İş adamı, sanal arayüzde kişisel bilgilerini koruyor

Üst Düzey Yöneticilerin Gereksiz Risk Almayı Bırakmaları Gerekiyor

#KingstonCognate, Bill Mew’i sunar

Bill Mew’in Resmi

Bill Mew, önemli bir kanaat önderi, dijital etik eylemcisi ve girişimcidir. Bill önemli bir kanaat lideri olarak, veri gizliliği açısından dünyanın en etkili otoritesi olarak kabul edildiği ‘anlamlı koruma’ ile siber güvenlik ve dijital dönüşümden devlet teknolojilerine ve akıllı şehirlere kadar her alanda en büyük otoritelerden biri olarak kabul edildiği ‘ekonomik ve sosyal değerin maksimizasyonu’ arasında dengenin sağlanmasına odaklanmaktadır. Aynı zamanda bu konular üzerinde bir uzman olarak, Birleşik Krallık’taki tüm diğer teknoloji uzmanlarından daha fazla yayın süresiyle her hafta TV/Radyo’da (BBC, RT, vb.) yayına çıkmaktadır.

Bill, CrisisTeam.co.uk’in kurucusu ve CEO’sudur. Burada müşterilerinin karşı karşıya kaldığı siber saldırıların etkilerinin en aza indirilmesine yardımcı olmak için olaylara müdahale, siber yasalar, itibar yönetimi ve sosyal etkiler konusunda uzmanlardan oluşan elit bir ekiple çalışmaktadır.

Kurumsal Risk Alma Kültürü, Gerçek Dünyada Çöküşe Neden Olabilir

Büyük bir video tablette çalışan Kurumsal Yöneticiler

Alınan bazı riskler çok aptalcadır. Kredi çöküşüne ve buna bağlı olarak dünya çapında finansal krize yol açan ana neden krediyi asla geri ödeyemeyeceği bariz olan kişilere bankaların kredi vermesiydi. Yine de neredeyse tüm bankalar bunu yapıyordu.

Yine kısa bir süre önce kimse sokağa çıkma yasaklamalarını ve okula, işe gitmek, arkadaşlarla buluşmak ya da plaja gitmek gibi çok basit eylemlerin, hayatınızı ve etrafınızdaki insanların hayatlarını tehdit edebileceği gerçeğini ön göremedi. Ancak artık bu durumu anlıyoruz, çok bariz bir hale geldi.

Hem 2008’deki küresel mali kriz hem de şu anda yaşadığımız salgın, müthiş yıkıcı etkiler yarattı. Bu etkilerin sonuçları, daha iyi risk değerlendirmesi yapsaydık ya da kredi risk yöneticilerini ve sağlık uzmanlarını daha önce dinleseydik önlenebilir ya da azaltılabilirdi.

Genç iş adamı ifadeyi gösteriyor: Risk yönetimi

Kurumsal Kültürde risk değerlendirmesi yetersizliği mi var?

Riski hesaba katma şeklimiz genellikle mantıksızdır ve kestirilebilir değildir. Çok sayıda kişinin evde çalışmaya geçtiğini gördük. Bu durum da fırsatçı siber suçlular için yeni bir saldırı alanı açtı. Kuruluşların bulut uygulamalarının güvenliğine odaklanmasını beklersiniz. Ancak sıklıkla bulut hizmet sağlayıcısının güvenlikle ilgilendiği varsayılmaktadır. Gerçekte yanlış yapılandırılmış bulut uygulamalarında veri ihlallerinin en yaygın kaynaklarından biridir.

Bulutunuzu ya da dizüstü bilgisayarınızı parolasız ya da hiç koruma olmadan asla bırakmayacak olmanıza karşın, kuruluşlar genellikle IoT cihazları ve USB bellek gibi basit ürünlerin satın alması için satın alma departmanlarını görevlendirmektedir. Onlar da kaçınılmaz olarak şifreleme gibi ekstra özelliklere biraz daha fazla para ödemek yerine piyasadaki en ucuz cihazları satın almaktadırlar. Kendinize sorun: son kullandığınız USB bellek şifreli ve parola korumalı mıydı? Cevabınız ‘hayır’ ise, hemen bir acil siber risk denetimi yapmanız gerekir.

Riskleri hesaba katmama sadece kültürel değil aynı zamanda kuruluşların çalışma şeklinin de sonucudur. Selfie çekenlerden satın alma yöneticilerine kadar hiçbirimiz her zaman riskleri değerlendirmiyoruz.

Siber Risklerden kim sorumludur?

Sanal arayüzde veri koruması ve Siber Güvenlik

Bankacılar, performanslarının sadece gelir ve kar üzerinden ölçülmesi nedeniyle kredi risklerini değerlendirmediler. Neredeyse tüm kuruluşlarda bulunan tüm departmanlar, ölçüldükleri ve ödüllendirildikleri performans ölçüsü olarak gelir ve kara bakarlar. Bunlar yatırım geri dönüşü (ROI) ölçüleridir. Bireylerin teşvik edilmesi ve kuruluşların yönetilmesi şekli bu olduğu sürece, risk değerlendirmesi çok düşük düzeyde olacaktır ya da hiç yapılmayacaktır.

