Yönetim Kurullarına Siber Riskleri Anlatmanın Yolu: Parayla Konuşmak Siber Güvenlik

Yönetim Kurullarına Siber Riskleri Anlatmanın Yolu: Parayla Konuşmak

Siber riskleri yönetim kurullarına anlatmanın en iyi yolu, parayı ve akıllı risk yönetiminin uzun vadeli yatırım getirisini vurgulamak.

Siber güvenlik risklerini yönetim kurullarına iletmek, çoğu zaman zorlu bir süreçtir. Ancak Infosecurity Europe 2026'da bir araya gelen güvenlik liderleri, bu zorluğu aşmanın anahtarının finansal dil kullanmak olduğunu belirtti. Uzmanlara göre, siber risk yönetimine akıllıca yaklaşmanın şirket için güçlü bir uzun vadeli yatırım olduğunu göstermek, yönetim kurulunun desteğini almanın en etkili yolu. Özellikle Cyber Risk Quantification (CRQ) ve veri kullanarak siber tehditlerin finansal maliyetini somutlaştırmak, karar vericilerin dikkatini çekiyor.

BP ve NatWest Group gibi büyük şirketler, siber riskleri ölçmek için dolar bazlı değerleme yöntemini benimsiyor. BP'de dijital risk yönetimi lideri James Russell, "Riski dolar cinsinden ölçmek, özellikle büyük bir organizasyonda daha anlamlı hale geliyor. Risk ölçümü karmaşık olabilir, ancak dolar değeri herkesin anladığı bir dil" dedi. NatWest'te siber güvenlik yöneticisi Silas Bartlett ise, bankanın yönetim kurulu raporlamasını iyileştirmek için geriye doğru çalışarak hedef belirlediklerini ve bu sayede CRQ sürecini baştan doğru kurguladıklarını ifade etti.

Ancak bu süreç zorluklardan arınmış değil. Bartlett, bankaların kredi riskini ölçerken onlarca yıllık veriye sahip olduğunu, ancak siber güvenlikte bu kadar kapsamlı verinin bulunmadığını vurguladı. "Bir siber saldırının karmaşıklığı, hatasız olduğumuzdan nasıl emin olabileceğimiz sorusunu gündeme getiriyor" diyen Bartlett, modellerine 'bu konuda %10 yanılıyorsak ne olur?' gibi varsayımlar ekleyerek güvenilirliği artırdıklarını belirtti. Zamanla eklenen verilerle modellerin daha doğru hale geldiğini ve 'dolar atfı' adı verilen finansal etki ölçümünün, doğru risk yönetimiyle potansiyel ihlallerin önlenmesi sayesinde şirkete ne kadar tasarruf sağlanacağını gösterdiğini söyledi.

Uzmanlara göre, CRQ verilerini sunarken en büyük zorluk, bilgiyi yönetim kurulunun anlayabileceği ortak bir dile çevirmek. Russell, "En büyük zorluk, paydaşlar için bilgi miktarını yönetmek ve CRQ dilini ortak bir sözlüğe dönüştürmek" diyerek, risk yönetiminin bir engel değil, gereksinimleri karşılamaya yardımcı bir kolaylaştırıcı olması gerektiğini vurguladı. Verilerin çok karmaşık olması durumunda yönetim kurulunun bunları etkili bir şekilde kullanamayacağını belirten Russell, sunumların gerçek veri istatistiklerine dayanması gerektiğini, böylece içgüdüsel ve öznel kararların önüne geçilebileceğini sözlerine ekledi.

Paylaş: