Siber riskin çözümünde temel değişikliklere ihtiyaç var

Siber riskin çözümünde temel değişikliklere ihtiyaç var

KPMG, siber güvenliği temel bir bileşen olarak içeren bütüncül bir operasyonel risk taslağının finansal kurumlara yardımcı olabileceğine, bir yandan işletmenin en değerli varlıklarını siber saldırı ve tehditlere karşı korurken rekabet avantajı sağlayacağına inanıyor.
Teknolojinin hızı ve oranının değişmesi finansal kurumları daha büyük bir risk ve mevzuat uyumluluğuyla karşı karşıya bırakmasının yanı sıra değer yaratma ve fırsat yatırımı için yeni yollar da açıyor. KPMG’de siber güvenlik hizmetleri sorumlusu Charles Jacco’ya göre bu, tarihsel olarak bir teknoloji liderliği problemi gibi görülen siber güvenlik riskini, işletme çapında riski yönetmenin sadece bir parçası olan bir iş problemi olarak ele almaya yöneltti.

Tarihsel olarak siber güvenliği çözmek CISO’nün rolü olageldi; işletmenin stratejik yönüne karşın kurumun korunmasına dair ilkelerin oluşturulmasından ortamın kontrolüne yönelik araç ve teknolojilerin konuşlandırılmasına kadar tüm cephelere sahip kişi oydu.
“Bu işe yaradı çünkü işi yerine getirecek kadar yetkiye sahip bir kişinin varlığına ihtiyacımız vardı,” diye konuşuyor Jacco. Şimdi ise tipik bir finansal kurumda diğer fonksiyonların çoğu üç defans hattına ayrıldı (kontrollere sahip olan ön uç iş fonksiyonu; kontrol ve dengeleri sağlayan bir bağımsız risk yönetimi fonksiyonu; ve harici bir denetlemeden evvel her şeyin çapraz kontrolünü yapan bir dahili denetleyici. Ama siber güvenlik bu alanda yer bulmadı); çünkü firmalar kurumu güvenli tutabilmek için ayrı bir teknik otoriteye ihtiyaç olduğunu düşünüyordu.

Söz konusu ayrı teknik otorite (sıklıkla CISO) bir iş engelleyici halini almaya başladı, diye açıklıyor Jacco. “Onlar böyle olmak istemiyor ama risk kendilerinin üzerinde olduğundan ortamı korumak zorunda olduklarını hissediyorlar,” diyor. Diğer yandan bu yeni gelir akışları bulmaya ve startup’arla rekabet etmeye çalışan işletmeyi sıkıntıya sokuyor. Sonuç itibariyle şimdilerde doğal bir gelişme gerçekleşiyor; şurası netleşti ki, iş tarafı kararları verirken firmanın risk iştahını iyice anlamalı. “Bu CISO’nun işi olmamalı” diye konuşuyor. “CISO kurumu koruma üzerine odaklanmalı ve sıra risk iştahının tanımlanması ve hesaplanmasına geldiğinden yönetim kurulu üyeleri ile risk yöneticileri sürücü koltuğuna oturtulmalı.”

Siber risk için daha bütüncül bir bakış açısına ihtiyaç var
Yüksek bir seviyede iş değişiminin hızı 5-10 yıl öncesine göre kat kat daha fazla. İşletmenin istediği kadar hızlı ilerleyebilmesi için uygun risk pozisyonunu anlamaya ihtiyacı var ve bunun da tüm dikkatli pratiklerde siber güvenliği içermesi gerekiyor; siberin işletme botunca bütüncül bir yoldan kapsandığından emin olmak için.

Tipik CISO ve CIO doğası gereği teknik ve oldukça operasyonel olan aylık kurul okumaları gerçekleştirir; firmanın riski nasıl azaltabileceğini tartışmaksızın, diyor Jacco. “IT organizasyonu bazı araçları kuruyorsa, tüm bu ölçütlerin gerçekte riskleri azaltıp azaltmadığına dair bir kavrayış bulunmuyor,” diyor Jacco. “Bunların tümü kritik miydi? Herhangi biri çekirdek platformlarda mıydı yoksa değerli varlıklarda mıydı? İhlal edilen bir şey oldu mu? Bu veri yoktu ve şimdilerde başlıyor.”

