Siber Güvenlik Neden Her Şirkette Yönetim Kurulu Önceliği Olmalı? – Serhii Mikhalap'ın Bakış Açısı

Günümüzün birbirine bağlı dünyası sayesinde siber güvenlik artık teknik bir sonradan akla gelen düşünce değil. Yönetim kurullarının olmazsa olmazı. Çevrimiçi tehditler daha karmaşık hale geldikçe ve ihlallerin maliyeti arttıkça, işletmeler dijital güvenliğin kurumsal yönetime entegre edilmesi gerektiğinin farkına varıyor. Peki siber güvenliğin yönetim kurulu düzeyinde bir öncelik olması ne anlama geliyor ve birçok şirket neden hala geride kalıyor?

Siber güvenlik uzmanı Serhii Mikhalap, cevabın zihniyette yattığına inanıyor. Ulusal siber savunma operasyonlarına liderlik etmek ve bir siber güvenlik girişiminin kurucu ortağı olmak da dahil olmak üzere dokuz yılı aşkın ön saflarda deneyime sahip olan Mikhalap, siber güvenliği stratejik bir dayanak yerine bir onay kutusu egzersizi olarak ele almanın sonuçlarına bizzat tanık oldu.

Mikhalap, kariyerine 2016 yılında Ukrayna Ulusal Güvenlik Operasyonları Merkezi'nde (SOC) analist olarak başladı. Devlet ve özel altyapılara yönelik gelişmiş kalıcı tehditlere (APT) müdahale etmekle görevlendirilen Mikhalap, tehdit aktörlerinin nasıl davrandığına dair ayrıntılı bir anlayış geliştirdi.

Mikhalap, "Sadece kötü amaçlı yazılımları tespit etmiyorduk," diye hatırlıyor. "Arkasındaki nedenleri izliyor, saldırganların uzun vadeli hedeflerini ve tedarik zincirlerine nasıl sızdıklarını haritalandırıyorduk."

2020 yılına gelindiğinde ticari sektöre geçiş yaptı ve başlangıçta olay müdahale uzmanı olarak çalıştı, ardından küresel bir siber güvenlik sağlayıcısında SOC ekiplerine liderlik etti. Çalışmaları, sıfırdan iki SOC kurmayı, otomasyonu, oyun planı sınıflandırmasını ve 7/24 izlemeyi entegre etmeyi içeriyordu. Müşteriler arasında, sıkı düzenleyici denetim altındaki fintech ve ödeme teknolojisi şirketleri de vardı.

Mikhalap, 2024 yılında kripto, bankacılık ve işlem teknolojisi alanlarındaki girişimlere ve KOBİ'lere hizmet veren bir güvenlik hizmeti girişimi kurdu. Ekibi, sızma testi, DFIR (dijital adli bilişim ve olay müdahalesi), risk değerlendirmeleri ve güvenlik denetimleri sağlıyor.

"Siber güvenlik sadece önlem almakla ilgili değil. Müdahale, kurtarma ve güvenle ilgili. Ve bu güven liderlikle başlıyor," diyor.

Mikhalap'ın etkisi fark edilmedi. 2022 yılında, siber güvenlik alanındaki olağanüstü profesyonelliği nedeniyle Ukrayna'nın ulusal "Znak Yakosti" (Kalite Nişanı) ödülüne layık görüldü. Ödül komitesi, olay müdahalesi, stratejik savunma planlaması, kullanıcı eğitimi ve dijital adli bilişim alanındaki çalışmalarını vurguladı.

2023 yılında, etik iş uygulamalarına, sorumluluğa ve kaliteye olan bağlılığını onurlandıran ulusal "Yüksek İtibar Ödülü"ne layık görüldü. Bu ödüller, teknik titizliği dürüstlükle harmanlayan bir lider olarak güvenilirliğini vurgulamaktadır.

Mikhalap'a göre, siber güvenliği yönetim kurulu gündemine almak isteğe bağlı değil, olmazsa olmazdır. "Yönetim kurulları stratejik riskleri denetler. Ve 2025'te siber risk, stratejik risktir," diyor.

Ancak birçok yönetim kurulu, teknik zaafları anlayacak, hatta güvenliği iş hedefleriyle uyumlu hale getirecek uzmanlığa sahip değil. Bu da tehlikeli bir boşluk yaratıyor.

"Üst yönetimde siber okuryazarlığın eksikliği, bütçelerin yanlış tahsis edilmesine, müdahale planlarının yeterince hazırlanmamasına ve tedarikçilere aşırı bağımlılığa yol açıyor," diye uyarıyor. "Siber güvenliğin finans veya hukuk gibi, kendine özgü ölçütleri, dili ve hesap verebilirliği olan bir alan olarak ele alınması gerekiyor."

