Siber güvenlik ve gizlilikten kim sorumludur?

HEPİMİZ, toplu ve bireysel olarak sorumluyuz

Birçok kuruluşta siber güvenliğin sadece CISO’nun konusu ya da gizliliğin yalnızca uyum departmanın sorumluluğunda olduğu ile ilgili yaygın bir tutum bulunuyor. Hem siber güvenlik hem de gizlilik için daha toplu bir sorumluluk olmadığı sürece verilerimiz güvende olmayacak ve bir şeyler ters gittiğinde hem toplu hem de bireysel olarak yükümlü olacağız.

Bu tür kuruluşlarda üst düzey yönetimler hala siber güvenliği ve veri gizliliğini yeterince ciddiye almıyor. Hepsi genellikle bunların CISO ya da DPO’ya (Veri Koruma Sorumlusu - Data Protection Officer) atanacak ve unutulacak görevler olduğuna inanıyorlar. Üst düzey yönetimler işleri bu şekilde görmeye devam ederse, bu tür bir tutum, kuruluşun alt kademelerine inmemesi ve her seviyeden personelin de bu konuları ciddiye almaması şaşırtıcı olmayacaktır.

Kuruluşların üzerinde düşünmesi gereken 3 konu:

1. Satın alma yöneticiniz şifresiz cihazları tercih ederse

Şifrelenmemiş USB bellekler, SSD’ler ya da IOT (Nesnelerin İnterneti) cihazları satın alma kararı, güvenli olup olmadığı ya da donanım şifrelemesi özelliğine sahip olup olmadığı dikkate alınmadan sadece fiyata göre verilirse, bu şifrelenmemiş cihazlar siber güvenlik açığı oluşturmaktadır. Bu durum tüm kuruluş açısından veri ihlali riskine neden olmaktadır.

2. Personel parolaları tekrar kullanırsa ya da güvenlik önlemlerini atlatmak için kısa yolları tercih ederse

Personel temel siber güvenlik kurallarına uymazsa ve parolalar ve e-posta ekleri konusunda dikkatsiz davranırsa tüm kuruluşun güvenliğini riske atar. Siber suçlular, aktif biçimde zayıf ya da bilinen parolaları hedef alırlar ve kurbanlarının güvenliğini bozmak için kimlik avcılığı taktikleri kullanırlar. Bunlar siber olaylar için en sık karşılaşılan saldırı yöntemleridir.

3. Bir CMO, özel verilerin kullanımıyla ilgili yanlış yaparsa

GDPR, kişisel verilerin sadece belirtilen amaç için verilen izinle alınabileceğini belirtmektedir. Verileri yasadışı toplarsanız ya da paylaşırsanız, herkesi büyük cezalarla ve davalarla karşı karşıya kalma riskine atarsanız.

Hepimizin siber güvenliği ve veri gizliliğini ciddiye almamız gerekiyor

Kuruluşunuzun şifrelenmemiş USB bellekler, SSD’ler ya da güvenli olmayan IoT (Nesnelerin İnterneti) cihazları kullandığını fark ederseniz bunu haber vermeniz gerekir. İş arkadaşlarınızın siber hijyen kurallarını ihlal ettiğini görürseniz bunu haber vermeniz gerekir. Pazarlama bölümünden bir çalışanın müşteri verilerini uygun olmayan şekilde kullandığını fark ederseniz bunu haber vermeniz gerekir.

Kültür değişimi önemlidir

Tutumları değiştirmemiz ve kuruluşun her aşamasından çalışanların siber güvenliği ve veri gizliliğini ciddiye almasını sağlamamız gerekiyorsa, kültürel düşünce yapımızı değiştirmemiz gerekir.

Kuruluşların bunu yapabileceği bir çok teşvik edici faktör bulunmaktadır. Müşterilerin verilerine özen göstereceğini düşündüğü kuruluşlarla iş yapmaktan memnun olduklarını, bunu yapmayacağını düşündüğü işletmelerle iş yapmaktan çekindiğini gösteren bariz kanıtlar bulunmaktadır. Müşterinin güvenini korumak ve bu güveni azaltacak herhangi bir siber güvenlik olayını önlemek, hepimizin en çok dikkat etmesi gereken konuların başında gelmektedir.

Ayrıca, kuruluşların veri korumasını ciddiye almasını sağlamak için birçok caydırıcı durum bulunmaktadır. Öncelikle GDPR, HER olay için maksimum 20 milyon € ya da yıllık global cironun %4'ü (hangisi büyükse) ceza verilmesini gerektirmektedir. Bir olayın düzeltilmesinin maliyeti milyonlarca avroya ulaşabilir ve bir fidye saldırısı durumunda siber suçlular bu maliyetin üstüne milyonlarca avro fidye isteyebilir. Verilerinin gizliliği ifşa olan kişilerin açacağı davalarla da karşı karşıya kalabilirsiniz.

Bir kuruluş için bu kadar ceza yetmediyse bireylere de cezalar verilmesi de söz konusudur. ABD’de yakın zamanda yaşanan bir davada, kurul üyeleri ve CISO’nun bireysel olarak sanık olarak kabul edilmesiyle siber olay vakaları açısından yeni bir emsal ortaya çıktı. Analiz firması Gartner’in hazırladığı bir raporda, yakın zamanda siber saldırılardan CEO’ların kişisel olarak yükümlü olabileceği belirtilmektedir.

Vatandaşlar ve müşteriler olarak kuruluşların verilerimizi korumasını isteriz. Başkalarının verilerinin korunmasından sorumlu olduğumuzda, standartların aynı düzeyde yüksek olması gerekmektedir. Hep toplu hem de bireysel olarak yükümlü olabileceğimizi unutmamalıyız. Aynı zamanda yapılması gerektiği için veri korumasına odaklanmak konusunda da benzer şekilde motive olmalıyız.

#KingstonIsWithYou