Skip to main content

Vergi ve danışmanlık firması Deloitte, bankalar, yatırım yönetimi şirketleri, sigorta şirketleri ve diğer finansal hizmetler kurumlarında çalışan 51 CISO ile görüşerek, dijital kalelerini koruma konusunda sorumluluklarını nasıl yerine getirdiklerini araştırdı.

Finansal hizmetler şirketlerinde siber güvenlik söz konusu olduğunda “iyi” nin neye benzediği nasıl ölçümlenebilir? Yanıtın belirlenmesi durmaksızın farklılaşan tehditlerin, değişen iş önceliklerinin ve büyüme hızı üssel olarak artan teknolojik güçlerin siber risk yönetimini sürekli ve derinden etkilediği bir çevrede zor olabilir.

Tüm bu zorluklarla başa çıkmada, CISO’lar (Chief Information Security Officer) çoğu zaman bir takım zor sorularla karşı karşıya kalmaktadır:

Deloitte, bankalar, yatırım yönetimi şirketleri, sigorta şirketleri ve diğer finansal hizmetler kurumlarında  (FSI) çalışan 51 CISO ile görüşerek, dijital kalelerini koruma konusunda sorumluluklarını nasıl yerine getirdiklerini araştırdı. Sonuçlar, siber güvenlik alanını derinlemesine incelemeyi gerektirecek önemli iç görüleri ortaya koyarken aynı zamanda finansal kurumların bu konuyu nasıl ele alındığına dair öncül bir görünüm de sergiliyor.

Siber güvenlik karakteristikleri çoğu zaman olgunluk seviyelerine göre değişiklik gösterir

Siber güvenlik için yeterli ve uygun bir bütçenin olması kadar önemli bir diğer faktör de bilgi teknolojileri (BT) bütçesi içinde gösterilen bu bütçenin nasıl harcandığı ve uygulanan siber güvenlik programının nasıl organize edildiği veya yönetildiğidir. Gerçekte siber güvenlik için ayırdıkları bütçe ortalamanın altında olan birçok firma, yüksek olgunluğa sahip bilgi güvenliği programlarını uygulamaya koymayı başarabilmişlerdir.

Peki, para siber güvenlik etkinliği için tek kıstas değilse, diğer hangi faktörler adaptif kurumların – yani aşağıda verilen modelde en olgun uygulama katmanında yer alan kurumların ;(1-En az olgun; 4 En olgun olmak üzere)-  risk yönetimi yaklaşımlarını ve pratiklerini kendilerinden daha az olgun olan akranlarından farklılaştırmalarına etki eder?


Sorumluluk en tepede başlar

Deloitte anketine katılan şirketlerin neredeyse tüm yönetim kurulu üyeleri ve üst yönetimleri şirketlerinin siber güvenlik stratejileriyle ilgilendiklerini belirtmiştir. Ancak sadece adaptif olarak sınıflandırılan şirketlerde bu pozisyonlardakiler siber güvenlik bütçesinin detaylarıyla, spesifik olarak operasyonel rol ve sorumluluklarla ve de bu programların genel ilerleyişiyle, daha az gelişmiş şirketlerdeki çağdaşlarına göre daha ilgilidirler. Bilgilindirilmiş katmanında yer alan şirketlerden ankete yanıt verenler ise – adaptif katmanının 1 basamak altında yer almakta- genel olarak yönetim kurulu üyelerinin mevcut tehditler, program ilerleyişi ve güvenlik test sonuçlarıyla daha az ilgilendiklerini ifade etmişlerdir.

Paylaşılan sorumluluklar fark yaratır

Anket katılımcılarının büyük bir çoğunluğu-sektöre bağlı olarak katılımcıların en az yarısı ya da fazlası- tam olarak merkezileşmiş siber güvenlik fonksiyonuna sahip olduklarını belirtmiştir. Ancak adaptif şirketlerin hibrit olarak nitelendirilebilecek –yani merkezileştirilmiş fonksiyonların yanı sıra her iş biriminin/bölgenin kendi stratejisinin ve icra yetkinliklerinin olduğu ve birbirleriyle koordineli çalıştıkları bir yapı- bir yaklaşımları mevcuttur.

