Sayı 4
Özetle

2020 Türkiye Siber Risk Algı Araştırması

Marsh tarafından yapılan kapsamlı araştırma, Türkiye’de iş dünyasının siber güvenlik risk karnesini çıkardı.
2020 Türkiye Siber Risk Algı Araştırması

Türkiye'de siber güvenlik farkındalığı hızla artarken, iş dünyası siber risklere karşı etkili bir savunma kurmanın yollarını arıyor. Marsh tarafından yapılan 2020 Türkiye Siber Risk Algı Araştırması’na göre, şirketlerin siber risk yönetimine yaklaşımlarını bütünsel olarak değiştirmeleri gerekiyor. Bu değişimde, siber güvenlik risklerine yönelik eğitim ve şirket genelinde pratik uygulamalar büyük önem taşıyor.

Farklı sektörlerden 144 profesyonelin katıldığı araştırmada, şirketlerin siber risklerle ilgili sorumluluğu büyük oranda BT ekiplerinin omuzlarına yüklediği dikkat çekiyor. BT ekiplerinin ana odağı siber risk yönetimi olmadığı için, siber güvenlik süreci büyük ölçekte atak veya risk oluştuktan sonra önlem almaya yönelik işliyor.

Farkındalık var, çalışacak zaman yok

Bu yaklaşım, kurumların siber güvenlik yönetiminde yaşadığı zorluğu da açıklıyor: Araştırmaya göre şirketlerin siber güvenlik alanında karşılaştığı problemlerin başında; çalışanların siber güvenliğe odaklanacak zamanının olmaması, nitelikli siber güvenlik uzmanı bulmanın zorluğu ve ayrı bir siber güvenlik ekibinin bulunmaması geliyor. Şirketlerin yüzde 27'si, kurum genelinde taşıdıkları siber riskleri tespit edebilmek için herhangi bir metot kullanmadığını belirtiyor.

Rapora göre siber risk yönetiminde iyileştirme sağlanması için eğitim ve bilgilendirme mutlak koşul haline gelmiş bulunuyor. Siber risk eğitimlerinin şirket oryantasyonunun bir parçası haline getirilmesi ve farkındalığa yönelik uygulamaların tüm ekipler geneline yaygınlaştırılması gerekiyor.

Yeni teknolojiler, riskleri beraberinde getiriyor

Türkiye’de iş dünyasının bulut, mobil, IoT gibi yeni nesil teknolojileri hızlı biçimde benimsemesi dikkat çekiyor. Rapora göre temel bilişim teknolojileri, şirketler için kritik operasyonel önem arz ediyor. Şirketlerin tüm bu teknolojileri kullanmaya geçmeden önce, keşif veya başlangıç adımında kapsamlı bir risk değerlendirmesi yapması gerekiyor. Ne var ki, araştırmaya göre her üç kurumdan biri, bu değerlendirmeleri daha sonraki aşamalara bırakıyor ve etkin sonuçlar elde etmekte güçlük çekiyor.

Yatırımın başlıca sebebi regülasyon ve siber ataklar

Şirketlerin yüzde 60'ı siber güvenliği en önemli 5 risk unsuru arasında sıralıyor. Dahası, kurumların büyüklüğüne uygun olacak şekilde, siber güvenlik süreçlerinin liderliğini üst düzey (C seviyesi) bir yönetici üstleniyor. Bu yöneticinin konuya yaklaşımı, aynı zamanda kurumun siber güvenlik profilinin de temelini oluşturuyor. Dahası, siber güvenlik konusu, şirketlerin yüzde 87'sinde son bir yıl içinde en az bir kez yönetim kurulu toplantısı gündemine alınmış bulunuyor.

Yine de iş yeni siber güvenlik yatırımlarına gelince iki ana unsur başrol oynuyor: Devletin belirlediği yasal düzenlemeler ve tecrübe edilen siber saldırılar. Şirketlerin siber güvenlik konusunda adım atmaları büyük ölçüde KVKK, GDPR gibi devletler tarafından çıkarılan yeni yasalar veya yasal güncellemelere bağlı. Öte yandan, şirket içinde veya aynı sektördeki bir başka kurumda yaşanan siber ataklar da bu alanda önlem alınması için tetikleyici oluyor.

Siber güvenlik riskinin tıpkı diğer riskler gibi vizyon planı içinde yer alması gerektiğini vurgulayan Marsh 2020 Türkiye Siber Risk Algı Araştırması, kamunun da siber risk farkındalığını artırmak için süreçleri daha belirgin ve sektörlere özel düzenlemeler içerecek biçimde şekillendirmesi gerektiği sonucuna varıyor.