MENÜ

Dijitalleşme ile birlikte şirketleri tehdit eden siber riskler

Şirketlerin yeni iş fırsatları elde etmek ve pazardaki rekabetçi güçlerini arttırmak amacıyla teknolojik dönüşümlerini hızlandırması, yeni ve beklenmedik siber riskleri de beraberinde getiriyor. Aon'un, hızla dijitalleşen şirketlerin karşı karşıya kalabileceği sekiz farklı alandaki riskleri inceleyen 2019 Siber Güvenlik Risk Raporu, şirketlere teknolojinin kazanımlarından faydalanırken siber risklere karşı hazırlıklı olmalarını tavsiye ediyor.

Dijitalleşme ile birlikte şirketleri tehdit eden siber riskler

Aon'un raporunda öne çıkan tespitler şöyle:

Haberin Devamı

Teknoloji: Bugüne kadar fiziki ofisler ve mağazalar vasıtasıyla müşterilerine ulaşan geleneksel şirketlerin bulut bilişim vasıtasıyla hızla dijital ekonominin XaaS servis sağlayıcılarına dönüşmesi, onları yeni ve potansiyel olarak henüz bilinmeyen risklerle karşı karşıya bırakıyor. Teknolojinin daha yoğun ve geniş kapsamda kullanılması şirketlerin iş yapış biçimlerinde köklü değişikliklere neden oluyor ve siber saldırılara yönelik yeni zafiyetler yaratıyor. Şirketler, bu yeniliklerin farklı riskleri beraberinde getirebileceğinin farkında olmalı ve dijital dönüşüm süreçleri devam ederken bu riskleri yönetebilmelidir.

Tedarik zinciri: Tedarik zinciri tarafında yaygın görülen iki eğilimin, önümüzdeki yıllarda siber risklerin bariz biçimde artmasına neden olabileceği öngörülüyor. Bunlardan biri, mobil ya da nesnelerin interneti özellikli yeni nesil cihazlar vasıtasıyla bulut ortamlarına genişleyen ve siber saldırı riskine maruz operasyonel verilerin hızla artması olarak kabul ediliyor. İkincisi ise, şirketlerin her geçen gün daha fazla bel bağladığı üçüncü ve hatta dördüncü taraf tedarikçilerin ve hizmet sağlayıcılarının, siber saldırganların şirketlerin tedarik zincirine ulaşabilecekleri yeni arka kapılar sunması olarak öne çıkıyor. Ponemon Institute'un 2018 yılında yaptığı bir araştırma, ABD ve İngiltere'deki şirketlerin yüzde 59'u üçüncü taraf aracılığıyla en az bir kez veri ihlaline maruz kaldıklarını belirtirken, yalnızca yüzde 35'i üçüncü taraf risk yönetimi programlarının yeterli olduğunu düşünüyor.

Haberin Devamı

Nesnelerin interneti: Günümüzde artık yaşamın her alanına dahil olan nesnelerin interneti cihazları potansiyel bir güvenlik riski teşkil ediyor. Pek çok şirketin, işlerini yürütürken kullandığı ağ bağlantılı nesnelerin interneti cihazlarının (konferans sistemleri, güvenlik kameraları, yazıcılar, bina otomasyon sistemleri, vb.) sayısı şirketlerin yönetimindeki bilişim teknolojileri varlıklarının sayısını aşabiliyor. Öyle ki, 2018 Ponemon Institute anketine göre, şirketlerin yüzde 52'si 1000 adet cihazın yer aldığı bir nesnelerin interneti envanterini yönettiğini söylerken, çalışmanın sonucunda ortalama 15 binin üzerinde nesnelerin interneti cihazının kullanıldığı ortaya çıktı. Yani, şirketler nesnelerin interneti cihazlarının tamamını güvenli bir şekilde yönetemiyor, hatta bu cihazların envanter kaydını dahi tutmuyor. Bu da şirketlerin veri ihlaline uğramasına neden oluyor.

Haberin Devamı

İş faaliyetleri: Endüstriyel kontrol sistemleri ve kritik kamu hizmetleri altyapıları geleneksel anlamda bağımsız ağlar olarak işletilmekle birlikte her geçen gün bu sistem ve altyapıların büyük bir kısmı internete bağlanmakta ve geleneksel Bilişim Teknolojileri ortamlarına entegre olmaktadır. Bu durum operasyonel verimliliği artırırken potansiyel siber saldırı alanını da genişletmekte ve saldırganlar için şirketin BT ağının tamamına ulaşabilmeyi kolaylaştırarak iş durması riskini artırmaktadır. Öte yandan, yetersiz olan yedekleme süreçleri de siber saldırıların, kurumların iş faaliyetleri üzerindeki etkisinin daha şiddetli olmasına yol açıyor. Kurumların, WannaCry saldırısının 230 bin bilgisayarı etkisiz hale getirdiği ve tüm dünyada büyük bir kaosa sebep olduğunu unutmadan, siber saldırıların potansiyel etkilerinin farkında olmaları ve iş sürekliliğini sağlayacak gerekli tedbirleri almaları önem arz ediyor.

