Siber Güvenlikte Yönetim Kurulunu İkna Etmenin Yolu: Riskleri Parayla Ölçün Siber Güvenlik

Siber Güvenlikte Yönetim Kurulunu İkna Etmenin Yolu: Riskleri Parayla Ölçün

Siber riskleri yönetim kuruluna anlatmanın en iyi yolu, parayı ve akıllı siber risk yönetiminin uzun vadeli bir yatırım olduğunu vurgulamaktır.

Infosecurity Europe 2026'da bir araya gelen güvenlik liderleri, siber güvenlik risklerini yönetim kuruluna anlatmanın en etkili yolunun finansal etkiyi göstermek olduğunu belirtti. Panelistlere göre, siber risklerin yönetim kurulu tarafından anlaşılması için Cyber Risk Quantification (CRQ) yöntemi kullanılmalı. Bu yöntem, siber tehditlerin ve güvenlik açıklarının finansal maliyetini ortaya koyarak, yönetim kurulunun siber güvenlik konusunda daha bilinçli kararlar almasını sağlıyor.

Çok uluslu petrol ve gaz şirketi BP, uzun yıllardır risk yönetimi uyguluyor ancak son yıllarda bu uygulamayı siber güvenliğe de taşımış durumda. BP'nin dijital risk yönetimi lideri James Russell, üretilen verilerin ve anlamlarının yöneticiler tarafından kolayca anlaşılmasının stratejinin hayati bir parçası olduğunu söyledi. Russell, 'Siber riski iletmek, bunu iş liderleri için nasıl anlamlı kılarsınız?' sorusuna yanıt olarak, riski doğru yönetmemenin maliyetleri etrafında nicelemenin önemini vurguladı.

NatWest Group'un siber güvenlik müdürü Silas Bartlett, yönetim kurulunun desteğini almanın her kuruluş için hayati olduğunu belirtti. Bartlett, 'Yönetim kurulu raporlamasını nasıl iyileştireceğimiz konusunda iç tartışmalar yapıyorduk. Yeterli modelleme ile riskin neye benzediğini niceleyebileceğimiz kadar veri var. Bu nedenle en başından hedefimiz yönetim kurulu raporlaması yapmaktı ve oradan geriye doğru çalıştık.' dedi. Ancak bu süreçte veri kalitesi ve miktarının doğruluğundan emin olma gibi zorluklar yaşadıklarını da ekledi.

Nasıl Önlem Alınmalı?

Russell, risk bulgularının gerçek veri istatistiklerine dayanması gerektiğini, böylece sezgisel ve öznel kararların önüne geçilebileceğini söyledi. Ancak riski sunan kişilerin, paylaştıkları bilgilerin yönetim kurulunun ihtiyaçlarına göre şekillendirilmesi gerektiğini belirtti. 'En büyük zorluk, paydaşlar için bilgi miktarı; CRQ dilini ortak bir sözlüğe çevirerek risk yönetimini kolaylaştırmak. Bu, gereksinimlerinizi destekleyen bir etkinleştirici olmalı.' diye konuştu.

Paylaş: