Bir CISO yönetim kurulunuzdaki siber güvenlik boşluklarını dolduramaz

Manuel Hepfer

Büyük bir Avrupalı şirketin başkanı, kurumsal güvenlik direncinin nasıl oluşturulabileceği hakkında yönetim kurulu üyeleri ve CEO'lar için düzenlenen bir etkinlikte benimle görüşmek istedi. Birçok kurul için ciddi bir endişe kaynağı olan siber güvenlik riski hakkında konuşmaya başladık. "Yedi yönetim kurulunda görev yapıyorum ve hepimizden siber riski yönetmemiz bekleniyor, ancak hiçbirimizin bu konuda bir sezgisi yok" dedi. "Ne yapmalıyız?" diye sordu. Güvenlikle ilgili bilgileri değerlendirme yeteneği konusunda endişeliydi.

Günümüzün yönetim kurulları, sürekli gelişen bir tehdit ortamıyla ve artan siber güvenlik yönetişimi beklentileriyle karşı karşıya. Temmuz 2023'te ABD Menkul Kıymetler ve Borsa Komisyonu, ABD borsalarına kayıtlı şirketlerin yönetim kurullarının siber güvenlik tehditlerinden kaynaklanan riskleri denetlemesini ve yönetim kurulunun ya da ilgili bir alt komitenin bu tür riskler hakkında bilgilendirildiği süreçleri ana hatlarıyla açıklamasını gerektiren yeni kuralları kabul etti. Avrupa ve Asya-Pasifik bölgesinde de benzer düzenleyici girişimler sürüyor.

Ancak birçok yönetim kurulu üyesi bu beklentileri ve düzenleyici talepleri karşılamayı çok zorlanıyor. Wall Street Journal'ın araştırmasına göre, şirket yöneticilerinin yüzde 98'i yukarıda bahsettiğim başkan gibi siber güvenlik uzmanlığına sahip değil. Yönetim kurulu üyelerinin iyi haber perdesinin ardındakilere bakmak ve şirket işlerinin gerçek durumunu araştırmak için kendi deneyimlerini kullanmakla görevlendirildiği göz önüne alındığında bu gayet çarpıcı. Güvenlik uzmanlığı olmadan, kurul önüne gelen özenle seçilmiş materyaldeki göz boyama unsurlarının ötesini görmekte zorlanıyor.

Bu soruna sezgisel (ve en hızlı) çözüm, mevcut veya eski bir baş bilişim güvenliği yöneticisini (CISO) yönetim kurulu üyeliğine getirmek. Nitekim Heidrick & Struggles'ın anketine göre, kurumsal yönetim kurullarında yer alan CISO'ların oranı sadece bir yıl içinde iki kattan fazla artarak 2022'de yüzde 14 iken 2023'te yüzde 30'a fırladı. Görünüşte bu bir kazan-kazan durumu gibi görünüyor: Yönetim kurulları hayati bir alanda becerilerini artırıyor ve bir çok CISO, kurumsal yönetim kurullarına katılmayı mantıklı, verimli bir kariyer adımı olarak görüyor. Yönetim kurulunda yer alan bir CISO, siber güvenliğin en üst düzeydeki iş tartışmalarına daha iyi entegre olmasını sağlayabilir. Daha fazla CISO'nun yönetim kurulu koltuğuna sahip olması iyi bir haber, değil mi?

YÖNETİM KURULLARINDAKİ CISO'LAR

CISO'ları yalnızca siber güvenlik uzmanlıkları nedeniyle yönetim kuruluna almak iki temel nedenden dolayı yanlış bir adım. İlk olarak, yönetim kurullarının kolektif bir şekilde hareket etmesi gerekiyor. Bireysel sorumluluklara dayanan yönetim ekiplerinin aksine kurullar, ideal durumda, strateji, risk ve yönetişim gibi konularda fikir birliğine varmak için tek bir birim halinde hareket eder.

Yönetim kurulları kararları toplu olarak alır ve her üye ortak sorumluluğu paylaşır. Hiçbir kurul üyesi bağımsız hareket etmemeli ve her üye kurulun çalışmalarına genel anlamda katkıda bulunabilecek becerilere sahip olmalı. Siber güvenlik riski gündeme geldiğinde herkesin başvurabileceği bir siber güvenlik uzmanına sahip olmak için bir CISO'yu işe almak, kurulun kolektif olarak işlemesi yönündeki temel fikirle çelişiyor.

