Infosecurity Europe 2026'da bir araya gelen siber güvenlik liderleri, yönetim kurullarını siber riskleri ciddiye almaya ikna etmenin en etkili yolunun, konuyu finansal bir perspektiften ele almak olduğunu belirtti. Panelde konuşan uzmanlara göre, akıllı bir siber risk yönetimi yaklaşımı, organizasyon için güçlü bir uzun vadeli yatırım olarak görülmeli. Siber tehditlerin ve güvenlik açıklarının finansal sonuçlarını net bir şekilde ortaya koymak, yönetim kurulunun desteğini almanın anahtarı.
BP'de dijital risk yönetimi lideri olan James Russell, siber risk yönetimini iş genelinde uyguladıklarını ve verilerin ürettiği anlamın yöneticiler tarafından kolayca anlaşılmasının kritik olduğunu vurguladı. 'Siber riski iletmek, bunu iş liderleri için anlamlı kılmak nasıl mümkün olacak?' sorusuna yanıt olarak Russell, riski yönetmemenin maliyetleri üzerinden ölçümleme yapmanın önemine dikkat çekti. NatWest Group'un siber güvenlik yöneticisi Silas Bartlett ise, bankanın yönetim kurulu raporlamasını iyileştirmek için iç tartışmalar yaptıklarını ve hedefe geriye doğru çalışarak ulaştıklarını ifade etti.
Bartlett, bankaların kredi riskini ölçerken onlarca yıllık veriye sahip olduğunu, ancak siber güvenlik alanında bu kadar veri bulunmadığını belirtti. Siber saldırıların karmaşıklığı nedeniyle, yapılan hesaplamaların doğruluğu konusunda şüpheler olabileceğini kabul eden Bartlett, modellerine 'bu konuda %10 yanılıyorsak ne olur?' gibi varsayımlar ekleyerek güvenilirliği artırdıklarını söyledi. Zamanla eklenen verilerle modellerin daha doğru hale geldiğini ve 'dolar bazında atıf' yaparak siber risk yönetiminin potansiyel bir ihlali önleyerek ne kadar tasarruf sağlayabileceğini göstermenin mümkün olduğunu vurguladı.
Detaylar ve Etkileri
Russell, risk bulgularının gerçek veri istatistiklerine dayanması gerektiğini, böylece içgüdüsel ve öznel kararların önüne geçilebileceğini belirtti. Ancak, risk sunumunu yapanların, paylaştıkları bilgilerin yönetim kurulunun ihtiyaçlarına göre şekillendirilmesi gerektiğini, aksi halde çok karmaşık verilerin anlaşılamayacağını söyledi. 'En büyük zorluk, paydaşlar için bilgi miktarını yönetmek ve CRQ dilini ortak bir sözlüğe çevirerek risk yönetimini kolaylaştırmak' diye ekledi.