Güncelleme Tarihi:
Aon'un raporunda öne çıkan tespitler şöyle:
Teknoloji: Bugüne kadar fiziki ofisler ve mağazalar vasıtasıyla müşterilerine ulaşan geleneksel şirketlerin bulut bilişim vasıtasıyla hızla dijital ekonominin XaaS servis sağlayıcılarına dönüşmesi, onları yeni ve potansiyel olarak henüz bilinmeyen risklerle karşı karşıya bırakıyor. Teknolojinin daha yoğun ve geniş kapsamda kullanılması şirketlerin iş yapış biçimlerinde köklü değişikliklere neden oluyor ve siber saldırılara yönelik yeni zafiyetler yaratıyor. Şirketler, bu yeniliklerin farklı riskleri beraberinde getirebileceğinin farkında olmalı ve dijital dönüşüm süreçleri devam ederken bu riskleri yönetebilmelidir.
Tedarik zinciri: Tedarik zinciri tarafında yaygın görülen iki eğilimin, önümüzdeki yıllarda siber risklerin bariz biçimde artmasına neden olabileceği öngörülüyor. Bunlardan biri, mobil ya da nesnelerin interneti özellikli yeni nesil cihazlar vasıtasıyla bulut ortamlarına genişleyen ve siber saldırı riskine maruz operasyonel verilerin hızla artması olarak kabul ediliyor. İkincisi ise, şirketlerin her geçen gün daha fazla bel bağladığı üçüncü ve hatta dördüncü taraf tedarikçilerin ve hizmet sağlayıcılarının, siber saldırganların şirketlerin tedarik zincirine ulaşabilecekleri yeni arka kapılar sunması olarak öne çıkıyor. Ponemon Institute'un 2018 yılında yaptığı bir araştırma, ABD ve İngiltere'deki şirketlerin yüzde 59'u üçüncü taraf aracılığıyla en az bir kez veri ihlaline maruz kaldıklarını belirtirken, yalnızca yüzde 35'i üçüncü taraf risk yönetimi programlarının yeterli olduğunu düşünüyor.
Nesnelerin interneti: Günümüzde artık yaşamın her alanına dahil olan nesnelerin interneti cihazları potansiyel bir güvenlik riski teşkil ediyor. Pek çok şirketin, işlerini yürütürken kullandığı ağ bağlantılı nesnelerin interneti cihazlarının (konferans sistemleri, güvenlik kameraları, yazıcılar, bina otomasyon sistemleri, vb.) sayısı şirketlerin yönetimindeki bilişim teknolojileri varlıklarının sayısını aşabiliyor. Öyle ki, 2018 Ponemon Institute anketine göre, şirketlerin yüzde 52'si 1000 adet cihazın yer aldığı bir nesnelerin interneti envanterini yönettiğini söylerken, çalışmanın sonucunda ortalama 15 binin üzerinde nesnelerin interneti cihazının kullanıldığı ortaya çıktı. Yani, şirketler nesnelerin interneti cihazlarının tamamını güvenli bir şekilde yönetemiyor, hatta bu cihazların envanter kaydını dahi tutmuyor. Bu da şirketlerin veri ihlaline uğramasına neden oluyor.
İş faaliyetleri: Endüstriyel kontrol sistemleri ve kritik kamu hizmetleri altyapıları geleneksel anlamda bağımsız ağlar olarak işletilmekle birlikte her geçen gün bu sistem ve altyapıların büyük bir kısmı internete bağlanmakta ve geleneksel Bilişim Teknolojileri ortamlarına entegre olmaktadır. Bu durum operasyonel verimliliği artırırken potansiyel siber saldırı alanını da genişletmekte ve saldırganlar için şirketin BT ağının tamamına ulaşabilmeyi kolaylaştırarak iş durması riskini artırmaktadır. Öte yandan, yetersiz olan yedekleme süreçleri de siber saldırıların, kurumların iş faaliyetleri üzerindeki etkisinin daha şiddetli olmasına yol açıyor. Kurumların, WannaCry saldırısının 230 bin bilgisayarı etkisiz hale getirdiği ve tüm dünyada büyük bir kaosa sebep olduğunu unutmadan, siber saldırıların potansiyel etkilerinin farkında olmaları ve iş sürekliliğini sağlayacak gerekli tedbirleri almaları önem arz ediyor.
