Siber güvenlik liderleri, yönetim kurullarını ikna etmenin en iyi yolunun paraya odaklanmak olduğunu belirtiyor. Infosecurity Europe 2026'da konuşan uzmanlara göre, siber risk yönetimine akıllıca yaklaşmak, organizasyon için güçlü bir uzun vadeli yatırım olarak sunulmalı. Siber maruziyeti ölçmek zor olsa da, Siber Risk Ölçümü (CRQ) ve veri kullanarak tehditleri, zafiyetleri ve olası bir siber saldırının finansal maliyetini göstermek, yönetim kurulunun desteğini almanın anahtarı.
Çok uluslu petrol ve gaz şirketi BP, on yıllardır iş genelinde risk yönetimini kullanıyor ancak son yıllarda bu uygulamayı siber güvenliğe de uyarlamaya başladı. BP'nin dijital risk yönetimi lideri James Russell, bu stratejinin hayati önem taşıyan bir parçasının, üretilen verilerin ve anlamlarının yöneticiler tarafından kolayca anlaşılabilir olmasını sağlamak olduğunu söyledi. Russell, 'Siber riski iletmek, bunu iş liderleri için nasıl anlamlı hale getirirsiniz?' sorusunu yanıtlarken, riskin doğru yönetilmemesinin maliyetleri etrafında ölçülmesi gerektiğini vurguladı.
NatWest Group'un siber güvenlik yöneticisi Silas Bartlett, yönetim kurulunun desteğini almanın her organizasyon için hayati olduğunu belirterek, bankanın bu doğrultuda planlar yaptığını açıkladı. Bartlett, 'Yönetim kurulu raporlamasını nasıl iyileştirebileceğimiz konusunda iç tartışmalar yapıyorduk. Yeterli veri ve modelleme ile riskin neye benzediğini ölçebiliriz' dedi. Ancak, incelenen verilerin kalitesi ve miktarından emin olmanın zorluklarına dikkat çekti. Bankaların kredi riskini ölçme şekillerine kıyasla siber güvenlikte onlarca yıllık veri bulunmadığını, bu nedenle modellere varsayımlar ekleyerek hata payını hesapladıklarını söyledi.
Zamanla eklenen daha fazla veri, modelin daha doğru hale gelmesini sağlayacak. İyi verilerle ölçülebilecek en önemli çıktılardan biri 'dolar atfı' ve doğru siber risk yönetiminin potansiyel bir ihlali önleyerek veya kesintiye uğratarak organizasyona nasıl para kazandırabileceğidir. Russell, bulguların gerçek veri istatistiklerine dayanması nedeniyle, sezgisel ve öznel görüşlere dayalı kararları ortadan kaldırmaya yardımcı olması gerektiğini belirtti. Ancak, riski sunanların paylaştıklarının yönetim kurulunun ihtiyaçlarına dayalı olması gerektiğini, çok karmaşık verilerin işe yaramayacağını vurguladı. 'En büyük zorluk, paydaşlar için bilgi miktarı ve CRQ dilini ortak bir sözlüğe çevirerek risk yönetimini kolaylaştırmaktır' dedi.