İkinci olarak, bir CISO'nun temel uzmanlık alanını düşünün—bu, genellikle teknoloji veya güvenlik olacaktır. Oysa yönetim kuruluna anlamlı bir katkıda bulunmak için yöneticilerin stratejik planlama, finansal uzmanlık, jeopolitik faktörler, çevre sorunları ve vekalet görevleri gibi birçok alanda bilgili olması gerekiyor. Günlerce sürebilen yönetim kurulu toplantılarında siber güvenlik riski yalnızca birkaç dakikalığına gündeme gelebilir. Dolayısıyla CISO'ların yönetim kurulu üyelerini başarılı kılan diğer tüm alanlar- da da okuryazarlığa sahip olması gerekiyor.

YK'NIN SİBER GÜVENLİK UZMANLIĞINI ARTIRMANIN DÖRT YOLU

Kurullar, bir CISO'yu göreve getirerek siber güvenlik risklerinin anlaşılmasını sadece bir yönetim kurulu üyesine havale yerine kendi kolektif bilgi ve uzmanlığını geliştirmeli. Bu, her yönetim kurulu üyesinin bilgisini bir anda artırması gerektiği anlamına gelmiyor. Bazı yönetim kurulu üyeleri siber güvenlikle ilgilenmeye daha yatkın olabilir ve bu kişiler yol göstermeye ve konuşmaları yönlendirmeye yardımcı olabilir. Ancak bunların siber güvenlik yönetim kurulunun gündemine geldiğinde herkesin anlayış ve karar verme yetkisini devrettiği kurtarıcı uzmanlar haline gelmemesi önemli.

Pek çok yönetim kurulu siber güvenlik riskine dair bir şeyler yapmaya başladı ancak çok azı tüm kurulun uzmanlığını eğitim yoluyla artırmaya yönelik kapsamlı bir yaklaşım benimsiyor. Siber güvenlik yeteneklerini artırmak için yönetim kurullarıyla yaptığım çalışmalara dahil ettiğim dört stratejiyi burada bulabilirsiniz.

1. Kaliteli zaman: Bireysel yönetim kurulu üyeleri siber güvenlik okuryazarlıklarını geliştirmek için kurum içi kaynakları kullanabilir. Yönetim kurulu başkanları ve üyeleri, başka kimse olmadan kurumun CISO'su ile bire bir zaman geçirmeyi talep edebilir.
Başkan daha sonra sorular sorabilir. Örneğin:
-Son bütçe talebinin hangi kalemleri onaylanmadı? -İş perspektifinden bakıldığında en büyük siber güvenlik sorunları neler? -Ciddi bir siber saldırıya yanıt verme planlarımızı en son ne zaman test ettik? -Yönetim kurulu, şirketimizin siber direncini artırmak için neler yapabilir?

Bu toplantının amacı, hangi bilgilerin yönetim kuruluna ulaşmadığını keşfetmeye çalışmak. Ayrıca üyeler, genelde yönetim kurulu toplantılarında sunulan kısa, üst düzey özet slaytları tamamlamak için siber güvenlik riski hakkında daha fazla ayrıntı talep edebilir. Birçok yönetim kurulu üyesi birden fazla şirketin yönetim kurulunda yer alıyor ancak hiçbir organizasyon bir diğerine tam olarak benzemez. Yönetim kurulu üyeleri her seferinde tek bir şirketin bünyesine bakarak mevcut duruma, yani şirketin en ciddi siber güvenlik tehditleri, riskleri ve bunların potansiyel etkileri ile en acil siber güvenlik zorluklarına daha aşina hale gelebilir. Her birinin siber güvenlik alanında geçirdiği kaliteli zaman, yönetim kurulu üyelerinin organizasyona özgü bilgilerle donanmasını, bu sayede de tartışmalara daha anlamlı bir şekilde katkıda bulunmasını sağlar.

2. Eğitim kursları: Bireysel yönetim kurulu üyeleri, Oxford'un iş dünyası liderlerine yönelik siber güvenlik programı gibi işletme okullarından siber güvenlik riskiyle ilgili yönetici eğitim kursları alabilir. Bu kurslar, siber güvenlik riskinin temellerinin yanı sıra yapay zeka ve kuantum hesaplama gibi alanlarda yasal düzenleme ve teknolojiye ilişkin yeni gelişmeleri, eğilimleri ve riskleri kapsıyor. Bu tür kurslarda yönetim kurulu üyelerine siber güvenlik riskinin idaresi ve yönetimi konusunda diğer şirket ve sektörlerdeki örnek olay incelemeleri ve en iyi uygulamalar da sunuluyor. Birçok program çevrimiçi olarak yürütülüyor ve katılımcılara materyal üzerinde çalışma konusunda daha fazla esneklik sağlayan eş zamansız öğrenmeyi esas alıyor. Yönetim kurullarının sürdürülebilirlik gibi alanlarda çevrimiçi programlar sunduğunu, hatta bazılarının katılımı zorunlu hale getirdiğini gördüm. Şirketlerin siber güvenliğe de stratejik doğası göz önüne alındığında, benzer şekilde öncelik vermesi gerekiyor.

