Kaspersky’nin bilgi güvenliği yöneticileri arasında yaptığı en son global araştırmada CISO’ların çoğu (yüzde 89) yönetim kurullarının kendilerini tavsiye ve yönlendirme için düzenli olarak çağırdığını dile getirdi.
Üst düzey yöneticilerle doğrudan düzenli bir iletişim olsa da bu her zaman güvenliğe özel bir yatırım yapıldığı anlamına gelmiyor. Araştırmada, katılımcıların yüzde 54’ü siber güvenlik için kurumun BT bütçesini paylaşmak zorunda kaldığını belirtti.
451 Research adlı firma Kaspersky’nin isteğiyle 2019’un üçüncü çeyreğinde bağımsız bir araştırma düzenledi. Bu araştırmada kurumsal güvenlik yöneticilerinin bakış açısından bilgi güvenliğini şekillendiren faktörler incelendi. Araştırma bünyesinde dünya genelinde kurumsal şirketlerde siber güvenlikten sorumlu kıdemli veya üst düzey 305 yöneticiyle anket yapıldı. Elde edilen bulgular siber güvenlik ve bu alanın yönetim şeklinin nasıl değiştiğini ortaya koydu.
Araştırmaya göre, BT yöneticilerinin yalnızca yüzde 23’ü doğrudan yönetim kuruluna rapor veriyor fakat kurumun raporlama yapısı nasıl olursa olsun üst düzey yönetimdekiler BT yöneticilerinden her şekilde tavsiye bekliyor. Ankete katılanların yüzde 60’ının belirttiğine göre, şirket liderleri, CISO’lardan (Chief Information Security Officer - Baş Bilgi Güvenliği Yöneticisi) genellikle bir siber güvenlik vakası yaşandığında bilgi istiyor.
Ancak üst düzey yöneticilerin yalnızca sızıntılara önem vermekle kalmadığı, şirketin bugün ve gelecekteki güvenliğini de dikkate alarak proaktif önlemler almayı düşündüğü de belirtiliyor. Araştırmaya dahil olan BT güvenliği yöneticilerinin yarısından fazlası (yüzde 57) yönetim kuruluyla düzenli toplantı yaptığını, yüzde 56’sı ise gelecekteki BT projeleri için uzman fikirlerinin alındığını söyledi.
Ancak yönetim kurulu için değerli bir konumda olsalar da CISO’lar halen BT güvenliğine yönelik harcamaların gerekli olduğunu kanıtlamakta zorlanıyor. Giderlerini daha geniş kapsamlı olan BT bütçesinden karşılamak zorunda kalan güvenlik yöneticilerinin yüzde 43’ü şirketteki diğer ticari girişimler ve BT projeleriyle doğrudan rekabet halinde olduklarını düşünüyor. Bu da güvenlik yöneticilerinin yeni yatırımlar için karşılaştığı en büyük zorluklar arasında yer alıyor.
Kaspersky Kurumsal İş Biriminden Sorumlu Başkan Yardımcısı Veniamin Levtsov, “Araştırmada da görüldüğü gibi yönetim kurulları artık siber güvenliğin başarıda önemli bir pay sahibi olduğunu anlıyor. Ancak CISO’lar bu anlayışı gerçek desteğe dönüştürmekte zorluk yaşamaya devam ediyor. Teknik terimler yerine iş dünyasının anlayacağı bir dil kullanmak, sorunların çözümüne odaklanmak ve önlemlerin gerekli olduğunu göstermek için dış uzmanlar getirmek gibi yöntemlerle üst düzey yöneticileri ikna etmek mümkün.” dedi.
Kaspersky, yönetim kurullarıyla daha etkin bir iletişim kurmak isteyen CISO’lara şunları öneriyor:
Şirket liderleri ile yalnızca belirli durumlar yaşandığında değil düzenli toplantılar düzenleyin. Böylece onlara şirketin güvenlik önlemleri hakkında güncel bilgiler verebilir ve stratejik öncelikleri öğrenebilirsiniz.
Üst yönetimin anlayabileceği bir dilde konuşun. Şirket liderleri güvenlik ile ilgili teknik konularda nadiren bilgi sahibi olur. Bu nedenle BT terimlerini kullanmaktan kaçının, güvenlik önlemlerini anlatırken elde edilecek fayda ve fırsatlardan bahsedin.
Yönetim kurulu üyelerinin güvenlik eğitimi almasını sağlayın. Böylece yalnızca kurum genelinde bir siber güvenlik kültürü elde etmeye yardımcı olmakla kalmaz, aynı zamanda siber güvenlik önlemlerinin etkisini pratik olarak gösterebilirsiniz.