BUSINESS BYTES

CIO'lar, güvenliğin azaltılması ile riskin kabul edilmesi arasında nasıl bir denge kurabilir?

  • Yayınlanma Zamanı 1 yıl önce
  • 3 min okuma süresi

En son Gartner CIO içgörüleri Gündem Raporuna göre, CIO'lar için yatırım öncelikleri değişmektedir. Son zamanlarda güvenlik, en yüksek öncelikler listesinde analitik, iş istihbaratı, bulut ve mobil altyapısı lehine düşüşe geçmiştir. İlk bakışta bu durum anlaşılabilirdir - işletmelerin kendilerine yüksek ya da hemen getiri sağlayacak alanlara yatırım yapmaları çok daha mantıklıdır. Bilgi güvenliği, hiçbir zaman bu alanlardan birisi olmamıştır. Güvenlik duvarları, e-posta güvenlik araçları ve web filtreleme araçları gibi geleneksel koruma tekniklerine daha fazla para harcanması, güvenliğin somut bir faydadan çok önleyici bir yatırım olarak görülmesini kolaylaştırmaktadır.

Ancak bu, siber tehditlere kötü bir yaklaşım anlamına gelmemektedir. Gartner'in sağladığı rakamların gösterdiği gibi, halihazırda birçok CIO, güvenliğe daha incelikli bir yaklaşımın uzun vadede riskin yönetilmesi için daha etkili bir yol olabileceğini kabul etmiştir. Pratikte bu yaklaşım, siber güvenlik risklerinin ve bunların bir işletme için gerçekte ne anlama gelebileceklerinin daha açık bir biçimde anlaşılması ile başlamaktadır.

Güvenlik profesyonellerinin kendilerini işin gerçekleşmesini sağlayan kişiler olarak görmeleri, en başından itibaren hazır bulunmaları ve ihlallerden önce ve sonra en önemli varlıkları korumaya çalışmaları gereklidir. Ancak bilgi güvenliği riskleri, diğer iş riski biçimlerinden daha büyük olmayan yönetilebilir bir sorun olarak görülmelidir. Diğer bir deyişle güvenlik riski yönetimi, bazı risklerin her zaman var olacağını ve bazı ihlallerin her zaman meydana geleceğini kabul etmeyi gerektirir; bu nedenle işletmelerin, meydana geldiklerinde bunlarla başa çıkmaya yönelik bir stratejiye sahip olmaları gereklidir. Günümüzde birçok CIO, tehditlerin azaltılmasından ziyade tehditler konusunda eğitime odaklanmaktadır.

Riskin yönetilmesinin ilk adımı, riski anlamaktır. Bu nedenle etkili risk yönetiminin ilk adımı, işiniz için acil olan riskleri tanımlamak ve yönetim kurulunu ve sizden kıdemli olanları bunların ne olduğu ve ne anlama gelebilecekleri konusunda eğitmektir. Etkili risk yönetimi, herkesin sorumluluğudur. Bir veri ihlali büyük finansal zararlara ve itibar kaybına yol açabilir ve CxO'ların ve iş alanlarındaki çalışanların, bir sızıntı olması durumunda ortaya çıkacak potansiyel maliyetleri ve atılacak olası adımları anlamaları gereklidir.

Bazı kuruluşlar, buna yardımcı olması için olay ya da kriz simülasyonunu kullanmaktadır. Bu sadece kör noktaları açığa çıkarmakla kalmaz, aynı zamanda ekiplerin - meydana gelmeleri halinde - ihlaller konusunda kendilerine daha fazla güven duymalarını ve daha iyi hazırlıklı olmalarını da sağlar.

İkinci adım, sırf mutabakata varılmış bir müdahale yöntemine sahip olduğunuz için risk yönetiminin sona ermeyeceğinin anlaşılmasıdır. Siber tehditler evrildikçe, bunlarla bağlantılı yönetim ve politikaların da evrilmesi gereklidir. Kıdemli bir yönetici risk yönetimi stratejisini değiştirmeye yönelik girişimlere öncülük ederken, kuruluş genelindeki herkesin önerilerde bulunması ve olası en iyi başa çıkma mekanizmalarını oluşturmak için işletmeye yardımcı olması gereklidir. Kapsamlı iş stratejisinin hızla değişebileceğini unutmayın. Yeni pazarlara açılarak büyümek, yeni finans ve bilgi risklerine yol açabilir. Sosyal medya ve bulut gibi dijital teknolojilerin kullanımının da bir etkisi olabilir. Risk yönetimi stratejiniz, işletmenizin büyüme iştahı ile orantılı olmalıdır.

Son olarak, işletmeler arasında risk iştahının büyük ölçüde farklılık gösterebileceği gerçeğini dikkate alın. Bu nedenle, kuruluş içinde uyum sağlamak için, güvenlik politikalarının belirli miktarda riskin kabul edilmesine olanak vermesi gereklidir. Güvenlik ihlalleri olabilir ve olmaktadır; bunların önlenmesi kadar önemli olan bir husus, nelerin dahil olduğuna ilişkin bir anlayış temelinde, bu ihlaller meydana geldiğinde bunlarla başa çıkmaya yönelik mutabakata varılmış bir sürecin mevcut olmasıdır.  Risk yönetimi, risk iştahının değerlendirilmesine, risk yönetimi ilkelerinin uygulanmasına ve son olarak işletmenin, bir riskin gerçekleşmesinin bir başarısızlık değil, mutabakata varılmış bir sürecin doğrulanması olduğu konusunda eğitilmesine yönelik bütünsel bir programın bir parçası olmalıdır.