Siber riske maruz olma riski dağıtıldı

Bilgilendirilmiş katmanındaki şirketlerden ankete katılanların neredeyse yarısı siber riskleri kapsayacak bir sigortaya sahip olmadıklarını belirtmişlerdir. Adaptif kurumlardaki katılımcıların ise yaklaşık yüzde 75’i siber güvenlik nedeniyle doğacak kayıplarını karşılayan bir sigortaları olduğunu belirtmiştir.

Haricî yardım aranıyor

Siber olgunluk seviyesi düşük firmalardan anketi yanıtlayanların adaptif firmaların aksine siber güvenlik fonksiyonlarını veya personellerini harici olarak tedarik ettiklerini belirtmişlerdir. Ancak en belirgin harici yardım kaynağı “kırmızı takım” olarak bilinen ve kurumsal sızma testlerini gerçekleştiren takımların operasyonları ile ilgilidir. Bu operasyonlarda bir şirketin siber saldırılara ne kadar hazır, dayanıklı ve ihtiyatlı olduğu test edilmektedir.

Siber güvenlik programları söz konusu olduğunda büyüklük önemlidir

Çalışma, ankete yanıt veren büyük finansal kurumların siber güvenlik operasyonlarını ele alışlarıyla ilgili farklılaştıkları önemli noktaları da ortaya koymaktadır. Buna göre şirket büyüklükleri siber güvenliklerinin ele alınışlarıyla doğrudan ilgili olduğunu göstermektedir.

Finansal kurumlar yeterli kaynak ayırmıyor olabilirler

Elde edilen sonuçlara göre, en büyük finansal kurumların risk yönetim bütçeleri toplam BT bütçelerinin yüzde 5’i ila yüzde 20’si arasında değişmektedir (ortalama yüzde 12) . Büyük finansal kurumların yarısı siber risk yönetim harcamalarının yaklaşık 20 milyon ABD Doları veya altında olduğunu belirtmişlerdir. Her ne kadar bu şirketler kendi kategorilerinde en az geliri elde etmelerine rağmen en fazla yatırımı yapmış olsalar da; bu gelirlerinin yalnızca yüzde 1’ini ya da daha azını siber güvenlik için harcadıkları anlamına gelmektedir.

Sahiplik yapısı fark yaratmakta

Ankete yanıt veren halka açık finansal kurumlar, özel finansal kurumlara oranla siber güvenlik için daha fazla bütçe ayırma eğilimdedir.  Bu dinamik halka açık finansal kurumların olası bir yüksek profilli güvenlik ihlalinde, ihlal etkisinin artarak hissedarları ve analistleri öfkelendirip şirketin piyasa değerinin düşmesine neden olma olasılığını düşünüldüğünde son derece anlaşılır olmaktadır.

Bütçe içerisinde aslan payı

Anket katılımcılarının siber güvenlik bütçelerindeki ilk üç sırayı: Siber güvenlik gözetimi ve operasyon; Uç nokta ve ağ güvenliği; siber güvenlik yönetişimi konuları almaktadır.

Siber gözlem ve operasyon  %21

Uç nokta ve ağ güvenliği  %15

Siber güvenlik yönetişimi  %12

Siber dayanıklılığı   %12

Kimlik ve erişim yönetimi  %11

Uygulama ve veri güvenliği   %11

Üçüncü parti ve tedarikçi güvenliği yönetimi  %9

Fiziksel güvenlik    %7

Diğer %1

CISO’ların raporlama yaptıkları üstleri çeşitlilik gösterebilir

Diğer bir sonuç ise siber güvenlik raporlama yapısının finansal kurumların büyüklüğüne göre farklılık göstermesidir. Ankete küçük firmalardan katılan CISO’ların yarıdan fazlasının doğrudan CEO’lara raporlama yapıyor olması bu şirketlerin yatay bir yapıya sahip olduğunu işaret etmektedir. Ankete katılan en büyük şirketler incelendiğinde ise CISO’ların ; CIO (Chief Information Officer),  COO (Chief Operating Officer) ya da CRO (Chief Risk Officer)’lara raporlama yapmakta olduğu gözlemlenmektedir.

