Aon’un raporunda öne çıkan tespitler şöyle
Teknoloji Bugüne kadar fiziki ofisler ve mağazalar vasıtasıyla müşterilerine Travesti ulaşan klâsik şirketlerin bulut bilişim vasıtasıyla süratle dijital iktisadın XaaS servis sağlayıcılarına dönüşmesi onları yeni ve potansiyel olarak şimdi bilinmeyen risklerle karşı karşıya bırakıyor Teknolojinin daha ağır ve geniş kapsamda izmir Travesti kullanılması şirketlerin iş yapış biçimlerinde esaslı değişikliklere neden oluyor ve siber taarruzlara yönelik yeni zafiyetler yaratıyor Şirketler bu yeniliklerin farklı riskleri beraberinde getirebileceğinin farkında olmalı ve dijital dönüşüm süreçleri devam Konya Travesti ederken bu riskleri yönetebilmelidir
Tedarik zinciri Tedarik zinciri tarafında yaygın görülen iki eğilimin önümüzdeki yıllarda siber risklerin bariz biçimde artmasına neden olabileceği öngörülüyor Bunlardan biri taşınabilir ya da objelerin interneti özellikli yeni jenerasyon aygıtlar vasıtasıyla bulut ortamlarına genişleyen ve siber taarruz riskine maruz operasyonel dataların süratle artması olarak kabul ediliyor İkincisi ise şirketlerin her geçen gün daha fazla bel bağladığı üçüncü ve hatta dördüncü taraf tedarikçilerin ve hizmet sağlayıcılarının siber saldırganların şirketlerin tedarik zincirine ulaşabilecekleri yeni art kapılar sunması olarak öne çıkıyor Ponemon Institute’un 2018 yılında yaptığı bir araştırma ABD ve İngiltere’deki şirketlerin yüzde 59’u üçüncü taraf aracılığıyla en az bir kere bilgi ihlaline maruz kaldıklarını belirtirken sırf yüzde 35’i üçüncü taraf risk idaresi programlarının kâfi olduğunu düşünüyor
Nesnelerin interneti Günümüzde artık ömrün her alanına dahil olan objelerin interneti aygıtları potansiyel bir güvenlik riski teşkil ediyor Pek çok şirketin işlerini yürütürken kullandığı ağ kontaklı objelerin interneti aygıtlarının konferans sistemleri güvenlik kameraları yazıcılar bina otomasyon sistemleri vb sayısı şirketlerin idaresindeki bilişim teknolojileri varlıklarının sayısını aşabiliyor O denli ki 2018 Ponemon Institute anketine nazaran şirketlerin yüzde 52’si 1000 adet aygıtın yer aldığı bir objelerin interneti envanterini yönettiğini söylerken çalışmanın sonucunda ortalama 15 binin üzerinde objelerin interneti aygıtının kullanıldığı ortaya çıktı Yani şirketler objelerin interneti aygıtlarının tamamını inançlı bir formda yönetemiyor hatta bu aygıtların envanter kaydını dahi tutmuyor Bu da şirketlerin data ihlaline uğramasına neden oluyor
İş faaliyetleri Endüstriyel denetim sistemleri ve kritik kamu hizmetleri altyapıları klasik manada bağımsız ağlar olarak işletilmekle birlikte her geçen gün bu sistem ve altyapıların büyük bir kısmı internete bağlanmakta ve klâsik Bilişim Teknolojileri ortamlarına entegre olmaktadır Bu durum operasyonel verimliliği artırırken potansiyel siber taarruz alanını da genişletmekte ve saldırganlar için şirketin BT ağının tamamına ulaşabilmeyi kolaylaştırarak iş durması riskini artırmaktadır Öte yandan yetersiz olan yedekleme süreçleri de siber atakların kurumların iş faaliyetleri üzerindeki tesirinin daha şiddetli olmasına yol açıyor Kurumların WannaCry saldırısının 230 bin bilgisayarı etkisiz hale getirdiği ve tüm dünyada büyük bir kaosa sebep olduğunu unutmadan siber akınların potansiyel tesirlerinin farkında olmaları ve iş sürekliliğini sağlayacak gerekli önlemleri almaları değer arz ediyor
