Siber risk yönetimini bir üst seviyeye taşımak

Siber risklere meydan okumak

Bankalar, yatırım şirketleri ve sigorta şirketleri, para veya bilgi çalmak, operasyonları bozmak, kritik altyapıları yok etmek veya veri bakımından zengin finansal hizmetler kurumlarına zarar vermek isteyen siber suçluların ana hedefi.  Finansal hizmetler kurumları, diğer endüstriler ile karşılaştırıldığında, hem kurum içi hem de kurum dışından gerçekleştirilen siber saldırılar hesaba katıldığında, bu kapsamda ortaya çıkan ortalama maliyet bakımından ilk sırada yer alıyor. Bu maliyet Finansal Hizmetler Kurumları için son altı yılın ortalaması olan yıllık 19,4 milyon doların da üzerine çıkarak, 2015’te 28,3 milyon dolara ulaştı.

Bu sorunların temeline inebilmek adına, endüstri genelindeki üst düzey siber güvenlik uzmanları, teknoloji ve risk yönetimi uzmanlarının tecrübeleri ve stratejileri hakkında daha fazla bilgi edinebilmek için görüşmeler düzenlendi. Düzenlenen görüşmeler sonucunda paylaşılan siber savaş hikâyeleri, zorlukların ve engellerin yanı sıra kat edilen ilerlemeyi ve düşünce, yaklaşım ve kurumsal kültür dönüşümünü gerçekleştirmek için yapılan planları da gözler önüne seriyor.

Katılımcılar, son birkaç senedir dramatik bir seviyede artan siber güvenlik bütçeleri ile ilgili bir sorunları olmadığını belirtiyor. Ancak katılımcıların birçoğu, bütçelerdeki artış hızı dikkatte alındığında bu durumun uzun vadede sürdürülebilir olmadığında hemfikir. Bu da öncelikler konusunda yakında bazı zor kararların verilmesi gerektiği anlamına geliyor.

Katılımcıların çoğu birçok önceliği yönetmek konusunda kendilerini sıkışmış hissediyor. Kendilerinden birçok eski sistemin güvenlik açıklarının bulunması isteniyor. Var olan temel sistemleri çalışır durumda tutmakla uğraşırken aynı zamanda kendilerinden bulut, fintech ve dijital kimlik teknolojilerini kullanarak inovatif olmaları ve ilerleme kaydetmeleri bekleniyor. Tüm bunlar olurken siber güvenlik politikalarını ve girişimlerini kurumun iş, operasyon ve teknoloji stratejileri ile uyarlamaya çalışıyorlar.

CISO’lar birçok alanda inovasyon yaratmaya çalışıyor ancak çoğu zaman, siber güvenliği şirket genelinde karar mekanizmasının temel değerlerinden biri haline getirmek için organizasyon yapılarını yeniden oluşturmaya çalışırken, ellerindeki yeni güvenlik araçlarını değerlendirmekte ve entegrasyonunu sağlamakta zorlanıyorlar. 

Finansal hizmetler kurumları siber güvenlik alanında yeteneklere ihtiyaç duyuyor. Görüşmelerin sonucunda finansal hizmetler kurumlarının en büyük sorunlarından birinin istihdam olduğu ortaya çıktı. Şirketler gerekli bütçeye sahip olsa da çoğu zaman “üçlü tehdit” in eksikliğinden şikayet ediyorlar – teknik yetkinliklere, iş bilgisine ve siber risk inisiyatiflerini hızlı ve etkili bir şekilde uygulayabilecek stratejik düşünce yetkinliklerine sahip çalışanlar.

Siber risk metrikleri gerçek bir karmaşa olarak kalıyor. Giderek artan denetim taleplerini karşılamak adına yaygın olarak kabul görmüş, etkili ölçümlemelerin ve endüstri çapında standartların eksikliği, CISO’ların raporlama sorumluluklarından dolayı zorluk yaşamasına sebep oluyor.

CISO’ların parçaları birleştirmek için yardıma ihtiyacı var. Birçoğu endüstri içinde, dışında ve hatta kendi ülkelerinde yasal belirsizlikleri ve düzenleyici/mevzuata ilişkin engelleri bilgi paylaşımının önündeki engeller olarak görüyor. Birçok CISO, bilgi paylaşımını otomatikleştirmenin ve konu ile daha alakalı, eyleme geçirilebilir ve gerçek zamanlı olarak ulaşılabilir bir hale getirebilmenin yollarını arıyor.

Genel olarak, bazı finansal hizmetler kurumları siber risk yönetiminde lider konumunda olsa da, siber güvenlik olgunluğu eğrisinde geniş bir çeşitlilik mevcut. Üst sınırın birçok bireysel şirket özelinde ve endüstri genelinde yükseltilmesi gerekiyor.