İnovasyon birinci öncelik

Anket katılımcıları siber güvenlik alanında yatırım yapmak için net öncelikleri olduğunu belirtmişlerdir. Mobil, bulut, veri/analitik önümüzdeki iki yıl içerisinde şirketlerin hayata geçirmek istedikleri ilk üç öncelikken, siber savunmayı bu yeni dijital inisiyatiflere uygulamak ise siber güvenlikle alakalı iş konularında birinci önceliği almaktadır.

Anketten ve şirketlerle doğrudan etkileşimden  çıkarılan dersler

Çalışmanın ulaştığı en önemli sonuç şirketlerin mutlak suretle evrilen ve her geçen gün karmaşıklaşan siber riskler karşısında güvenlik açığı oluşturmayacak inovasyonlar ortaya koyabilmeleridir.

Risk ve inovasyon arasındaki dengeyi sağlayabilmek içinse finansal kuruluşlar aşağıdaki aksiyonları almayı değerlendirmelidirler:

Yönetim kurulu proaktif şekilde dâhil olmalı

Risk yönetimi biriminin siber risklerle ilgili kritik sorunların nasıl giderebileceğiyle ilgili detayları yönetim kuruluna sunması, risk konularının kurumun/şirketin genelinde karşılık bulması risk yönetimi yaklaşımlarını mükemmelleştirme ve bir kurumun siber güvenlikle ilgili metriklerin iyileştirilmesi anlamında önem taşımaktadır.

Tüm şirketin siber güvenlik konusunda hassasiyet göstermeli

Yalnızca siber güvenlik alanında çalışanların değil finansal kurumların tüm çalışanlarının siber güvenlik rollerinin ne kadar hayati olduğunu anlamaları; ihlaller ve iyi bir güvenlik hijyeni sağlama anlamındaki bu rollerini benimseyerek ihlallerin engellemesi ve olası ihlal durumlarında zararın sınırlı tutulabilmesi anlamında hayati önem taşımaktadır.

Çoklu savunma hatları oluşturulmalı

Kurumlar hem iş birimleri içerisinde hem de bölgesel olarak siber güvenlik pratiklerini ve personellerini yapılarına dâhil ederek merkezi siber risk yönetimi ekiplerini desteklemelidir.

CISO’ların sorumluluk karması değiştirilmeli

Görevlerini etkin şekilde yerine getirebilmek için CISO’lar CIO dışındaki üstlerine de raporlama yapmalı ve sıklıkla BT departmanı dışındaki bölümlerle de etkileşim içerisinde olmalıdır. Hali hazırda birçok CISO strateji formülasyonu , teknoloji geliştirme, şirketi koruma ve danışman gibi birden fazla rol üstlenmekte, Deloitte araştırmasına göre, CISO’lar zamanlarının  yüzde 74’ünü daha koruma ve teknoloji geliştirme gibi taktik  roller için kullanmaktadır.

Siber güvenlikte bir sonraki seviyeye erişmek

Finansal kurumlar her geçen gün kapsam, teknik ve karmaşıklık bakımından dönüşen güvenlik tehditlerine cevap verebilmek için yetkinliklerini durmaksızın geliştirmelidirler. Bu kurumlar tehdit oluşturan ve kendilerine zarar vermek isteyen aktörlerin her zaman bir adım önünde olabilmek için sürekli yeni tehditlere adapte olmalıdırlar.