Çalışanlar Gerek makus niyetli olsun gerekse ihmal sebepli olsun çalışanlar data ihlali hadiselerinin en yaygın nedenlerinden biri olmaya devam ediyor Aon’un anketine nazaran iştirakçilerin yüzde 53’ü 2018 yılında şirketlerinin içeriden kaynaklı bir siber atak yaşadığını söyledi Çalışanlar çalıştıkları kurumun siber güvenliği için büyük bir tehdit oluşturduklarının birçok sefer farkında olmayabiliyor Kurumların kurum içi siber güvenlik risklerini azaltmak için kapsamlı bir yaklaşım geliştirmeleri gerekiyor Bu doğrultuda güçlü bilgi idaresi kurum genelinde siber güvenlik siyasetlerinin bağlantının yapılması aktif erişim ve bilgi muhafaza denetimlerinin uygulanması gerekiyor
Şirket birleşmeleri ve satın almalar IMAA Institute’un bilgilerine nazaran 2018’de şirket birleşmeleri ve satın almaların tüm dünyada toplam kıymetinin 4 trilyon dolara ulaştığı düşünülüyor Birleşme ve satın almalar artarken siber güvenlik riskleri de süratle artıyor Siber saldırganlar sıklıkla daha büyük firmalar tarafından satın alınma sürecinde olan firmaları hedefliyor Yeni bir birleşme yahut satın alma sürecinde muahede tamamlanmadan evvel meydana gelebilecek bir siber hücum satın alma fiyatını önemli oranda düşürebiliyor
Satın alan şirketin kendi kurumsal siber güvenlik yaklaşımları ne kadar güçlü ve problemsiz olsa da bilhassa satın alınacak ya da birleşilecek maksat şirketin birebir halde siber güvenlik önceliklerini yerine getirdiğinden emin olması gerekiyor
Yasal düzenleme Bilhassa 2018’de tüm dünyada siber güvenlikle ilgili çeşitli yasal düzenlemeler yürürlüğe girdi Buna bağlı olarak şirketlerin yasal düzenlemelere ahenk riskinin 2019’da daha dikkatli bir halde değerlendirmesi ve gerekli önlemleri alması gerekiyor 2018 mayıs ayında yürürlüğe giren ve Avrupa Birliği üyesi ülkelerde uygulanmaya başlanan GDPR Avrupa Birliği Genel Bilgi Muhafaza Yönetmeliği ihlali durumunda siber güvenlikle ilgili olarak 20 milyon Euro’ya ya da bir kuruluşun yıllık küresel cirosunun yüzde 4’üne varan önemli yaptırımları da beraberinde getiriyor O denli ki 2018’deki çok büyük data ihlallerinin sorumlusu olan şirketlerin GDPR kapsamındaki ihlallerinin netleşmesi durumunda şirket başına 500 milyon dolar ile 1 milyar doların üzerinde bir para cezası alabileceği varsayım ediliyor
Yönetim Şurası Siber güvenlik idaresi idare heyetleri için değerli bir gündem hususu olmaya devam ediyor Lakin yakın geçmişe bakıldığında idare heyeti üyeleri siber idareyle ilgili artan ferdî sorumluluk riskiyle de karşı karşıya kalıyor Hissedarların yüksek profilli bilgi ihlallerinden kimilerinde yöneticilere karşı tazminat talebinde bulunduğu gözleniyor İdare heyeti üyelerinin siber güvenlikle ilgili daha kararlı bir tavır sergileyerek hem siber güvenlik idaresiyle ilgili alınan aksiyonlar hem de proaktif önlemler konusunda tüm şirkete bu manada da önderlik etmesi büyük değer arz ediyor Aon’un raporu 2018 yılında BDO Center for Corporate Governance and Financial Reporting tarafından yapılan bir araştırmaya katılan idare şurası üyelerinin dörtte üçünün bir yıl öncesine nazaran siber güvenliğe daha fazla dahil olduğunu ortaya koyuyor