Siber dünyaya hazır bir gelecek için üst düzey (C-Suite) yöneticiler güçlerini birleştirdi

2023 Dijital Dünyada Güven Araştırmasının Önemli Sonuçları

Çalışanları cesur yeni bir dünya bekliyor.

Öngörülemeyen olaylar nedeniyle liderler son yıllarda hem kendilerini hem de şirketlerini konfor alanlarının dışına çıkmaya zorladılar: Ofis merkezli çalışmadan uzaktan çalışmaya geçildi,  veriler buluta taşındı ve hemen hemen tedarik zincirleri tümüyle dijitalleşti.  Bununla birlikte her yeni girişim, yeni bir siber riski de beraberinde getirdi.

İyi haber: CISO’lar (Chief Information Security Officer) ve siber güvenlik ekipleri karşılaştıkları  zorluklarla baş etmeyi öğrendiler; diğer C seviye yöneticiler de bu ekibe katılarak iş birliği yaptılar. Araştırmaya katılan 3.522 katılımcının %70’inden fazlası, kümülatif yatırımlar ve C seviye yöneticilerin iş birliği yapması sayesinde geçen yıl siber güvenlikte iyileştirmeler olduğunu belirtti.

Yine de, zorlu bir ekonomik ortamda dalgalanan hedefler nedeniyle hâlâ yapılacak çok iş var: 

  • Kıdemli yöneticilerin %40’ından daha azı attıkları önemli adımlar sonucunda, siber riskleri kontrol altına aldıklarını söylüyor. 
  • Kendi değerlendirmelerine göre CISO’lar, tanımlama, tespit etme, koruma, müdahale etme ve kurtarmayı kapsayan beş siber yetenekte daha fazla ilerleme ihtiyacı görüyor.   
  • Kıdemli yöneticiler, şirketlerin karşı karşıya kaldığı artan tehditleri görüyor ve bu tehditleri ele almaya tam olarak hazır olmadıklarından dolayı endişe duyuyorlar.
  • Bildirim zorunlulukları, dayanıklılık testleri,  veri güvenliği ve gizliliğini doğru şekilde ele alma baskısı 2023 yılında da siber güvenliğin zorlu alanları olarak ön plana çıkıyor. 

Siber güvenlik, şirketlerin yaratıcılığına ve dönüşümüne uyum sağlamak için hızla gelişen daha dinamik bir alan haline geldi. 

Bu çevik dönüşüm, gelecekte karşılaşılacak güçlüklere karşı en önemli silah. Şirketler ve liderler siber güvenlik alanında fark yaratmaya devam etmek  için başka ne yapabilirler? CISO’lar ve siber güvenlik ekipleri en etkili sonuca ulaşmak için hangi alanlarda nüfuzlarını kullanmalılar?

“C-Suite Yöneticiler için Siber Güvenlik Rehberi”  bu yıl gerçekleştirilen araştırmanın en önemli sonucu. Rehber, 2023’te neler olacağını ve yöneticilerin yeni siber dünyaya hazırlanmak için nasıl iş birliği yapabileceğini vurguluyor.

2023 dayanıklılık planlarının en önemli senaryosu “yıkıcı” bir siber saldırı… Böyle bir saldırı C seviye yöneticilerinin iş birliğini mutlaka sınayacak.

Yöneticilerin üçte ikisi siber suçları gelecek yılda karşılarına çıkabilecek en önemli tehlike olarak görüyor. Hazır araçları giderek daha fazla kullanan siber suçlular, çeşitli saldırılar gerçekleştirebilir ve organize edebilirler.

Geleceğin siber dünyasına hazırlık için bir araya gelen C-suite

Güvenlik ve BT yöneticilerinin %45’i fidye yazılımı saldırılarında artış bekliyor

İhlal örneği: Bir sağlık çalışanı bir kimlik avı e-postasına ekli belgeyi açarak kötü amaçlı yazılımı harekete geçirir.

Sonuçlar:  Hizmet kesintisi ve ağların neredeyse tamamen kapanması.

Yanlış neredeydi: Antivirüs yazılımı, e-mail ekine gömülü kötü amaçlı yazılımı algılayabilen güncel kuralların dışında çalışıyordu. Çok faktörlü kimlik doğrulamanın olmaması,saldırganların sisteme ilk erişimini mümkün kıldı. Sekiz hafta boyunca şirket ağında fark edilmeyen siber suçlular, ağı kapsamlı bir şekilde  incelemiş ve sonunda bir etki alanı yöneticisi hesabını ele geçirerek, temel BT altyapısının çoğunu kapatan ve  yedeklemelerin güvenliğini  ihlal eden kötü amaçlı yazılımları çalıştırmak için yüksek yetkiler edindiler. 

Daha iyi bir savunma için üst düzey yöneticiler birlikte nasıl çalışmalı?

CEO: Şirket genelinde bilgi güvenliği farkındalığı eğitimi verilmesini destekleyin. 

CIO: BT sistemleri ve sağlık hizmetleri ortamı arasındaki bağlantıları gözden geçirin.

CTO: Cihazları hedef alan bir senaryoda tıbbi cihazların güvenlik açıklarını değerlendirin.

COO: CIO ve CISO'nun hasta güvenliği üzerindeki etkilerinin boyutunu tespit etmekte yardımcı olun. 

CISO: BT ve sağlık hizmeti faaliyetleri arasındaki güvenlik açıklarını kapatın.

CDO: Müşteri verilerinin çalınması/bozulmasından kaynaklanan hasarı değerlendirmek için COO, CISO, CPO ile birlikte çalışın.

CRO: Kriz ve BC/DR ekipleriyle birlikte dayanıklılık testi yapın.

CFO: Yetkili makamlara ve kamuya yapılacak herhangi bir açıklama konusunda CISO ve CIO’yla birlikte çalışın . Siber sigorta dahil olmak üzere siber harcamaları CISO ve CIO ile birlikte keşfedilen güvenlik açıkları ışığında gözden geçirin. Fidye yazılımı ödemeleri konusunda bir politika belirleyin.

Yönetim Kurulu: Yöneticilerin fidye yazılımına hazırlanmak üzere hazırladığı kriz planlarıyla  ilgili bilgi edinin. Yönetim kurulunun bir siber olay veya fidye yazılım saldırısı hakkında ne zaman bilgilendirileceğine dair onay verin.

İletişim

Cem Aracı

Cem Aracı

Dijital Hizmetler Lideri, PwC Türkiye

Telefon: +90 212 326 6840

Yasemin Başer

Yasemin Başer

Bulut ve Dijital, Güvenlik ve Gizlilik Kıdemli Müdür, PwC Türkiye

Telefon: +90 212 326 6042

Bizi takip edin