Infosecurity Europe 2026'daki güvenlik liderlerinden oluşan bir panele göre, yönetim kurullarına siber güvenlik riskleri konusunda tavsiyelerde bulunmanın en iyi yollarından biri paraya ve siber risk yönetimine yönelik akıllı bir yaklaşımın kuruluş için nasıl güçlü bir uzun vadeli yatırım olabileceğine odaklanmaktır.
Siber maruziyetin ölçülmesi zor olabilir. Bununla birlikte, siber güvenlik tehditlerini ve zayıf noktalarını, odaklanılması gereken en önemli siber güvenlik konularını ve bir siber saldırının kuruluşa finansal maliyetinin ne olabileceğini göstermek için Siber Risk Ölçümü'nü (CRQ) ve verileri kullanmak, yönetim kurulundan destek almanın en iyi yoludur.
Çok uluslu Petrol ve Gaz şirketi BP, onlarca yıldır risk yönetimini işletme genelinde kullanıyor ancak son yıllarda bu uygulamayı siber güvenliğe de uygulamaya başladı.
Uzmanların Görüşleri
BP'nin dijital risk yönetimi lideri James Russell, Infosecurity Europe Deep Dive Stage'de sohbet sırasında, bu strateji için hayati önem taşıyan şeyin, üretilen verilerin ve bunların ne anlama geldiğinin yöneticiler tarafından kolayca anlaşılmasını sağlamak olduğunu söyledi.
"Bu, güvenliğin dışında da bağlantı kurulması gereken bir şey. Ancak siber riski iletmek, bunu iş liderleri için nasıl anlamlı hale getirirsiniz?" dedi Russell. Cevabın, riskin doğru yönetilmemesinin maliyetleri etrafında ölçülmesi olduğunu sürdürdü.
İşletmeler Riski Neden Dolar Değerini Kullanarak Ölçmeli?
BP'den Russell şunları söyledi: "Riski bir dolar değeriyle ölçmek onu daha anlamlı kılıyor, özellikle de büyük bir organizasyonunuz varsa. Riski ölçmek karmaşık olabilir, ancak dolar değeri herkesin anladığı bir şeydir."
Detaylar ve Etkileri
NatWest Group'un siber güvenlikten sorumlu genel müdürü Silas Bartlett, yönetim kurulunun katılımının siber güvenlik riskini ölçmek isteyen her kuruluş için hayati önem taşıdığını kabul etti ve banka da bunu akılda tutarak bunu yapma planlarını hazırladı.
Ocakbaşı sohbeti sırasında "Yönetim kurulu raporlamasının nasıl iyileştirilebileceği konusunda şirket içi tartışmalar yapıyorduk" dedi. "Yeterli modelleme ile riskin neye benzediğini ölçebileceğimiz yeterli veri var."
"Yani en başından itibaren yönetim kurulu raporlaması yapma hedefimiz vardı ve oradan geriye doğru çalıştık" diye ekledi.
Gelecekte Ne Bekleniyor?
Bu, özellikle incelenen nitelik ve nicelik verilerinin ve dolayısıyla risk raporlarının sonuçlarının doğru olduğundan emin olmak konusunda zorluklardan ibaret değildi.
"Bankaların kredi riskini ölçme şekline baktığınızda, ellerinde onlarca yıldır bizim (siber güvenlik) sahip olmadığımız çok büyük miktarda veri var. Ve bir siber saldırının karmaşıklığı, bize bir hata yapmadığımızdan nasıl emin olabileceğimizin sorulduğu anlamına geliyor?" Barlett açıkladı.
"Ancak yaptığımız şeylerden biri, modele varsayımlar koymak ve 'Ya bu konuda %10 oranında yanılıyorsak veya yeni bir güvenlik açığı bir saldırganın çevremizi ihlal etmesine izin veriyorsa ne olur?' demek oldu.
Sistem Güvenliği
Zaman içinde ne kadar çok veri eklenirse model o kadar doğru olur. Riskle ilgili iyi verilerin ölçülmesine yardımcı olabileceği temel çıktılardan biri "dolar niteliği" ve doğru siber risk yönetiminin gelecekteki olası bir ihlali önleyerek veya bozarak kuruluşa nasıl para tasarrufu sağlayabileceğidir.
Russell, bulguların gerçek veri istatistiklerine dayanması nedeniyle içgüdüsel hisler ve öznel görüşler etrafında seçim yapmayı ortadan kaldırmaya yardımcı olması gerektiğini öne sürdü.
Ancak riski sunmaktan sorumlu olanlar, paylaştıklarının yönetim kurulunun ihtiyaçlarına uygun olduğundan emin olmalıdır. Veriler anlaşılamayacak kadar karmaşıksa, onunla fazla bir şey yapamayacaklardır.
Russell, "En büyük zorluk, risk yönetimine yardımcı olmak için CRQ dilini ortak sözlüğe çeviren paydaşlar için bilgi miktarıdır; bu, gereksinimlerinize yardımcı olacak bir kolaylaştırıcı olmalıdır" dedi.