Üst Düzey Yöneticilerin Gereksiz Risk Almayı Bırakmaları Gerekiyor

Kurumsal Risk Alma Kültürü, Gerçek Dünyada Çöküşe Neden Olabilir

Alınan bazı riskler çok aptalcadır. Kredi çöküşüne ve buna bağlı olarak dünya çapında finansal krize yol açan ana neden krediyi asla geri ödeyemeyeceği bariz olan kişilere bankaların kredi vermesiydi. Yine de neredeyse tüm bankalar bunu yapıyordu.

Yine kısa bir süre önce kimse sokağa çıkma yasaklamalarını ve okula, işe gitmek, arkadaşlarla buluşmak ya da plaja gitmek gibi çok basit eylemlerin, hayatınızı ve etrafınızdaki insanların hayatlarını tehdit edebileceği gerçeğini ön göremedi. Ancak artık bu durumu anlıyoruz, çok bariz bir hale geldi.

Hem 2008’deki küresel mali kriz hem de şu anda yaşadığımız salgın, müthiş yıkıcı etkiler yarattı. Bu etkilerin sonuçları, daha iyi risk değerlendirmesi yapsaydık ya da kredi risk yöneticilerini ve sağlık uzmanlarını daha önce dinleseydik önlenebilir ya da azaltılabilirdi.

Kurumsal Kültürde risk değerlendirmesi yetersizliği mi var?

Riski hesaba katma şeklimiz genellikle mantıksızdır ve kestirilebilir değildir. Çok sayıda kişinin evde çalışmaya geçtiğini gördük. Bu durum da fırsatçı siber suçlular için yeni bir saldırı alanı açtı. Kuruluşların bulut uygulamalarının güvenliğine odaklanmasını beklersiniz. Ancak sıklıkla bulut hizmet sağlayıcısının güvenlikle ilgilendiği varsayılmaktadır. Gerçekte yanlış yapılandırılmış bulut uygulamalarında veri ihlallerinin en yaygın kaynaklarından biridir.

Bulutunuzu ya da dizüstü bilgisayarınızı parolasız ya da hiç koruma olmadan asla bırakmayacak olmanıza karşın, kuruluşlar genellikle IoT cihazları ve USB bellek gibi basit ürünlerin satın alması için satın alma departmanlarını görevlendirmektedir. Onlar da kaçınılmaz olarak şifreleme gibi ekstra özelliklere biraz daha fazla para ödemek yerine piyasadaki en ucuz cihazları satın almaktadırlar. Kendinize sorun: son kullandığınız USB bellek şifreli ve parola korumalı mıydı? Cevabınız ‘hayır’ ise, hemen bir acil siber risk denetimi yapmanız gerekir.

Riskleri hesaba katmama sadece kültürel değil aynı zamanda kuruluşların çalışma şeklinin de sonucudur. Selfie çekenlerden satın alma yöneticilerine kadar hiçbirimiz her zaman riskleri değerlendirmiyoruz.

Her zaman üç ana nokta dikkate alınmalıdır

Son yaşadıklarımızın, hepimizin riski çok daha fazla ciddiye almasını sağlayacağı umuluyor. Üst düzey yöneticilerin, ekiplerini teşvik etme ve yönetme şeklini değiştirmesi ve bakış açılarının üç ana noktanın tümünü kapsadığından emin olmaları gerekiyor: gelir, kar VE risk. Satın alma yöneticileri, riskleri değerlendirmeli ve göreceli olarak düşük maliyetli cihazlardan (şifreli bellekler çok daha fazla maliyetli değildir) büyük karmaşık sistemlere kadar her alanda verdikleri satın alma kararlarının, siber güvenlik dikkate alınarak verilmesi gerektiğini anlamalıdır.

Güvenli, şifrelenmiş cihazlardan karmaşık çoklu bulut sistemlere kadar her konuda küçük bir siber risk priminin ödendiği, risk konusunda farkındalığın olduğu bir kültür, mantıklı bir yatırım olur ve CISO’lar, ciddiye alınarak uyarılarda bulunabileceklerini bilirler.

Fark yaratmak için kültürel değişim gerekir

Bir toplum olarak hiçbir zaman şimdi olduğu kadar ayrı ve teknolojiye bağımlı, dolayısıyla tehlikelere açık hale gelmemiştik. Özellikle de tehditlerin sürekli olarak değiştiği ve büyüdüğü bir ortamda.

Yönetim ekibinin ve onlara bağlı herkesin davranış şeklini değiştirmek için liderlik gereklidir ve daha fazla risk değerlendirmesine yönelik bu tür bir kültürel değişim, en tepeden başlamalıdır. Dijital etik kültürü (veri gizliliği ve güvenliği dahil), en tepeden en alta kadar tüm seviyelere işlemelidir. Bu dijital etik kültürüne sahip ve risk konusunda farkındalığı olan kuruluşlar, hem daha az veri ihlali yaşama olasılığına sahiptir hem de böyle bir ihlal yaşandığında daha iyi tepki verebilmektedirler.