CISO'lardan veya dış uzmanlardan düzenli olarak yönetim kurulu düzeyinde brifingler alınmasını savunuyor ve bu brifinglerin odak noktası şu:

• Uyumluluk yükümlülükleri
• Olay müdahale hazırlığı
• Dayanıklılık için yatırım öncelikleri
• Mevcut tehdit ortamı ve trendler
• İş açısından kritik varlıklar ve bunların maruziyeti

Mikhalap, siber güvenliğin iş sürekliliği ve itibar riski açısından ele alınmasıyla yönetim kurullarının siber güvenliğin değerini daha iyi anlayabileceğine inanıyor.

Mikhalap'ın çalışmalarında tekrar eden bir tema, eylemsizliğin gizli maliyetidir. "Bir ihlal sadece paraya mal olmaz. Güveni zedeler. İhmalleri açığa çıkarır. Bir halka arz veya birleşme ve devralma anlaşmasını rayından çıkarabilir."

Düzenlemeye tabi sektörlerde sonuçlar daha da ağır. Para cezaları, davalar ve düzenleyici yasaklar masada. "Ancak asıl sorun rekabet dezavantajı. Rakipleriniz dayanıklılığa yatırım yaparken siz yapmıyorsanız, hasar oluştuktan sonra telafi etmeye çalışıyorsunuz."

Mikhalap, yönetim kurulu katılımının kültürel değişimle el ele gitmesi gerektiğini vurguluyor. Güvenlik, tek başına başarılı olamaz.

"Siber güvenliğin BT'nin sorunu olduğu mitini yıkmamız gerekiyor. Bu herkesin sorumluluğu. İK'dan finans ekibine ve ürün ekiplerine kadar her birimin siber risk yönetimindeki rolünü anlaması gerekiyor."

Bunu desteklemek için şirketi, güvenlik uygulamalarını iş rolleriyle uyumlu hale getiren özel eğitim modülleri sunuyor. Ayrıca, işletmelerin baskı altında yöneticilerin karar alma süreçlerini test etmek için saldırı simülasyonları yapmalarına da yardımcı oluyorlar.

"Liderler simüle edilmiş bir ihlal senaryosunu deneyimlediklerinde, riskleri anlarlar. Bunun sadece güvenlik duvarlarıyla ilgili olmadığını fark ederler. İtibar kaybı, yasal risk ve işletmenin hayatta kalmasıyla ilgilidir."

Mikhalap, ileri görüşlü yönetim kurullarının benimsediği birkaç uygulamayı şöyle sıralıyor:

• Kurumsal risk yönetiminin (ERM) bir parçası olarak siber risk: Güvenliğin daha geniş risk gösterge panellerine entegre edilmesi.
• Yönetim Kurulu Eğitimi: Yeni üyeler için atölye çalışmaları veya oryantasyon oturumları düzenlemek.
• Bağımsız değerlendirmeler: Olgunluk incelemeleri yapmak üzere üçüncü taraf uzmanların işe alınması.
• Senaryo planlama: Yönetici ekipler ve direktörler için masa başı tatbikatları yürütmek.
• Bütçe uyumu: Güvenlik yatırımlarının şirketin dijital ayak izi ve tehditlere maruz kalma durumuyla uyumlu olmasını sağlamak.

Yönetim kurullarının siber güvenlik uzmanı olmaları gerekmediğini, ancak doğru soruları sormaları ve net, uygulanabilir cevaplar beklemeleri gerektiğini belirtiyor.

Mikhalap, 2025 ve sonrasına baktığında, şirketlerin siber stratejiyi uzun vadeli planlamaya dahil etme konusunda artan bir aciliyet öngörüyor. Fidye yazılımları, yapay zeka destekli saldırılar ve tedarik zinciri ihlallerinin ölçeği ve karmaşıklığı arttıkça, yönetim kurulu önceliklerinin de buna göre değişmesi gerektiğini savunuyor.

"Siber güvenlik artık ağ çevresini savunmakla ilgili değil. Kurum genelinde dijital riski yönetmekle ilgili. Dayanıklılıkla ilgili. Ve bu, gerçekte neyin tehlikede olduğunu anlayan bir liderlikle başlıyor."

Serhii Mikhalap'a göre mesaj basit: Siber güvenlik yönetim kurulunun görevidir. Sadece kriz dönemlerinde değil, rutin denetimin bir parçası olarak da.

"Siber güvenliği yönetim kurulu düzeyinde tartışmazsanız, kuruluşunuzu teknik ve itibar açısından savunmasız bırakırsınız," diyor. "Siber güvenlik artık bir iş kolaylaştırıcısı. Bunu doğru yapan yönetim kurulları güvenle liderlik edecek. Yapamayanlar ise geride kalacak."

(Pixabay'dan Cliff Hang'in görseli)