Siber güvenliğe nasıl yatırım yapılır?


Uzaktan çalışmaya geçişte İK süreçlerini dijitalleştirin: Kolay İK İlk adımı teknoloji şirketleri attı; Twitter, Facebook, Microsoft, Salesforce, Spotify ve daha niceleri pandemiden sonrası için de uzaktan çalışmayı opsiyonlarından biri haline getirdi. Sonraki adım diğer endüstrideki kurumsal şirketlerden geldi. Uzaktan çalışmanın yaygınlaşması, maliyet paylaşımlarının, masraf bölüşümlerinin ya da çalışan verimliliğinin birer tartışma başlığı haline dönüşmesini beraberinde getirdi. Çalışanların ve işverenlerin haklarını ve yükümlülüklerini belirlemek için Türkiye’de de yeni bir yönetmelik yayımlandı. Uzaktan çalışmaya geçen iş yerleri için yayımlanan yeni yönetmelikle belirlenen yükümlülükleri blogunda özetleyen Kolay İK, insan kaynakları süreçlerinin dijitalleşmesini ve uzaktan çalışmaya geçişi kolaylaştıracak çözümler sunuyor. İK süreçlerini uzaktan yönetmek: Kolay İK'nın aktardığına göre uzaktan çalışmaya geçiş sürecinde iş sözleşmelerinin işçi ve işveren arasında yazılı olarak yapılması gerekiyor. İşin tanımının, yapılma şeklinin, süresi ve yerinin, ücret ve ödeme süreçlerine dair hususların, işveren tarafından sağlanan iş araçlarının ve bunların korunmasına ilişkin yükümlülüklerin yer alması gereken sözleşmelerde çalışma saatlerinin ve süresinin de kesin olarak belirtilmesi gerekiyor. İletişim yöntemi ve çalışma mekânının da belirtilmesi gereken sözleşmeye göre masa, sandalye gibi iş araçlarının işveren tarafından karşılanması gerekiyor. Çalışma mekânının belirlenmesiyle ortaya çıkan internet, yemek, elektrik, ısınma gibi maliyetlerin karşılanması da uzaktan çalışan ve işveren arasında yazılı olarak belirleniyor. Şirket verilerinin korunması konusundaki tedbirlerin de uzaktan çalışana aktarılması gerektiğini öngören sözleşmede yapılan işin niteliği dikkate alınarak çalışanın iş sağlığı ve güvenliği önlemleri doğrultusunda bilgilendirilmesi öneriliyor. Peki tüm bu süreçleri kolaylaştırmanın bir yolu var mı? Kolay İK: Personel, performans, vardiya ve bordro gibi İK süreçlerini dijitalleştirerek, personel çözümleriyle uzaktan çalışmaya geçiş yapmayı düşünen şirketlerin işlerini kolaylaştırıyor. Çalışanlara ait zimmetleri, özlük dosyalarını, izin ve mesaileri, harcamaları ve eğitimleri tek bir yazılımla kolayca yönetmenizi sağlayan Kolay İK, uzaktan çalışmaya geçişi çevrimiçi, erişilebilir ve güvenli kılıyor. Çalışanlara ait özlük belgelerine ise bilgisayar, tablet ya da telefon uygulamalarıyla her yerden erişmek mümkün. İzin ve mesai yönetimini ise çevrimiçi hale getiriyor ve tüm izin ve mesaileri dinamik olarak raporlamaya olanak tanıyor. Kolay İK’nın insan kaynağı yönetim süreçlerinde akla gelebilecek her başlık için sunduğu çözümleri yakından incelemek ve Kolay İK’yı kurulum gerektirmeden, demo hesabınızı oluşturarak ücretsiz denemek için bu bağlantıyı ziyaret edebilirsiniz.
Daha fazlasını öğren →
Paretoİş dünyasından içgörü, sektör analizleri ve gelecek öngörüleri her pazartesi ve perşembe e-posta kutunuzda.
Yaşar Yüzer - MasterCard Avrupa Siber Güvenlik Danışmanlığı Direktörü
Yaşadığımız dönemde büyük ölçekli siber güvenlik ihlalleri neredeyse sıradan hale geldi. Yakından tanıdığımız ve hatta müşterisi olduğumuz şirketlerin yaşadıkları siber saldırılar bizleri de ilgilendirmeli, çünkü saldırganlar tarafından çalınan değer, çoğu zaman bu şirketlerin verisi - yani aslında bizim verimiz. Ne yazık ki son yıllarda bu siber saldırıların çektiği tüm ilgiye rağmen dünya çapındaki birçok kuruluş, ortaya çıkan siber riskleri yönetmeye çalışırken hâlen büyük zorluk çekiyor. Boyut ve sektörden bağımsız olarak siber güvenlik, ilgi ve yatırım gerektiren bir alan.