Haberin Devamı

Çalışanlar: Gerek kötü niyetli olsun, gerekse ihmal sebepli olsun, çalışanlar, veri ihlali vakalarının en yaygın nedenlerinden biri olmaya devam ediyor. Aon'un anketine göre, katılımcıların yüzde 53'ü 2018 yılında şirketlerinin içeriden kaynaklı bir siber saldırı yaşadığını söyledi. Çalışanlar, çalıştıkları kurumun siber güvenliği için büyük bir tehdit oluşturduklarının çoğu kez farkında olmayabiliyor. Kurumların, kurum içi siber güvenlik risklerini azaltmak için kapsamlı bir yaklaşım geliştirmeleri gerekiyor. Bu doğrultuda, güçlü veri yönetimi, kurum genelinde siber güvenlik politikalarının iletişimin yapılması, etkin erişim ve veri koruma kontrollerinin uygulanması gerekiyor.

Haberin Devamı

Şirket birleşmeleri ve satın almalar: IMAA Institute'un verilerine göre, 2018'de şirket birleşmeleri ve satın almaların tüm dünyada toplam değerinin 4 trilyon dolara ulaştığı düşünülüyor. Birleşme ve satın almalar artarken siber güvenlik riskleri de hızla artıyor. Siber saldırganlar, sıklıkla daha büyük firmalar tarafından satın alınma sürecinde olan firmaları hedefliyor. Yeni bir birleşme veya satın alma sürecinde, anlaşma tamamlanmadan önce meydana gelebilecek bir siber saldırı, satın alma fiyatını ciddi oranda düşürebiliyor.

Satın alan şirketin kendi kurumsal siber güvenlik yaklaşımları ne kadar güçlü ve sorunsuz olsa da, özellikle satın alınacak ya da birleşilecek hedef şirketin aynı şekilde siber güvenlik önceliklerini yerine getirdiğinden emin olması gerekiyor.

Yasal düzenleme: Özellikle 2018'de tüm dünyada siber güvenlikle ilgili çeşitli yasal düzenlemeler yürürlüğe girdi. Buna bağlı olarak şirketlerin yasal düzenlemelere uyum riskinin 2019'da daha dikkatli bir şekilde değerlendirmesi ve gerekli tedbirleri alması gerekiyor. 2018 mayıs ayında yürürlüğe giren ve Avrupa Birliği üyesi ülkelerde uygulanmaya başlanan GDPR (Avrupa Birliği Genel Veri Koruma Yönetmeliği), ihlali durumunda, siber güvenlikle ilgili olarak 20 milyon Euro'ya ya da bir kuruluşun yıllık global cirosunun yüzde 4'üne varan ciddi yaptırımları da beraberinde getiriyor. Öyle ki, 2018'deki çok büyük veri ihlallerinin sorumlusu olan şirketlerin GDPR kapsamındaki ihlallerinin netleşmesi durumunda şirket başına 500 milyon dolar ile 1 milyar doların üzerinde bir para cezası alabileceği tahmin ediliyor.

Yönetim Kurulu: Siber güvenlik yönetimi, yönetim kurulları için önemli bir gündem maddesi olmaya devam ediyor. Ancak yakın geçmişe bakıldığında, yönetim kurulu üyeleri, siber yönetimle ilgili artan kişisel sorumluluk riskiyle de karşı karşıya kalıyor. Hissedarların, yüksek profilli veri ihlallerinden bazılarında yöneticilere karşı tazminat talebinde bulunduğu gözleniyor. Yönetim kurulu üyelerinin, siber güvenlikle ilgili daha kararlı bir tutum sergileyerek, hem siber güvenlik yönetimiyle ilgili alınan aksiyonlar, hem de proaktif tedbirler konusunda tüm şirkete bu anlamda da önderlik etmesi büyük önem arz ediyor. Aon'un raporu, 2018 yılında BDO Center for Corporate Governance and Financial Reporting tarafından yapılan bir araştırmaya katılan yönetim kurulu üyelerinin dörtte üçünün bir yıl öncesine göre siber güvenliğe daha fazla dahil olduğunu ortaya koyuyor.

YORUM YAZ