Yatırım geri dönüşü (ROI) yerine Risk geri dönüşüne (ROR) odaklanan tek üst düzey yönetici CISO*’dur. Kuruluşun risk iştahına ve bütçesine göre CISO siber riskleri azaltmak ve siber saldırılara karşı koymak için elinden geleni yapar. Maalesef yönetim ekibinin geri kalanıyla çelişen bir bakış açısına sahip olmak CISO’nun genellikle hem izole edilmesi (buna CISOlasyon adını veriyorum) hem de bazen günah keçisi ilan edilmesine neden olmaktadır. Bu durum, verilerin kötüye kullanılması CMO**’nun eylemlerinin sonucunda gerçekleştiğinde ya da bir güvenlik ihlali, CIO***’nun eylemlerinden kaynaklandığında ve CISO’ların uyarıları ciddiye alınmadığında bile değişmemektedir.

Bu durum üst düzey yönetim ekibinin tamamının üç renkten yalnızca ikisinin çalıştığı (gelir ve kar) çalıştığı bir TV izliyor olmasına benzetilebilir. İşletmede neler olduğunu kabaca görebiliyorlar ancak tüm resmi göremiyorlar. Aniden büyük riskler ortaya çıktığında, bu riskler CISO tarafından görülebiliyor ancak diğerleri tarafından görülemiyor. Uyarıların ciddiye alınmaması büyük felaketlere yol açabilir.

Her zaman üç ana nokta dikkate alınmalıdır

Son yaşadıklarımızın, hepimizin riski çok daha fazla ciddiye almasını sağlayacağı umuluyor. Üst düzey yöneticilerin, ekiplerini teşvik etme ve yönetme şeklini değiştirmesi ve bakış açılarının üç ana noktanın tümünü kapsadığından emin olmaları gerekiyor: gelir, kar VE risk. Satın alma yöneticileri, riskleri değerlendirmeli ve göreceli olarak düşük maliyetli cihazlardan (şifreli bellekler çok daha fazla maliyetli değildir) büyük karmaşık sistemlere kadar her alanda verdikleri satın alma kararlarının, siber güvenlik dikkate alınarak verilmesi gerektiğini anlamalıdır.

Güvenli, şifrelenmiş cihazlardan karmaşık çoklu bulut sistemlere kadar her konuda küçük bir siber risk priminin ödendiği, risk konusunda farkındalığın olduğu bir kültür, mantıklı bir yatırım olur ve CISO’lar, ciddiye alınarak uyarılarda bulunabileceklerini bilirler.

Finansal planlarını görüşmek için bir araya gelen çalışanlar

Fark yaratmak için kültürel değişim gerekir

Bir toplum olarak hiçbir zaman şimdi olduğu kadar ayrı ve teknolojiye bağımlı, dolayısıyla tehlikelere açık hale gelmemiştik. Özellikle de tehditlerin sürekli olarak değiştiği ve büyüdüğü bir ortamda.

Yönetim ekibinin ve onlara bağlı herkesin davranış şeklini değiştirmek için liderlik gereklidir ve daha fazla risk değerlendirmesine yönelik bu tür bir kültürel değişim, en tepeden başlamalıdır. Dijital etik kültürü (veri gizliliği ve güvenliği dahil), en tepeden en alta kadar tüm seviyelere işlemelidir. Bu dijital etik kültürüne sahip ve risk konusunda farkındalığı olan kuruluşlar, hem daha az veri ihlali yaşama olasılığına sahiptir hem de böyle bir ihlal yaşandığında daha iyi tepki verebilmektedirler.

Bunu doğru yapmakla ilgili teşvikler her alanda mevcuttur

Tamamı onaylanmış bir kontrol listesinin yakın çekimi

GDPR cezaları, veri işleme hakkını kaybetmeye neden olacak yasal cezalar ve davalar ve yanlış yapmaya bağlı itibar kayıpları yeterli olmadıysa, bunun doğru yapılması için gerçek bir ödül var. Tüketiciler ve yatırımcılar, siber saldırılar ve gizlilik ihlallerinin yaşandığı şirketleri terk ettikleri gibi aynı zamanda dijital etikle bağlantılı güvenilir markalar için biraz daha fazlasını ödemeye hazırlar.

Sadece teknoloji değil tüm sektörlerden müşteriler, giderek daha sezgili ve talepkâr hale geliyor. Devletler yerine şirketlerden neler beklendiği üzerine yapılan bir araştırma, veri güvenliği ve gizliliğe, çeşitlilik ve sürdürülebilirkten bile daha fazla önem verildiğini gösterdi. Aslında güvenlik ve gizlilik, tüketicilerin firmalardan ciddiye almalarını beklediği ana konular ve yanlış yapıldığında affedici olmayacaklar. Dolayısıyla doğru şeyi yapmak için gerçekten karşılığını verir!

#KingstonIsWithYou

Bir Uzmana Sorun

Kingston, şu anda kullandığınız ya da kullanmayı planladığınız yapılandırmanın kuruluşunuz için doğru olup olmadığıyla ilgili bağımsız fikirler verebilir.

Kendinden Şifrelemeli SSD’ler

SSD’lerin sizin kendi saklama ortamınıza ne gibi avantajlar getireceği ve hangi SSD’nin, mobil iş gücünüzün dışarıdayken güvenli biçimde çalışmalarını sağlamak için uygun olduğu ile ilgili önerilerde bulunuyoruz.

Bir SSD Uzmanına Sorun

Şifrelenmiş USB Bellekler

Şifrelenmiş USB belleklerin kullanılmasının, kuruluşunuza ne gibi avantajlar sağlayacağı ve hangi belleğin sizin iş gereksinimlerinize en uygun olduğu ile ilgili önerilerde bulunuyoruz.

Bir USB Uzmanına Sorun

Kingston’ın şifrelenmiş veri saklama çözümleri hakkında daha fazla bilgi alın

İlgili Yazılar