YÜZDE 100 GÜVENLİK İMKANSIZ, ÖNEMLİ OLAN STRATEJİ
KPMG tarafından kurulan ve dünyada 30’dan fazla ülkede faaliyet gösteren KPMG Denetim Komitesi Enstitüsü, ‘denetim komiteleri için siber güvenlik’ konusunu masaya yatırdı. Toplantıda, denetim komiteleri için öne çıkan siber güvenlik riskleri ve siber suçlar tartışıldı.
Toplantıya, iş ve finans dünyasının profesyonelleri, şirketlerin denetim komiteleri üyeleri katıldı. KPMG Türkiye Danışmanlık Bölümü Şirket Ortağı Hakan Aytekin, ‘Denetim Komitesinde Siber Güvenlik’ konulu sunumunda şirketlerdeki en yaygın siber güvenlik yanılgılarını sıralayarak, listenin başında “Yüzde 100 güvenliği sağlamak zorunluluğunun” bulunduğunu söyledi. Aytekin, bunun doğru bir hedef olmadığını ve bunu başarmanın da mümkün olmadığını belirtti. En iyi teknik araçlara yatırım yapmanın da güvenliği sağlamayacağını belirten Aytekin, etkili bir siber güvenliğin teknolojiye sandığımızdan daha az bağımlı olduğunu vurguladı. Hakan Aytekin şirketlerin, hackerlar’dan daha güçlü silahlara sahip olmak yerine güvenlik politikalarını saldırganların hedeflerine değil kendi hedeflerine göre belirlemeleri gerektiğini kaydetti.
“Siber güvenlik bir departmanın işi değil kurumsal bir anlayıştır” diyen Aytekin, denetim komitelerinin bu konudaki rolünü şöyle özetledi:
• Siber riskleri tanımla
• Önlemleri al
• Tespit et, karşılık ver
• Verileri kurtar / koru
Toplantıya katılan KPMG İngiltere Siber Güvenlik Danışmanlığı Direktörü David Ferbrache de şirketlerin siber güvenliğe bakışını ve yaklaşımın nasıl olması gerektiğini anlattı. Şirketlerin yatırımlarının önemli bir bölümünü temel savunma unsurlarına ayırdıklarını belirten Ferbrache, “Oysa teknik bir savunmadan çok potansiyel senaryolara hazır olmak çok daha önemli. Farklı güvenlik önlemlerinin bir arada çalışabilmesini, bütüncül olarak bir tehdite karşı koymasını sağlamak gerek” dedi.
Ferbrache şu önerilerde bulundu:
“İyi bir siber savunma operasyonu gerçekleştirmek istiyorsanız tehdidi anlamalısınız. Güvenlik sistemlerinin tümünü bir bütün olarak anlayıp çalıştırmak, esnek ve çevik davranmak, iyi bir hazırlık sürecinden geçmek bu işin en önemli kuralları. Siber tehditle başa çıkabilmek için bunu destekleyen sistemlere ihtiyaç var. Pek çok denetim komitesi ve yönetim kurulunun artık bu yönde talepleri oluyor.”
PANELDE ŞİRKETLERİN GÜVENLİK UYGULAMALARI ELE ALINDI
Toplantının devamında “Denetim Komiteleri için Siber Güvenlik” konulu bir panel düzenlendi. KPMG Türkiye Danışmanlık Bölümü Şirket Ortağı Hakan Aytekin’in moderatörlüğünde gerçekleşen panele, KPMG İngiltere Siber Güvenlik Danışmanlığı Direktörü David Ferbrache’nin yanı sıra Eczacıbaşı Topluluğu Bilgi ve İletişim Teknolojileri Grup Başkanı Levent Kızıltan ile BTK’da Teknoloji Daire Başkanı Gökhan Evren katıldı. Panel açılışında Panel Moderatörü Aytekin katılımcılara kendi topluluklarına yönelik gerçekleşmesi muhtemel siber saldırılarda neyin hedef alınabileceğini sordu. Kızıltan, bu soruya “Siber saldırılar iki şekilde olabilir. Birincisi bu alanda kendini ispatlamak isteyen birinin nispeten gerçekleştirebileceği saldırılar olabilir. Bu karşılığında bir şeyin beklenmediği nispeten teknik hasarla çapı sınırlı saldırıdır. Diğeri ise tehdit etmek amacıyla operasyonlarınıza zarar vermek amacıyla ve karşılığında fidyenin istendiği saldırılar olabilir. Kriptolocker örneğini verebiliriz. Asimetrik dünya teknolojinin olumlu ya da olumsuz kullanılmasıyla da şekilleniyor. Teknolojiyi lehimize kullanmak için siber güvenlikte olduğu gibi risk yönetimini yapabilmeliyiz” dedi. Regülatör tarafındaki durumdan bahseden Evren de “BTK olarak sektörü düzenliyor ve denetliyoruz. Kurum olarak ulusal çapta Siber Güvenlikle de ilgileniyoruz. Ulaştırma Bakanlığı’nın kordinasyonuyla online siber saldırılara müdahale dairesi başkanlığı da bünyemizde bulunuyor. Bu tür bir saldırı olduğunda ‘identify respond ve recover’ aşamalarını gerçekleştiriyoruz” şeklinde konuştu. Ferbrache de panelde kendisine yöneltilen “Şirketler dirençlerini artırabilmek için neler yapıyor?” şeklindeki soruya şöyle cevap verdi: “İnsanlar farklı düşünürler yani sadece işte şuraya bir firewall koyduk şuraya da uçtan uca güvenlik çözümünü koyduk değil. Birbiriyle bütüncül şekilde belirli bir tehdite karşı gelecek şekilde sahtecilik olabilir, e-posta sahteciliği olabilir ya da sahtecilik yazılımı olabilir kötücül yazılım olabilir. Bunlara nasıl karşı koyabilir. Bütüncül şekilde bakmak önemli. Hakan Bey çok doğru. Eğitim ve farkındalık kısmı da son derece önemli. Önemli ölçüde mesela simülasyonu gerçekleştirilen sahtecilik operasyonları görüyoruz. Ama bu tek başına işe yaramaz. Hedeflenmiş farkındalık ve eğitimle bir arada yürütülmeli.”
Toplantının son bölümünde KPMG Türkiye Denetim Şirket Ortağı ve Denetim Komitesi Enstitüsü Başkanı Şirin Soysal, KPMG’nin her yıl düzenlediği Küresel Denetim Komitesi Araştırması’nın Türkiye sonuçlarını sundu. Dünyanın farklı bölgelerindeki pek çok denetim komitesinin; şirketlerin karşılaştığı veya karşılaşabileceği en önemli zorlukları ‘ekonomik-politik belirsizlik, dalgalanma, düzenleyici ortam ve uyum konuları, operasyonel riskler ve kontroller’ olarak tanımladığını belirtti. “Araştırmaya göre denetim komiteleri, risk yönetim süreçlerinin, operasyonel risklere yönelik iç kontrollerin, iç denetimin değerlendirilmesi konularının gözetimine ve siber güvenlik risklerine daha çok zaman ayırmak istiyorlar” diyen Soysal, sunumunda denetim komitelerinin risk ve bilgi kalitesi, komitelerin gündemi ve iş yükü, denetçilerin gözetimi, denetim komitesinin etkinliği konularındaki görüşlerini paylaştı.
Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.