Siber güvenlik risklerini yönetim kurullarına anlatmanın en iyi yolu, konuyu paraya ve akıllı bir siber risk yönetiminin uzun vadede şirkete sağlayacağı yatırım getirisine odaklanmaktır. Infosecurity Europe 2026'da bir araya gelen siber güvenlik liderleri, bu yaklaşımın en etkili yöntem olduğunu vurguladı. Siber maruziyeti ölçmek zor olsa da, Cyber Risk Quantification (CRQ) ve veri kullanarak tehditleri, zafiyetleri ve olası bir siber saldırının finansal maliyetini somutlaştırmak, yönetim kurulunun desteğini almanın anahtarı olarak öne çıkıyor.
Çok uluslu petrol ve gaz şirketi BP, onlarca yıldır iş genelinde risk yönetimini kullanıyor ancak son yıllarda bu uygulamayı siber güvenliğe de taşıdı. BP'nin dijital risk yönetimi lideri James Russell, Infosecurity Europe Deep Dive Stage'de yaptığı konuşmada, üretilen verilerin ve anlamlarının yöneticiler tarafından kolayca anlaşılmasının hayati önem taşıdığını belirtti. "Bu, güvenlik dışına da bağlanması gereken bir şey. Ancak siber riski iletmek, iş liderleri için nasıl anlamlı hale getirilir?" diyen Russell, cevabın riskin doğru yönetilmemesinin maliyeti etrafında nicelleştirilmesinde yattığını söyledi.
Russell'a göre riski dolar değeriyle ölçmek, özellikle büyük bir organizasyonda daha anlamlı hale getiriyor. "Riski ölçmek karmaşık olabilir, ancak dolar değeri herkesin anladığı bir kavram" diyen Russell, bu yaklaşımın yönetim kurulu iknasında kritik olduğunu vurguladı. NatWest Group'un siber güvenlik genel müdürü Silas Bartlett de yönetim kurulunun desteğinin herhangi bir kuruluşun siber riski nicelleştirme çabaları için hayati olduğunu kabul etti. Bartlett, bankanın bu hedefle yola çıktığını ve yönetim kurulu raporlamasını iyileştirmek için iç tartışmalar yaptıklarını anlattı: "Yeterli veri ve modelleme ile riskin neye benzediğini nicelleştirebiliriz. En başından hedefimiz yönetim kurulu raporlamasıydı ve oradan geriye doğru çalıştık."
Sonuç ve Değerlendirme
Bu süreç, özellikle incelenen verilerin kalitesi ve miktarı ile risk raporlarının doğruluğu konusunda zorluklar içeriyordu. Bartlett, bankaların kredi riskini ölçme şekline atıfta bulunarak, "Onlar onlarca yıllık devasa veriye sahipken, biz siber güvenlik olarak buna sahip değiliz. Bir siber saldırının karmaşıklığı, 'bir hata yapmadığımızdan nasıl emin olabiliriz?' sorusunu doğuruyor" dedi. Bu zorluğu aşmak için modellerine varsayımlar eklediklerini belirten Bartlett, "Ya bu konuda %10 yanılıyorsak? Ya yeni bir zafiyet saldırganın çevremizi aşmasına izin verirse?" gibi senaryoları modellediklerini söyledi.
Zamanla eklenen daha fazla veri, modelin daha doğru hale gelmesini sağlıyor. İyi verinin nicelleştirmeye yardımcı olduğu en önemli çıktılardan biri "dolar ataması" - yani doğru siber risk yönetiminin, potansiyel bir ihlali önleyerek veya kesintiye uğratarak şirkete nasıl para kazandırabileceği. Russell, bulguların gerçek veri istatistiklerine dayanması nedeniyle, sezgisel veya öznel görüşlere dayalı kararları ortadan kaldırmaya yardımcı olacağını öne sürdü. Ancak riski sunanların, paylaştıkları bilgilerin yönetim kurulunun ihtiyaçlarına dayalı olduğundan emin olmaları gerekiyor. Veriler anlaşılması çok karmaşıksa, yönetim kurulu bununla pek bir şey yapamaz.
Russell'ın da belirttiği gibi, en büyük zorluk paydaşlar için bilgi miktarını yönetmek ve CRQ dilini ortak bir sözlüğe çevirerek risk yönetimini kolaylaştırmak. "CRQ, gereksinimlerinizi karşılamaya yardımcı olan bir kolaylaştırıcı olmalı" diyen Russell, siber risk iletişiminin başarısının, teknik detayları iş diline dönüştürmekten geçtiğini vurguladı. Bu nedenle, yönetim kurullarına sunulan raporların, finansal etkiyi net bir şekilde ortaya koyan, basit ve anlaşılır bir yapıda olması gerekiyor.
Sonuç olarak, siber risk kantifikasyonu, yönetim kurullarının siber güvenlik yatırımlarını bir maliyet değil, stratejik bir yatırım olarak görmelerini sağlamanın en etkili yolu olarak öne çıkıyor. BP ve NatWest gibi büyük şirketlerin deneyimleri, dolar bazlı ölçümlerin ve veri odaklı yaklaşımların, siber risklerin iş hedefleriyle uyumlu hale getirilmesinde kritik bir rol oynadığını gösteriyor. Yönetim kurullarını ikna etmek isteyen siber güvenlik liderleri, teknik jargon yerine finansal dil kullanarak, riskleri somutlaştırmalı ve uzun vadede şirkete sağlayacağı değeri net bir şekilde ortaya koymalıdır.
Kaynak: infosecurity-magazine.com