Fakat bilinenin aksine, siber güvenliğe yatırım yapmak, sadece teknolojiye yatırım yapmak anlamına gelmez. Siber güvenlik, çalışanları, müşterileri, iş süreçlerini ve üçüncü tarafları da içeren çok daha geniş kapsamlı bir alan. ABD merkezli araştırma şirketi Gartner'ın güvenlik harcamaları üzerine yaptığı ankete göre, siber güvenlik pazarı son birkaç yıldır sürekli büyüyerek 2020'de yaklaşık 123 milyar dolara ulaştı. Tahminler, pazar büyüklüğünün 2024 yılına kadar 300 milyar dolara ulaşacağını öngörüyor. Artan yatırımlara rağmen siber güvenlik saldırılarının sayısı, ihlaller ve yasal para cezaları da her yıl artıyor. Ortalama bir şirketin kullandığı 47 adet güvenlik teknolojisi bile siber güvenliği sağlamanın zorluğunun altını çiziyor.
Bu süreçte hayatımıza dâhil olan pandemi ve jeopolitik krizler, 2020 yılında bir önceki yıla göre siber saldırı sayısında dört kat artışa neden oldu. Bu dönem, genel olarak çeşitli siber saldırı yöntemlerinin kullanımını önemli ölçüde artırdı. Örneğin, sadece Mart 2020'de binlerce Covid-19 temalı sahte web sayfası oluşturuldu. Öte yandan, mevcut Covid-19 salgınının ortasında hayatımıza giren "evden ve uzaktan çalışma", çalışanların daha az güvenli ve denetimsiz ortamlarda şirket sistem ve verilerine erişimini sağladı. Maalesef bu durum siber saldırganlar için de yepyeni olasılıklar yarattı.
Veri artık yeni neslin petrolü diyebiliriz. Dijitalleşen dünyada verinin değeri her geçen gün artıyor. Kişisel veri ihlallerinin şirketlere maliyetinin veri tipine bağlı olarak, veri başına 200 ila 400 avro arasında olduğunu düşünürsek siber güvenliğin önemini kavramış oluruz. Yine yaptığımız araştırmalar gösteriyor ki dünya üzerindeki tüketicilerin %60’ı alışveriş yaptığı kurumda bir siber ihlal olduğunda oradan bir daha alışveriş yapmayacağını belirtiyor. Yani tüketiciler, verilerinin nasıl toplandığına, kullanıldığına ve korunduğuna çok dikkat ediyor. Tüketici güveni, hiçbir işletmenin kaybetmeyi göze alamayacağı, değerli bir varlık. Küçük ya da büyük ölçekli fark etmeksizin her kurum siber risklerin farkında olmalı.
Bilinçli siber güvenlik yatırımları
Dijital dünyada var olmadan iş dünyasında var olmak nasıl imkânsız hâle geldiyse dijital dünyada var olmanın şartı ise siber güvenlik. Dolayısıyla kuruluşların öncelikli olarak siber güvenliğin gerçek maliyetini ve kendilerine etkisini çok iyi anlamaları gerekiyor. Geleneksel olarak siber güvenlik maliyetlerinin çoğu, ağ bağlantıları, veri koruma ve uç nokta koruma teknolojileri gibi BT altyapı bütçelerinde gizlidir. Ayrıca, bazı teknolojilerin ikili amacı olabilir. Örnek olarak, güvenlik duvarları BT ortamları içinde etkili iletişimi sağlarken aynı zamanda iletilen verileri de güvence altına alır. Hiç beklemediğimiz işlerde de siber güvenlik maliyetleri saklı olabilir. İnsan kaynakları veya eğitim birimlerinin güvenlik farkındalığı eğitimlerini planlaması ve bu eğitimleri almak için her çalışanın harcadığı zamanı bu maliyetlere örnek olarak gösterebiliriz.
