Siber Risk Yönetiminde Yönetim Kurulunu İkna Etmenin Yolu: Parayla Konuşun Linux

Siber Risk Yönetiminde Yönetim Kurulunu İkna Etmenin Yolu: Parayla Konuşun

Siber riskin parasal değerle ölçülmesi, yönetim kurullarının siber güvenliğe yatırım yapmasını sağlamanın anahtarı. BP ve NatWest'ten CRQ ipuçları.

Infosecurity Europe 2026'da bir araya gelen güvenlik liderleri, siber risk yönetiminde yönetim kurullarını ikna etmenin en etkili yolunun parayla konuşmak olduğunu belirtti. Uzmanlara göre, siber riskleri akıllıca yönetmek, şirketler için uzun vadeli güçlü bir yatırım olarak görülmeli. Ancak siber maruziyeti ölçmek zor. İşte bu noktada Cyber Risk Quantification (CRQ) devreye giriyor. CRQ, siber tehditleri ve zafiyetleri veriyle göstererek, en önemli güvenlik konularına odaklanmayı ve olası bir siber saldırının finansal maliyetini ortaya koymayı sağlıyor. Bu da yönetim kurulunun desteğini almak için en güçlü araç.

BP'nin dijital risk yönetimi lideri James Russell, panellerde yaptığı konuşmada, şirketlerin risk yönetimini onlarca yıldır kullandığını ancak siber güvenliğe uyarlamanın yeni olduğunu söyledi. Russell'a göre, üretilen verilerin ve anlamlarının yöneticiler tarafından kolayca anlaşılması hayati önem taşıyor. "Bu, güvenlik dışındaki alanlarla da bağlantı kurmalı. Peki siber riski, iş liderleri için nasıl anlamlı hale getirirsiniz?" diyen Russell, cevabın riski, doğru yönetilmediğinde ortaya çıkacak maliyetlerle ölçmek olduğunu vurguladı.

BP'den Russell, "Riskin dolar değeriyle ölçülmesi, özellikle büyük bir organizasyonda daha anlamlı hale getiriyor. Risk ölçümü karmaşık olabilir, ancak dolar değeri herkesin anladığı bir birim" dedi. NatWest Group'un siber güvenlik genel müdürü Silas Bartlett de, yönetim kurulunun desteğini almanın siber riski ölçmek isteyen her kuruluş için hayati olduğunu belirtti. Bartlett, bankanın planlarını bu hedef doğrultusunda şekillendirdiğini anlattı: "Yönetim kurulu raporlamasını nasıl iyileştireceğimize dair iç tartışmalar yapıyorduk. Yeterli veriyle, riskin neye benzediğini modelleyebileceğimizi gördük. Bu nedenle baştan hedefimiz yönetim kurulu raporlamasıydı ve oradan geriye doğru çalıştık."

Bu süreç zorluklardan yoksun değildi. Özellikle incelenen verilerin kalitesi ve miktarı, dolayısıyla risk raporlarının doğruluğu konusunda güvence sağlamak gerekiyordu. Bartlett, "Bankaların kredi riskini ölçme şekline baktığınızda, on yıllar boyunca devasa miktarda verileri var. Biz siber güvenlik olarak buna sahip değiliz. Ayrıca siber saldırının karmaşıklığı, 'Hata yapmadığımızdan nasıl emin olabiliriz?' sorusunu doğuruyor" dedi. Bu sorunun üstesinden gelmek için, "Modele varsayımlar ekleyerek 'Ya bu konuda %10 yanılıyorsak? Ya yeni bir zafiyet bir saldırganın çevremizi aşmasına izin verirse?' gibi senaryoları test ediyoruz" diye ekledi.

Teknik Analiz

Zamanla eklenen daha fazla veri, modelin doğruluğunu artıracak. İyi veriyle ölçülebilecek en önemli çıktılardan biri de "dolar atfı" ve doğru siber risk yönetiminin, potansiyel bir ihlali önleyerek veya kesintiye uğratarak şirkete nasıl para kazandırdığı. Russell, bulguların gerçek veri istatistiklerine dayanması nedeniyle, içgüdü ve öznel görüşlere dayalı kararları ortadan kaldırmaya yardımcı olduğunu belirtti. Ancak risk sunumunu yapanların, paylaştıklarının yönetim kurulunun ihtiyaçlarına göre şekillendirilmesi gerektiğini de vurguladı. "Veri çok karmaşıksa, yönetim kurulu onunla pek bir şey yapamaz. En büyük zorluk, paydaşlara sunulan bilgi miktarı; CRQ dilini ortak bir sözlüğe çevirerek riski yönetmeye yardımcı olmak gerekiyor. Bu, gereksinimlerinizi destekleyen bir kolaylaştırıcı olmalı" dedi.

Kaynak: infosecurity-magazine.com

Paylaş: