Son yıllarda siber suç vakaları arttı, öyle ki siber güvenlik giderek dünya çapındaki yöneticiler için daha acil bir endişe haline geliyor. Bununla birlikte, siber güvenliğin kuruluşlarımızın aldığı tüm iş kararlarında dikkate alınmasını sağlayan bir olgunluk düzeyine henüz ulaşmadığına dair güçlü bir his var.
Bunun yerine, yöneticilerin siber güvenliği CIO’nun ilgilenebileceği ve endişelenmeleri gerekmeyen bir şey olarak görmesi çok daha yaygın. Bu teknik bir şey, ticari bir şey değil.
Tabii ki, dünya gerçekten böyle çalışmıyor ve özellikle günümüzde çoğu işletmenin faaliyet gösterdiği giderek daha karmaşık hale gelen dünya değil.
Dolayısıyla, siber güvenlik gerçekten etkili olacaksa, yönetim kurulu düzeyinde stratejik tartışmaların tam bir parçası olacak şekilde yeterli bir iş önceliği haline gelmelidir.
Artan karmaşıklık
İş dünyası, İnternet,mobil, bulut bilişim, Nesnelerin İnterneti ve yapay zekanın bir sonucu olarak zaten giderek daha karmaşık hale geliyor. Bu karmaşıklık, sayısallaştırmanın çoğu zaman baş döndürücü bir hızda gerçekleşmesiyle hızlandı. Günümüzün tipik orta ve büyük organizasyonları, tedarik zinciri ortaklarından veri ve pazarlamayı destekleyenlere kadar ticari hedeflerine ulaşmalarına yardımcı olacak karmaşık bir ekosistem ortakları ağına sahiptir.
Covid-19, çeşitli dijital çözümlerin benimsenmesinde büyük bir artışa neden oldu.
Birçoğu kuruluşun resmi kontrol odağı dışında olan dış ortaklar tarafından işletilen veri ve ağları içerenlere özel bir odaklanma. Bu, çoğu zaman, çoğu günümüzün hızla değişen iş ortamının gerektirdiği esnekliğe sahip olmayan, eski sistemlerden oluşan karmaşık bir ağdan oluşan birçok kuruluştaki bir teknoloji yığını tarafından birleştirilir.
Bu eski sistemler genellikle siber suçluların hedef alabilecekleri bir İsviçre peyniri peynirine sahiptir, özellikle de suçlular genellikle hedefledikleri hantal organizasyonlardan çok daha fazla uyarlanabilir olduklarından. Daha büyük kuruluşlar için zorluk, en başından beri daha uyarlanabilir BT sistemleri kuran ve bu nedenle boyunlarında eski değirmen taşları olmayan dijital yerel firmalara ayak uydurmaya yönelik stratejik arzu ile daha da karmaşık hale geldi.
Karmaşıklık arttıkça siber risk de artıyor
Sonuç olarak, şirketlerin maruz kaldığı siber risk, küresel olarak artan saldırıların hem sayısı hem de şiddeti ile son yıllarda tehlikeli yeni boyutlara yükseldi. Aslında, BT sistemlerinin karmaşıklığı çoğu zaman saldırıların aylarca fark edilmemesine neden olabilir.
Pandemiden çıkış kendini göstermeye başladığında, üst düzey liderlerin karşılaştıkları siber riskler ve dijital altyapılarının devasa karmaşıklığıyla ilişkili maliyetler hakkında yeniden düşünmeleri anlaşılabilir.
Bu riski yönetmek için yaygın olarak kullanılan bir yaklaşım Coase Teoremi’dir.
İşlem maliyetleri aynı işi kurum içinde yapmanın koordinasyon maliyetlerini aşana kadar şirketlerin her zaman dış tedarikçileri kullanmaları gerektiğini öne sürer.
Bu, siber risk değerlendirmesine uygulandığında, harici bir tedarikçiyle ortaklık yoluyla oluşturulan herhangi bir siber riski “harici” bir maliyet olarak kabul edebiliriz, “işlem” maliyetleri ise farklı ortaklık düğümlerinin kurulması etrafında döner. Bu, başarısızlığın maliyetlerinin arttığı, ancak artan karmaşıklığın maliyetlerinin düştüğü bir durumdur.
Karmaşıklıkla mücadele
Liderler bu karmaşıklıkla boğuşmaya çalışırken, çabaları bazı temel ilkeler etrafında odaklamak yardımcı olabilir. Bunlardan ilki, herhangi bir stratejik girişimin kuruluşun karşılaştığı karmaşıklık riskini artırmamasını sağlamaktır. Durumu daha da kötüleştirmemelisin. İkinci ilke, şirket içindeki BT altyapısının herhangi bir basitleştirilmesinin, geleceğe uygun olmaları için sistemde temel değişiklikler gerektirebileceğidir. Bu zorluklar genellikle üç temel alan etrafında birleşebilir:
- Dış ortaklar. Ekosistemlerimiz daha büyük ve daha karmaşık hale geldikçe, dış ortakları içeren zorlukların yaygınlığı artıyor. Sorun genellikle çok az sayıda kuruluşun rolü daha geniş ekosistemi denetlemek olan personele sahip olması gerçeğiyle daha da karmaşık hale gelir, bu nedenle işlerin geçici bir şekilde büyümesi ve güvenlik hususlarının yoldan çekilmesi kolaydır.
- İş modelleri. Kuruluşların, herhangi bir önemli değişiklik yapmadan kısa bir süre sonra her zamanki gibi işlerine dönmeden önce, en son siber saldırıya şok ve ciddiyetle yanıt vermesi yaygın bir durumdur. Ancak bugün siber suçun oluşturduğu tehdidin ciddiyeti göz önüne alındığında, güvenliği merkeze yerleştirmek için kuruluşun iş modellerinin kök ve şube genel bakışına gerçekten ihtiyacı var.
- İç sistemler. Daha önce de belirtildiği gibi, kuruluşlar tarafından kullanılan kurum içi sistemler, çeşitli eski sistemler ve uygulamalarla birlikte uzun yıllar boyunca birikecekleri için kaçınılmaz olarak hem karmaşıklık hem de risk sunacaktır. Riski oluşturan her zaman eski teknolojinin kendisi değil, onu çevreleyen süreçler olabilir. Söylemek yeterli, bu tür sistemleri değiştirmek önemli bir girişimdir, bu nedenle kuruluşların bir şeyler bozulmazsa tamir edilmeleri gerekmediği inancıyla mücadele etmeleri yaygındır.
Karmaşıklığın günden güne arttığı bir dünyada karmaşıklığı azaltmak Sisyphean bir görev gibi görünebilir, ancak siber güvenlik kuruluşlar için önemli bir endişeyse, o zaman bu ciddi bir şekilde düşünülmesi gereken bir şeydir. Bir başka makalemiz olan Kötü Amaçlı Reklamcılık Nedir ve Nasıl Güvende Kalınır? konusuna da bakabilirsiniz.
