Siber güvenlik yatırımlarını yönetim kurullarına kabul ettirmek, birçok güvenlik liderinin en büyük zorluklarından biri. Infosecurity Europe 2026'da bir araya gelen sektörün önde gelen isimleri, bu sorunun çözümünü oldukça basit bir yaklaşımda buluyor: Parayı konuşturun. Panelistlere göre, siber risk yönetimini bir maliyet kalemi olarak değil, uzun vadeli bir yatırım olarak sunmak, yönetim kurulunun desteğini almanın en etkili yolu. Özellikle Cyber Risk Quantification (CRQ) yöntemiyle risklerin parasal karşılığını somut verilerle göstermek, üst düzey yöneticilerin ilgisini çekiyor ve karar alma süreçlerini hızlandırıyor.
BP'nin dijital risk yönetimi lideri James Russell, şirketinin onlarca yıldır risk yönetimi yaptığını ancak siber güvenlik alanında bu pratiği son yıllarda uygulamaya başladığını belirtiyor. Russell'a göre, üretilen verilerin ve anlamlarının yöneticiler tarafından kolayca anlaşılması kritik önem taşıyor. 'Siber riski iletişime geçirirken iş liderleri için nasıl anlamlı hale getirirsiniz?' sorusunu soran Russell, cevabın riskin yönetilmemesi durumunda oluşacak maliyetleri ölçmek olduğunu söylüyor. Ona göre, riski dolar cinsinden ölçmek, özellikle büyük organizasyonlarda herkesin anlayabileceği evrensel bir dil oluşturuyor.
NatWest Group'un siber güvenlik direktörü Silas Bartlett de yönetim kurulunun desteğinin, siber riski ölçmek isteyen her kuruluş için hayati olduğunu vurguluyor. Bartlett, bankanın bu hedefe yönelik olarak iç raporlamayı iyileştirmek için çalışmalara başladığını anlatıyor: 'Yeterli veri ve modelleme ile riskin neye benzediğini ölçebileceğimizi düşündük. En baştan hedefimiz yönetim kuruluna rapor sunmaktı ve bu hedeften geriye doğru çalıştık.' Ancak Bartlett, bu sürecin zorluklarını da kabul ediyor: Bankaların kredi riskini ölçerken onlarca yıllık devasa veri setlerine sahip olduğunu, siber güvenlik alanında ise bu kadar veri bulunmadığını belirtiyor. 'Bir siber saldırının karmaşıklığı, 'hata yapmadığımızdan nasıl emin olabiliriz?' sorusunu gündeme getiriyor' diyen Bartlett, modellerine 'ya bu konuda %10 yanılıyorsak' veya 'yeni bir güvenlik açığı saldırganın çevreyi aşmasına izin verirse' gibi varsayımlar eklediklerini ifade ediyor.
Nasıl Önlem Alınmalı?
Zamanla modele eklenen veriler arttıkça, modelin doğruluğu da artıyor. İyi verilerle ölçülebilen en önemli çıktılardan biri, 'dolar atfı' – yani doğru siber risk yönetiminin, potansiyel bir ihlali önleyerek veya kesintiye uğratarak kuruluşa ne kadar para kazandırabileceği. Russell, bulguların gerçek veri istatistiklerine dayanması nedeniyle, içgüdüsel ve öznel kararların ortadan kaldırılmasına yardımcı olacağını söylüyor. Ancak riski sunanların, paylaştıkları bilgilerin yönetim kurulunun ihtiyaçlarına göre şekillendirilmesi gerektiğini de ekliyor. Veri çok karmaşıksa, yönetim kurulu bununla pek bir şey yapamaz.
Gelecekte Ne Bekleniyor?
Russell'a göre en büyük zorluk, paydaşlara sunulan bilgi miktarının fazla olması ve CRQ dilini ortak bir sözlüğe çevirmektir. 'Siber risk yönetimi bir kolaylaştırıcı olmalı, ihtiyaçlarınızı karşılamanıza yardımcı olmalı' diyen Russell, risk dilinin iş dünyası için anlaşılır hale getirilmesi gerektiğini vurguluyor. Panelin genel mesajı net: Yönetim kurullarını ikna etmek için siber güvenliği bir maliyet değil, yatırım olarak sunun ve riskleri somut parasal değerlerle ifade edin. Bu yaklaşım, hem güvenlik ekiplerinin stratejik kararlara katılımını artıracak hem de kuruluşun genel risk yönetimi olgunluğunu yükseltecektir.
Sonuç olarak, siber risk ölçümü ve yönetim kurulu iletişiminde başarılı olmak için veriye dayalı, finansal odaklı ve anlaşılır bir dil kullanmak şart. BP ve NatWest gibi dev şirketlerin deneyimleri, CRQ'nun sadece bir teknik araç değil, aynı zamanda bir iletişim stratejisi olduğunu gösteriyor. Yönetim kurullarına sunulan her rakamın, her grafiğin bir karara dönüşmesi için 'bu ne anlama geliyor?' sorusuna net bir cevap vermesi gerekiyor. İşte bu noktada dolar değeri, herkesin anladığı ortak payda olarak öne çıkıyor.
Kaynak: infosecurity-magazine.com