İkinci olarak, kurumlar kendi kapasite ve mevcut siber güvenlik kontrollerinin olgunlukları hakkında detaylı bilgiye ve şeffaflığa sahip olmalıdır. Elbette yukarıda belirtildiği gibi, siber güvenlik kontrolleri yalnızca teknoloji odaklı değildir; her teknolojinin onu yönetmek için insanlara ve süreçlere ihtiyacı olur. Ayrıca, her siber güvenlik riskinin çözümü için bir teknolojiye ihtiyaç yoktur. ISO27001, NIST ve CIS kontrolleri gibi endüstri tarafından tanınan standartlar, genel siber güvenlik olgunluğunun değerlendirilmesine yardımcı olabilir. Bazı kuruluşlar için bu değerlendirmeyi harici destek alarak yapmak faydalı olabilir. Dışarıdan görüş almak, bazı durumlarda daha tarafsız ve aydınlatıcıdır.
Sun Tzu’nun dediği gibi: “Düşmanı bildiğiniz kadar kendinizi de biliyorsanız zafer konusunda şüpheniz olmasın.” Bu nedenle her bir kuruluş, içinde bulunduğu tehdit ortamını ve ona zarar verebilecek unsurları derinlemesine anlamalıdır. Organizasyondaki en değerli varlıkların ne olduğunu bilmek, düşmanın neyin peşinde olduğunu da belirlemeye yardımcı olacaktır. Nasıl ki gerçek hayatta altın ve mücevherleri kasaya koymak mantıklı ise siber ortamda da öncelikli hedef en önemli varlıkları korumak olmalıdır. Kritik varlıkları tanımlarken iş birimlerini dâhil etmek, riskleri daha iyi anlamalarına ve aynı zamanda daha net bir tanıma ulaşmaya yardımcı olacaktır. Bu ortak çalışmalar çoğu durumda çok sağlıklı olmayan siber güvenlik ve iş fonksiyonları arasındaki iletişimi de destekler.
Hedeflenen siber güvenlik yapısına adım adım
İlk değerlendirmeler tamamlanınca, kuruluşun gerçekçi yeteneklerine, iş önceliklerine ve risklerin ciddiyetine dayalı olarak, istenen durumu tasarlamak için sağlam bir planlama yapmak gerekir. Genellikle bu plan birkaç yıla yayılarak yapılır. Her bir projenin ayrıntılı bir tanımını ve beklenen sonucunu, gelecekteki organizasyonu, öngörülen mimariyi ve üst yönetim dâhil tüm paydaşlara yönelik bir iletişim stratejisini içermelidir. Tanımlanan her kilometre taşı için ölçülebilir temel başarı faktörleri, hem teknik hem de iş birimlerinin anlayacağı bir dilde ifade edilmelidir.
Son olarak, hedeflenen yapıya ulaşmak için gerçekçi bir bütçe tanımlanmalıdır. Her proje ve değişim beraberinde yeni süreç, teknoloji ve bunları yönetecek iş gücü ihtiyacı getirir. Dolayısıyla, tanımlanan bütçe proje sonrası operasyon maliyetlerini de içermelidir. Bazı durumlarda, özellikle otomasyonun kullanılmasıyla operasyon bütçeleri azalabiliyorken çoğu zaman artış gösterdiği görülmektedir.
Her yatırım gibi, siber güvenlik yatırımlarının da ölçülebilir kârlı bir getirisi olmalıdır. Risk azaltma etkisi, potansiyel ihlallerin beklenen maliyetinden daha büyükse, yatırım karlı olarak kabul edilir. İhlallerin potansiyel maliyetini sadece riskli varlığın değeri ile hesaplamak yeterli olmayabilir. İtibar kaybı, mevcut ve yeni iş kaybı, gelir kaybı, yasal para cezaları, hisse dalgalanmalarının etkisi ve felaket kurtarma gereksinimleri ihlallerin genel maliyetini de etkileyebilir.
Kuruluşlar dijitalleştikçe ve operasyonları otomatikleştikçe, siber güvenlik riskleri de eş zamanlı olarak değişmeye ve artmaya devam eder. Siber güvenliğe yatırım yapmak tek seferlik bir karar değildir ve en az yılda bir kez gözden geçirilmesini gerektirir. Şimdi, başlamak için en iyi zaman!
Kaydet
Okuma listesine ekle
Paylaş
Paretoİş dünyasından içgörü, sektör analizleri ve gelecek öngörüleri her pazartesi ve perşembe e-posta kutunuzda.
İLGİLİ BAŞLIKLAR
NEREDE YAYIMLANDI?
12 Nisan Pazartesi sabahından herkese merhaba. Bu hafta gündemimizde Yemeksepeti, Facebook, LinkedIn ve Clubhouse'da yaşanan veri sızıntıları, şirketlerin siber güvenlik yatırımları ve Archegos Capital'in çöküşü var.
12 Nis 2021