3.Siber öğrenme forumları: Bazı şirketler yönetim kurulu üyelerinin (ve yönetim ekiplerinin) kolektif uzmanlığını artırmak için tekrarlanan siber öğrenme forumları oluşturdu. Tecrübelerime göre, bu sıra dışı ama değerli bir taktik. Üç ayda bir veya altı ayda bir düzenlenen bu forumlar, resmi yönetişim süreçlerinin dışında yer alıyor. CEO, yönetim kurulunun tamamını ve yönetim ekibini davet ettiği foruma başkanlık yapıyor ve forum gündemi üzerinde BT ve siber güvenlik ekipleriyle yakın işbirliği içinde çalışıyor. Forumun amacı kimseyi sorumlu tutmak değil; herkesin birbirinden öğrenmesi ve fikir alışverişinde bulunması için güvenli bir ortam yaratmak. Tartışmayı yöneten ve bilgi paylaşan kişiler çoğunlukla şirket bünyesindeki meslektaşlar oluyor. Yönetim kurulu üyelerinden diğer şirketlerin tercihlerine bakmak yerine içeri bakması ve ortak zorluklar ve çözümlere dair kolektif anlayışı geliştirmesi isteniyor. Öğrenme forumları, ayrıca, yönetim kurulu üyelerine resmi yönetim kurulu toplantılarında kendilerine sunulan bilgilerin ötesine bakmak ve yönetim kadroları ile yönetim kurulu arasında sıkça yaşanan soğukluk olmaksızın—çatışmacı olmayan bir ortamda—kurumsal direncin gerçek seviyelerini anlamak için başka bir fırsat sunuyor.

4. Özel yönetim kurulu oturumları: Siber güvenlik riskinin yönetilmesi genellikle denetim, risk veya teknoloji gibi bir alt komiteye devredilir. Yönetişim çalışmalarının çoğu burada yürütülür. Ancak yönetim kurulunun tamamının kolektif olarak siber güvenlik riskine ciddi zaman ayırması da büyük önem taşıyor. Üç ayda bir yapılan yönetim kurulu toplantısının ardından özel bir yönetim kurulu oturumu düzenlenmesi, bir yönetim kurulunun siber güvenlik bilgisini artırmak için yapabileceği en etkili şeylerden biri. Hatta yılda bir kez sadece siber güvenlik riskine odaklanmak için olağanüstü bir yönetim kurulu toplantısı düzenleyen yönetim kurullarına bile rastladım. Bazı yönetim kurulları bu oturumu düzenlemek ve yürütmek için harici bir danışmanla çalışmayı tercih ediyor. Bu, siber güvenliğin belirli yönleri hakkında konuşmak üzere kendi alanlarından uzmanları davet etme fırsatı da sağlıyor. Yönetim kurullarını, hikayelerini anlatmaları ve öğrendikleri dersleri paylaşmaları için saldırıya uğramış diğer şirketlerin yöneticilerini—başka sektörlerden olsalar bile— bu oturuma davet etmeye her zaman teşvik ediyorum. Ayrıca oturumu şirkete ve yönetim kurulunun siber güvenlik uzmanlığı düzeyine göre özelleştirmek için her yönetim kurulu üyesiyle önceden hazırlık görüşmeleri yapılmasını özendiriyorum. Daha fazla organizasyonun bunu bir alışkanlık haline getirmesi gerekiyor: Çalışmalarımda bunu yalnızca en olgun yönetim kurullarının yaptığını görüyorum.

Özel oturumlar, rehaveti önlemenin harika bir yolu. Yönetim kurulu üyeleri başkalarının yaptığı hatalardan dersler çıkarabiliyor ve yönetişim süreçlerinin organizasyonlarının siber saldırılara karşı direncini zayıflatabileceği alanları keşfedebiliyor. Her yönetim kurulu oturumunun ardından her üyenin bilgisini artırdığından emin olmak için takip çalışmaları yürütülmeli.

Yönetim kurulları, yönetim kurulu üyelerinin siber güvenlik uzmanlığını artırmaya yönelik kapsamlı bir yaklaşım benimseyerek saldırganlara karşı önlem alabilir ve proaktif bir şekilde siber dayanıklılığı geliştirebilir. Bu yaklaşımdaki dört unsurun tamamının sürece dahil edilmesi, yönetim kurulunun siber güvenlik riskiyle ilgili tüm tartışmalarda daha rahat hareket etmesini sağlayacaktır.

Manuel Hepfer: Siber güvenlik şirketi Istari'de bilgi ve içgörü başkanı, Oxford Üniversitesi Said İşletme Okulu'nda araştırma ortağı.