Yönetim Kuruluna Siber Güvenliği Anlatmak
Bir CISO (Bilgi Güvenliği Yöneticisi) veya siber güvenlik uzmanı yönetim kurulu toplantısına girdiğinde genellikle iki senaryodan biri yaşanır: Ya teknik terimlerle dolu bir sunum (DDoS, SQL Injection, Zero-Day) sonrası yönetim kurulunun gözleri dalar, ya da "korku senaryoları" ile bütçe istenir ancak bu bütçenin nereye gittiği tam anlaşılamaz.
Siber güvenliğin artık sadece bir IT problemi değil, doğrudan bir iş sürekliliği ve itibar meselesi olduğu bir çağdayız. Ancak bu gerçeği yönetim kuruluna (Board of Directors) aktarabilmek için teknik jargonu bir kenara bırakıp, onların anladığı tek dili konuşmamız gerekiyor: Risk ve Yatırım Getirisi (ROI).
1. Dili Değiştirmek
Yıllarca güvenlik sektörü bütçe alabilmek için FUD (Fear, Uncertainty, Doubt - Korku, Belirsizlik, Şüphe) taktiğini kullandı. Ancak modern yönetim kurulları korkuyla değil, verilerle yönetilir.
Yönetim kuruluna "Firewall'umuz geçen ay 1 milyon saldırıyı engelledi" demek bir anlam ifade etmez. Bunun yerine şu dili kullanmalısınız:
"Bu güvenlik yatırımı, üretim hattımızın durma riskini %40 oranında azaltarak, potansiyel olarak günlük 500.000 TL'lik bir zararı önlemektedir."
Burada anahtar kelime Risk İştahıdır. Kurum ne kadar riski tolere edebilir? Siber güvenlik stratejisi, sıfır risk (ki bu imkansızdır) üzerine değil, riskin kabul edilebilir seviyeye indirilmesi üzerine kurulmalıdır.
2. Siber Güvenlikte ROI Nasıl Hesaplanır?
Geleneksel ROI (Return on Investment), bir yatırımın ne kadar kazandırdığını hesaplar. Ancak siber güvenlikte biz genellikle para kazanmayız, para kaybetmeyi önleriz. Bu yüzden burada kullanılması gereken metrik ROSI (Return on Security Investment) kavramıdır.
Basitçe formülize edersek:
ROSI = (Engellenen Risk Maliyeti - Çözüm Maliyeti) / Çözüm Maliyeti
Yönetim kuruluna sunulacak bir ROI analizi şunları içermelidir:
Doğrudan Maliyetler: KVKK/GDPR cezaları, fidye yazılımı ödemeleri, adli bilişim masrafları.
Operasyonel Maliyetler: Sistemlerin kapalı kaldığı (downtime) süre boyunca kaybedilen ciro.
İtibar Maliyeti: Müşteri güveninin kaybı ve marka değerinin düşüşü (bunu ölçmek zordur ama en yıkıcı olanıdır).
Bir güvenlik duvarı veya EDR çözümü için 50.000 USD isterken, bunu "sistemi korumak için" değil, "Yıllık Beklenen Kayıp (ALE) tutarı olan 2 Milyon USD'yi minimize etmek için" şeklinde sunmak, onayı hızlandıracaktır.
3. Siber Güvenliği İş Hedefleriyle Hizalamak
Yönetim kurulu, siber güvenliğin şirketi yavaşlatan bir "fren mekanizması" olduğunu düşünmemelidir. Aksine, güvenlik, şirketin daha hızlı gitmesini sağlayan fren sistemidir. İyi frenleri olan bir araba, virajlara daha güvenli ve hızlı girebilir.
Sunumunuzda şu mesajları vermelisiniz:
Dijital Dönüşüm: Güvenli bir altyapı olmadan buluta geçiş veya uzaktan çalışma mümkün değildir.
Rekabet Avantajı: Müşteri verilerini en iyi koruyan firma olmak, rakiplere karşı bir pazarlama kozudur (Özellikle finans ve sağlık sektöründe).
Uyumluluk: Yasal düzenlemelere (KVKK, ISO 27001) uyum, sadece ceza yememek için değil, kurumsal olgunluk seviyesi için gereklidir.
4. Teknik Detay Değil, Stratejik Ortaklık
Yönetim kurulu üyeleri kod bilmek zorunda değildir, ama işletmenin karşı karşıya olduğu riskleri bilmek zorundadırlar. Bir siber güvenlik liderinin görevi, karmaşık tehdit haritalarını basit, finansal ve stratejik iş kararlarına dönüştürmektir.
Bir dahaki sefere yönetim kurulunun karşısına çıktığınızda, onlara hangi virüslerin sizi tehdit ettiğini anlatmayın. Onlara, şirketin varlığını sürdürmesi için yaptığınız yatırımın, olası bir felaket senaryosundan ne kadar daha ucuz olduğunu gösterin.
Unutmayın: Siber güvenlik bir maliyet merkezi değil, işi mümkün kılan stratejik bir yatırımdır.
yazar: Asrın Haktan Şahin