Çalışanlar: Gerek kötü niyetli olsun, gerekse ihmal sebepli olsun, çalışanlar, veri ihlali vakalarının en yaygın nedenlerinden biri olmaya devam ediyor. Aon'un anketine göre, katılımcıların yüzde 53'ü 2018 yılında şirketlerinin içeriden kaynaklı bir siber saldırı yaşadığını söyledi. Çalışanlar, çalıştıkları kurumun siber güvenliği için büyük bir tehdit oluşturduklarının çoğu kez farkında olmayabiliyor. Kurumların, kurum içi siber güvenlik risklerini azaltmak için kapsamlı bir yaklaşım geliştirmeleri gerekiyor. Bu doğrultuda, güçlü veri yönetimi, kurum genelinde siber güvenlik politikalarının iletişimin yapılması, etkin erişim ve veri koruma kontrollerinin uygulanması gerekiyor.
Şirket birleşmeleri ve satın almalar: IMAA Institute'un verilerine göre, 2018'de şirket birleşmeleri ve satın almaların tüm dünyada toplam değerinin 4 trilyon dolara ulaştığı düşünülüyor. Birleşme ve satın almalar artarken siber güvenlik riskleri de hızla artıyor. Siber saldırganlar, sıklıkla daha büyük firmalar tarafından satın alınma sürecinde olan firmaları hedefliyor. Yeni bir birleşme veya satın alma sürecinde, anlaşma tamamlanmadan önce meydana gelebilecek bir siber saldırı, satın alma fiyatını ciddi oranda düşürebiliyor.
Satın alan şirketin kendi kurumsal siber güvenlik yaklaşımları ne kadar güçlü ve sorunsuz olsa da, özellikle satın alınacak ya da birleşilecek hedef şirketin aynı şekilde siber güvenlik önceliklerini yerine getirdiğinden emin olması gerekiyor.
Yasal düzenleme: Özellikle 2018'de tüm dünyada siber güvenlikle ilgili çeşitli yasal düzenlemeler yürürlüğe girdi. Buna bağlı olarak şirketlerin yasal düzenlemelere uyum riskinin 2019'da daha dikkatli bir şekilde değerlendirmesi ve gerekli tedbirleri alması gerekiyor. 2018 mayıs ayında yürürlüğe giren ve Avrupa Birliği üyesi ülkelerde uygulanmaya başlanan GDPR (Avrupa Birliği Genel Veri Koruma Yönetmeliği), ihlali durumunda, siber güvenlikle ilgili olarak 20 milyon Euro'ya ya da bir kuruluşun yıllık global cirosunun yüzde 4'üne varan ciddi yaptırımları da beraberinde getiriyor. Öyle ki, 2018'deki çok büyük veri ihlallerinin sorumlusu olan şirketlerin GDPR kapsamındaki ihlallerinin netleşmesi durumunda şirket başına 500 milyon dolar ile 1 milyar doların üzerinde bir para cezası alabileceği tahmin ediliyor.
Yönetim Kurulu: Siber güvenlik yönetimi, yönetim kurulları için önemli bir gündem maddesi olmaya devam ediyor. Ancak yakın geçmişe bakıldığında, yönetim kurulu üyeleri, siber yönetimle ilgili artan kişisel sorumluluk riskiyle de karşı karşıya kalıyor. Hissedarların, yüksek profilli veri ihlallerinden bazılarında yöneticilere karşı tazminat talebinde bulunduğu gözleniyor. Yönetim kurulu üyelerinin, siber güvenlikle ilgili daha kararlı bir tutum sergileyerek, hem siber güvenlik yönetimiyle ilgili alınan aksiyonlar, hem de proaktif tedbirler konusunda tüm şirkete bu anlamda da önderlik etmesi büyük önem arz ediyor. Aon'un raporu, 2018 yılında BDO Center for Corporate Governance and Financial Reporting tarafından yapılan bir araştırmaya katılan yönetim kurulu üyelerinin dörtte üçünün bir yıl öncesine göre siber güvenliğe daha fazla dahil olduğunu ortaya koyuyor.