Üst Düzey Yöneticiler Siber Suçlarla Mücadelede Ne Kadar Aktif?

IBM Security ile IBM İş Değerleri Enstitüsü (IBV), 700’den fazla üst düzey yöneticinin katıldığı bir araştırma yayınladı. Araştırmaya, üst düzey yöneticiler arasındaki çoğu liderin siber güvenlik alanında gerçek düşmanın kim olduğu ve bu kişilerle etkin biçimde nasıl mücadele edileceği konusunda tam bir fikir sahibi olmadığını ortaya koyuyor.

ARMONK, N.Y. – 22 Şubat 2016: IBM Security ile IBM İş Değerleri Enstitüsü’nün üst düzey yöneticilerle gerçekleştirdiği araştırma, üst düzey yöneticiler ile Bilgi Güvenliği Yöneticilerinin siber suçlularla nasıl mücadele edilmesi gerektiği konusunda aynı fikirde olmadığını gösteriyor. 700’den fazla üst düzey yöneticinin katıldığı araştırmada, yeni güvenlik ortamında üst düzey yöneticilere olanaklar sağlanması için eğitime ve etkileşime gereksinim duyulduğu görülüyor.

“Üst Düzey Yöneticilerin Güvenliği, Yönetim Kurulundan ve Üst Düzey Yöneticilerden Siber Güvenlik Bakış Açısı” başlıklı yeni araştırma, kuruluş içerisindeki siber güvenlik konusunda 28 ülkeden ve 18 sektörden üst düzey yöneticilerle gerçekleştirilen görüşmelere dayanıyor. Üst düzey yönetimdeki diğer herkesin siber güvenlik konusundaki düşüncelerinin öğrenilmesi için Üst Düzey Bilgi Güvenliği Yöneticilerinin dahil edilmediği araştırmada kağıt üzerinde üst düzey yöneticilerin %68’i siber güvenliği en önemli önceliklerden biri olarak görüyor ve %75’i kapsamlı bir güvenlik planının önemli olduğuna inanıyor olsa da, araştırmanın sonuçları önemli yöneticilerin bilgi güvenliği yöneticileri ile güvenlik planlamasının ötesinde daha fazla etkileşim kurması ve daha etkin bir rol üstlenmesi gerektiğini gösteriyor.

Siber Güvenlik

Araştırmanın önemli bulgularından biri, üst düzey yöneticilerin %70’inin kuruluşları için en büyük tehdidin tek başına hareket eden kişiler olduğunu düşünmesi oldu. Birleşmiş Milletler raporuna göre, siber saldırıların %80’i yüksek düzeyde organize olmuş ve aralarında geniş çaplı veri, araç ve uzmanlık paylaşımı bulunan suç örgütleri tarafından gerçekleştiriliyor. Araştırma, üst düzey yöneticilerin endişe duymasına neden olan pek çok farklı düşman bulunduğunu gösteriyor. Yöneticilerin %54’ü suç örgütlerinden endişe duyuyor, ancak %50 oranındaki kısım rakiplerinden de neredeyse aynı ölçüde endişe duyuyor.

CEO’ların %50’sinden fazlası, siber suçlarla mücadelede işbirliğinin gerekli olduğunu kabul ediyor. İronik bir biçimde, CEO’ların yalnızca üçte biri kuruluşlarının siber güvenlik olayı bilgilerini harici olarak paylaşmaya istekli olduklarını belirtiyor. Bu durum, geniş çaplı ve koordineli sektör işbirliğine karşı bir direnişi ortaya koyuyor. Öte yandan, bilgisayar korsanlarından oluşan gruplar ise Karanlık Ağ’da gerçek zamanlı olarak bilgi paylaşma becerilerini geliştirmeye devam ediyor. CEO’lar aynı zamanda üçüncü tarafların daha fazla katkıda bulunması gerektiğini belirtiyor; daha güçlü devlet denetimi, sektör içinde daha fazla işbirliği ve sınır aşan bilgi paylaşımı – çözülmesi gereken bir çelişki.

Siber güvenlik

IBM Security Başkan Yardımcısı Caleb Barlow konuya dair yaptığı açıklamada: “Siber suç dünyası hızla gelişiyor, ancak pek çok üst düzey yönetici tehditlere ilişkin anlayışlarını henüz güncellemedi. Üst Düzey Bilgi Güvenliği Yöneticileri ile Yönetim Kurulu uygun rehberliğin ve araçların sağlanmasına yardımcı olsa da, en hassas ve en fazla veri kullanan birimlerden bazıları olan Pazarlama, İnsan Kaynakları ve Finans gibi birimlerin üst düzey yöneticilerinin Üst Düzey Bilgi Güvenliği Yöneticisiyle birlikte güvenlik kararlarında daha proaktif bir biçimde rol oynaması gerekiyor.” dedi.