Artık siber risk cephesi gerçekten önemsedikleri çekirdek varlıklar üzerinde ölçülebilir dolar miktarıyla paylaşılmalı ve risk iştahları ve anahtar risk göstergeleri bazında riski azaltmak için fonlama yapılabilir. “Bu, tüm işletme çapında riskin nasıl azaltılacağına dair geçmişte yapılanlardan farklı bir konuşma; baştan sona siber güvenlik katılarak,” şeklinde sürdürüyor konuşmasını.
Yeni bir operasyonel risk taslağı: Siber temel bir bileşen olarak
KPMG, siber güvenliği temel bir bileşen olarak içeren bütüncül bir operasyonel risk taslağının finansal kurumlara yardımcı olabileceğine, bir yandan işletmenin en değerli varlıklarını siber saldırı ve tehditlere karşı korurken rekabet avantajı sağlayacağına inanıyor.

Jacco bunun birinci ve ikinci savunma hatlarının ayrıştırılması manasına geldiğini söylüyor. “CISO, CIO’ya rapor vermeli,” diye konuşuyor. “İşletme riski üzerine odaklanmak yerine CISO fonksiyonu içindeki teknoloji risk fonksiyonunun rolü işletme için süreçlerle varlık envanterlerinin yönetimi ve sahip oldukları tüm teknoloji varlıkları hakkındadır.” Bu fonksiyon çekirdek platformların ne olduğunu, üzerine oturdukları çekirdek sunucuları, bunların üzerinde yer alan veri türlerini anlamalı; bununla beraber risk sınıflandırma noktasından neden önemli olduklarını.
Kontrolleri uygulayan güçlü bir risk taslağı yaratmaları ve o varlıkları korumak için teknolojiyi yerine getirmeleri gerekiyor, diye sürdürüyor konuşmasını. “Onlar savunmanın ilk hattı ve söz konusu ortamın korunması ile görüntülenmesinden sorumlular. Ve ardından onlar aynı zamanda periyodik olarak senaryo testi yapmalı, yönetim kurulu üyelerinin çeşitli siber saldırı senaryolarını gözden geçirmeleri için alıştırma yapmalılar.”

Diğer yandan siber güvenlik politikası ikinci savunma hattı tarafından sıkıca sahiplenilmeli; bir siber risk yönetim lideri rolü altında. Söz konusu kişi operasyonel risk yönetimi fonksiyonlarının üstünde oturmalı; doğrudan risk komitesine veya yönetim kuruluna rapor verebilmek için. Bu fonksiyon işletmenin onaylaması için bağımsız bir risk yönetim taslağı geliştirmesi gerekir, şeklinde açıklıyor Jacco. Aynı zamanda risk iştahlarına karşı sonunda işletmenin risk iştahına olan isteğini kapsayan bir siber güvenlik politikasını besleyen KRI’ları da.
“Söz konusu hedefleri karşılamak üzere uygun kontrolleri yerleştirdiklerinden emin olmak için siber risk yönetimi liderinin CISO’nun ilk hat rolünü bağımsız olarak zorlaması gerekiyor,” şeklinde konuşuyor. “Doğal olarak CISO’nun da buna yakından dâhil olması lazım ama işletme eğitimli, risk temelli kararlar verebilir; olması gerektiği gibi riski üstlenerek.”

İşletmeler uygun siber risk durumunu nasıl sağlar
Uygun siber risk durumuna imkân sağlamak organizasyonel modelinizin temel bileşenini güncellemeyle başlar. Bu da CISO’yu açık bir şekilde, CIO’ya rapor veren, ilk hatta yerleştirmektir. Ardından hâlihazırda mevcut değilse, ikinci hatta bir siber risk yönetimi liderlik fonksiyonunu yaratmak; doğrudan operasyonel risk yönetimi liderine rapor veren.
Bu, teknoloji ve siber risk probleminin çözümünde oyunu değiştiren şey, diyor Jacco. “Temel olarak bu önemli ve yeni bir şey,” diye açıklıyor. “Bu fonksiyon yetkiye ve yüksek seviye siber politikaya sahip olmalı.” Siber risk yönetimi fonksiyonunun yüksek seviye politikayı besleyecek risk iştahı, KRI’lar ve toplam risk yönetimi taslağını tesis etmesi gerekiyor.
“Ardından firma bunu yaptığında bir sonraki seviyeye geçersiniz; ölçülebilir risk üzerine raporlama için akıllı otomasyon ve veri analitiklerine.”

Categories: TEKNOLOJİ

About Author

Write a Comment

Your e-mail address will not be published.
Required fields are marked*