YAZARLAR

Pareto
İş dünyasından içgörü, sektör analizleri ve gelecek öngörüleri her pazartesi ve perşembe e-posta kutunuzda.
İLGİLİ OKUMALAR
Polaroid, üst üste ikinci yaz kampanyasını da yapay zeka karşıtı hissiyata ayırdı. Markanın sahillerdeki billboardlara yerleştirdiği reklamları "Veri merkezleri hepsini içip bitirmeden gidip denize atla" diyor; "yapay zekanın parmaklarımızın arasındaki kumu üretip üretemeyeceğini" sorguluyordu. Peki teknoloji liderlerinin kendilerini "tastewashing" ile yeniden paketlemeye çalıştığı bir dönemde markaların yapay zekayla mesafesi nasıl inandırıcı olur?

Ticaret Bakanlığı, yerli üretimi desteklemek ve cari açığı azaltmak amacıyla pek çok ithal üründe ek gümrük vergisi oranlarını artırdı. Her ne kadar bu düzenlemeler iç pazarda Çin ürünlerinin oluşturduğu haksız rekabetten kaynaklanan dezavantajları gidermeye yönelik olsa da, tüketiciye etkisinin zam olarak yansıyacağı beklentisi hâkim. Kur baskısıyla ithalatın üretmeye göre daha avantajlı olduğu Türkiye’de alınan bu kararların enflasyonla mücadeleye, cari açığın düşürülmesine ve yerli üretime etkileri ne olacak?

Türkiye’de kurumsal dönüşüm yönetimi denince akla ilk gelen isimlerden biri olan Burhan Karaçam’ın "Değişim, İnsan, CEO" kitabı, yakın zamanda okuruyla buluştu. Yeni kitabı vesilesiyle Aposto editörleriyle biraraya gelen Karaçam, yöneticilik serüveninden çıkardığı en önemli dersleri ve geleceğin yöneticilerine tavsiyelerini paylaştı.

Yıllarca bir girişimin ciddiyetini ölçmenin en kestirme yolu ekip büyüklüğüydü. "Kaç kişisiniz?" sorusu aslında "Ne kadar gerçeksiniz?" demekti. Yapay zeka, bu denklemi sessizce bozdu. Bugün en hızlı büyüyen şirketlerin bazıları, bir toplantı odasına sığacak ekiplerle yönetiliyor. Peki küçük bir ekip nasıl büyük iş çıkarıyor ve bu modelin görünmeyen bedeli ne?

Bugüne kadar liderlikle ilgili binlerce kitap ve makale yazıldı; pek çok farklı liderlik tanımı yapıldı. Yapılan onca tanımın içinde sanırım çoğunluğun hemfikir olduğu bir açı var: Kurumsal hayatta liderlik “insanlardan en yüksek verimi alabilmekle” ilgili. Bu verimlilikte doğru sorulara odaklanmanın payı da büyük.



