Trend Micro’nun araştırması, birçok siber güvenlik yöneticisinin yönetim kurulu tarafından siber riskleri dikkate almama yönünde baskı gördüğünü ortaya koyuyor.
Siber güvenlik alanında dünyanın önde gelen şirketlerinden Trend Micro, dünya genelinde beş siber güvenlik yöneticisinden dördünün (yüzde 79), kuruluşlarının karşı karşıya olduğu siber riskleri dikkate almama yönünde baskı gördüklerini açıkladı.
Trend Micro Teknik Direktörü Bharat Mistry, “Güvenlik liderlerinin yarısından fazlası siber tehditleri en büyük iş riski olarak görüyor. Ancak bu riski yönetim kurulunun anlayacağı şekilde ifade etmekte zorlanıyorlar. Sonuç olarak, genellikle görmezden geliniyor, küçümseniyor ve boş konuşmakla suçlanıyorlar. Kurumsal siber dayanıklılığı artırmak için, üst düzey liderlikle daha etkili bir şekilde iletişim kurmaları gerekiyor. İlk adım, saldırı yüzeyinde tek bir doğruluk kaynağı oluşturmaktan geçiyor” dedi.
Trend Micro Avrasya Bölgesi Yönetici Direktörü Hasan Gültekin, “Siber güvenlik yöneticilerinin, kuruluşlarının karşı karşıya olduğu siber riskleri yönetim kurullarına etkili bir şekilde anlatmakta zorlandığını görüyoruz. Trend Micro olarak, bu boşluğu kapatmanın kritik olduğunu düşünüyoruz. Yönetim kurullarının, siber güvenlik stratejilerinin iş değerini anlamaları ve bu stratejilerin kurumun bütünlüğü için ne kadar önemli olduğunu kavramaları gerekiyor. Üst düzey yöneticilerle daha etkili bir iletişim, yöneticilerin güvenilirliğini artıracak ve siber güvenlik çabalarını daha görünür kılacaktır” dedi.
Yönetim kurullarından baskı gören siber güvenlik yöneticilerinin yüzde 43’ü bunun nedeninin sürekli aynı şeyleri tekrar etmeleri ya da boş konuştuklarının düşünülmesi olduğunu belirtiyor. Yüzde 42’si aşırı olumsuz olarak görülmeleri olduğunu, üçte biri ise (%33) endişelerinin göz ardı edildiğini söylüyor.
Bu durum, siber güvenlik yöneticilerinin siber güvenlik ile iş risklerini paralel hale getirememeleriyle yakından bağlantılı olan ciddi bir güvenilirlik açığına işaret ediyor. Aslında, yüzde 46’sı siber güvenlik stratejilerinin iş değerini ölçebildiklerinde daha güvenilir görüldüklerini belirtiyor.
Bu yaklaşımın siber güvenlik yöneticileri açısından çeşitli faydaları bulunuyor:
- Daha fazla sorumluluk veriliyor (yüzde 45)
- Daha değerli bir birim olarak görülüyorlar (yüzde 44)
- Daha fazla bütçe veriliyor (yüzde 43)
- Üst düzey karar alma süreçlerine dahil ediliyorlar (yüzde 41)
Diğer taraftan BT yöneticileri ve diğer iş yöneticileri arasında kalıcı bir iletişim boşluğu bulunuyor.
Katılımcıların yalnızca yarısı (yüzde 54) üst düzey yöneticilerinin kurumun karşı karşıya olduğu siber riskleri tam olarak anladığından emin; bu oran 2021’den bu yana neredeyse hiç değişmedi (yüzde 50). Katılımcıların üçte birinden fazlası (yüzde 34) siber güvenliğin hala iş riskinden ziyade BT’nin bir parçası olarak görüldüğünü belirtiyor.
Ayrıca, yüzde 80’i yalnızca ciddi bir ihlalin yönetim kurulunu siber riskler konusunda daha kararlı davranmaya teşvik edeceğine inanıyor.
Heterojen siber güvenlik ortamı bu zorlukları daha da artırıyor. Saldırı yüzeyindeki silo halindeki noktasal ürünler tutarsız veri noktaları oluşturarak yönetim kuruluna siber risk hakkında net bir hikaye anlatmayı zorlaştırıyor.
Katılımcıların yarısından fazlası (yüzde 58) bu sorunu çözmek için BT iletişim becerilerini geliştirmeleri gerektiğine inanıyor. Bununla birlikte, tümleşik bir Saldırı Yüzeyi Risk Yönetimi (ASRM) platformu, tutarlı ve ilgi çekici risk içgörüleri sağlayarak ciddi miktarda yatırım yapılması ihtiyacını azaltabilir.