Aslında, en hassas müşteri ve personel verilerinden bazılarını yönetmeleri, kurumsal finans işlerini yönetmeleri ve banka bilgilerine erişim yetkisine sahip olmaları nedeniyle Pazarlama, İnsan Kaynakları ve Finans birimleri siber suçlular için başlıca hedefleri oluşturuyor. Araştırmaya göre, üst düzey finans, insan kaynakları ve pazarlama yöneticilerinin yaklaşık %60’ı, kendilerinin ve dolayısıyla birimlerinin siber güvenlik stratejisinde ve bu stratejinin uygulanmasında etkin biçimde rol oynamadıklarını belirtiyor. Örneğin, üst düzey insan kaynakları yöneticilerinin yalnızca %57’si, çalışanların siber güvenlikte rol oynaması için ilk adım olan bir siber güvenlik eğitimi uyguladığını bildiriyor.

Kuruluşlar Ne Yapabilir?

Araştırmaya katılan üst düzey yöneticilerin %94 gibi çok yüksek orandaki bir bölümü, şirketlerinin gelecek iki yıl içerisinde önemli bir siber güvenlik olayı ile karşı karşıya kalmasının mümkün olduğunda inanıyor. IBM’in analizine göre, yanıt verenlerin %17’si bu tehditlere karşı hazırlıklı olduklarını ve karşılık verebileceklerini düşünüyor. IBM, %17 oranındaki katılımcıları “Siber-Güvenli”, bir başka deyişle en hazırlıklı ve en yüksek kapasiteye sahip üst düzey yöneticiler olarak sınıflandırdı ve bu grubu araştırmanın sıra dışı katılımcıları olarak belirledi. “Siber Güvenli” liderlerin üst düzey yöneticilerle işbirliğini siber güvenlik programına eklemiş olması olasılığı ve siber güvenliği Yönetim Kurulu seviyesinde gündemin olağan maddelerinden biri haline getirmiş olması olasılığı diğerlerine göre iki kat daha fazla.

Siber güvenlik

Kuruluşlar için “Siber Güvenlik” İpuçları:

Riski anlayın: Ekosisteminizi riskler açısından değerlendirin, güvenlik riski değerlendirmeleri yapın, çalışanlar için eğitim geliştirin ve güvenliği kurumsal risk planına dahil edin.

İşbirliği yapın, eğitim ve olanaklar sağlayın: Bir güvenlik yönetişimi programı oluşturun, Üst Düzey Bilgi Güvenliği Yöneticisine olanaklar sağlayın, siber güvenlik konusunu üst düzey yönetim toplantılarının gündemine dahil edin ve düzenli olarak ele alın, bir olay müdahale planının geliştirilmesine üst düzey yöneticileri dahil edin.

Riski dikkatli ve hızlı yönetin: Sürekli güvenlik izleme uygulayın, ayrıntılı olay incelemelerinden yararlanın, ortamın güvenliğini sağlamak için tehdit istihbaratını paylaşın ve kullanın, organizasyonun dijital varlıklarının nerede barındırıldığını anlayın ve buna uygun olarak risk azaltma planları geliştirin, siber güvenlik ilkeleri geliştirin ve uygulayın.

Raporun tamamını ve bilgi grafiğini karşıdan yüklemek için ibm.com/security/ciso adresini ziyaret edebilirsiniz.

IBM Security Hakkında

IBM’in güvenlik platformu, kuruluşların çalışanlarını, verilerini, uygulamalarını ve altyapılarını bütünsel olarak korumalarına yardımcı olmak için güvenlik istihbaratı sağlar. IBM, kimlik ve erişim yönetimi, güvenlik bilgileri ve olay yönetimi, veritabanı güvenliği, uygulama geliştirme, risk yönetimi, uç noktası yönetimi, yeni nesil izinsiz giriş koruması ve daha fazlası için çözümler sunar. IBM, dünyanın en büyük güvenlik araştırma, geliştirme ve hizmet sağlama kuruluşlarından birini işletmektedir. Daha fazla bilgi için www.ibm.com/security adresini ziyaret edebilir, Twitter’da @IBMSecurity kullanıcısını takip edebilir ya da IBM Security Intelligence web günlüğünü ziyaret edebilirsiniz.

  1. “Redefining Boundaries: Insights from the Global C-suite Study.” IBM İş Değerleri Enstitüsü. Kasım 2015. http://www-935.ibm.com/services/c-suite/study/study/
  2. UNODC Comprehensive Study on Cybercrime 2013

IBM Hakkında

IBM, merkezi Armonk, New York’ta bulunan dünyanın en büyük teknoloji ve danışmanlık şirketidir. 170’i aşkın ülkede faaliyet gösteren IBM, işletmelerin, kamu ve sivil kuruluşların sorunlarına çözüm bulmaktadır. IBM, 1938’den beri Türkiye’de faaliyet göstermektedir. IBM’in 2015 yıl sonu itibariyle cirosu 81.7 Milyar Dolardır.

İnovasyon, IBM’in stratejisinin kalbidir. Şirket, yazılım, donanım ve geniş bir yelpazede altyapı, bulut ve danışmanlık hizmetlerini geliştirmekte ve sunmaktadır. IBM çalışanları, şirketin iş danışmanlığı, teknoloji ve AR-GE uzmanlığını kullanarak dünyanın dört bir tarafındaki müşterilerle birlikte daha akıllı bir dünya oluşturmak için çalışmaktadır.

Ayrıntılı bilgi için www.ibm.com/tr adresini ziyaret edebilirsiniz.