyor. Risk algısı yükseltilip herkes risk durumuna hazırlanırsa bence başarılı olunur.

Categories: FİRMA RÖPORTAJLARI

About Author

Write a Comment

Your e-mail address will not be published.
Required fields are marked*