Şirketlerin yüzde 78'i siber saldırı olmadan harekete geçmiyor

Firmaların siber güvenliğe yönelik farkındalık ve yatırımı, saldırı ve hukuki düzenlemelerle tetikleniyor. Bu konuda şirketlerin yüzde 78'i siber saldırı olmadan harekete geçmiyor.

Paylaş LinkedIn E-posta
Yayınlanma tarihi: 08 Temmuz 2020 Çarşamba
AA + -

Türkiye'de özel sektörde faaliyet gösteren şirketlerin siber risklere olan bakış açılarını ortaya koymak amacıyla Marsh ve Türk Sanayicileri ve İş İnsanları Derneği (TÜSİAD) iş birliğiyle hazırlanan 2020 Türkiye Siber Risk Algı Araştırması’nın sonuçları paylaşıldı.
 
GENEL EĞİLİM ‘BEKLE-GÖR’
 
Araştırma sonuçlarına göre;
 
* Firmaların siber riskleri diğer risk başlıkları gibi önemsemeleri ve yönetmeleri gerektiğine ilişkin farkındalık seviyesi hızla artıyor.
 
* Siber güvenliğe yönelik farkındalık ve yatırım, büyük ölçüde siber saldırı deneyimi ve hukuki düzenlemelerle tetikleniyor. 
 
* Türkiye'de, bu alandaki risklerin yönetimi veya bilgi teknolojilerinden sorumlu çalışanların sadece yüzde 9'u şirketlerinin karşı karşıya olduğu en büyük riski siber tehdit olarak görüyor. Geçen yıl oran yüzde 22 olarak gerçekleşmişti.
 
* Araştırma, siber riskler konusunda ülkede farkındalığın arttığına işaret etse de şirketlerin gün geçtikçe artan bu riski öncelikleri arasına yeterince almadığını ortaya koyuyor.
 
* Firmaların bu konudaki genel eğilimi "bekle-gör" davranışı üzerinden şekilleniyor. Firmaların yüzde 78'inin tehditle karşılaşmadan siber riski fark etme ve harekete geçme pratiğine sahip olmadıkları, yaşanan saldırının etki gücünün öngörüden daha yüksek olduğu gözüküyor.
 
* Yaşanan siber atakların, bugüne kadar, işlerin yavaşlaması, durması veya finansal zarara sebebiyet verebilecek bir vaka yaşatmamış olması, siber güvenlik konusunun daha az gündemde olmasının temel nedeni olarak görülüyor. 
 
YÜZDE 77'Sİ HUKUKİ DÜZENLEMELERİ TEŞVİK EDİCİ BULUYOR 
 
* Siber güvenlik yönetimine yatırım yapan firmaların yüzde 77'si hukuki düzenlemelerin teşvik edici etkisi olduğunu belirtiyor.
 
* Havacılık, finans, bilgi teknolojileri, enerji ve üretim sektörlerinde yer alan firmaların siber riskin yönetimi konusunda nispeten daha hassas davrandıkları ve bilgili oldukları ortaya çıkıyor. Devletin yasayla çerçevesini çizdiği, takip ettiği konular firmalar tarafından hem daha çok dikkate alınıyor hem daha çabuk içselleştiriliyor ve prosedürlere geçiriliyor.
 
* Bu bağlamda KVKK, GDPR gibi kanunlar; ISO, NIST gibi standartlar; EPDK, BDDK gibi sektör denetleme kurumları; halka açılma süreçlerinden geçen kurumlar için SPK tarafından belirlenen zorunluluklar şirketlerin siber risk konusunda harekete geçmeyi etkiliyor ve yol gösterici oluyor.
 
KOVİD-19 VE DİJİTAL DÖNÜŞÜM, RİSKİ ARTIRDI
 
* Kovid-19 salgınının etkisiyle her alanda hızlanan dijital dönüşümün hem farkındalığı artıracağı hem de kurumları siber risk yönetimine yönelik daha fazla önlem almaya teşvik edeceği öngörülüyor.
 
* Salgın süreciyle birçok firmanın tam olarak hazır olmadan ve gerekli tedbirleri alamadan hızlı bir şekilde dijitalleşmesi siber saldırı olasılıklarını da yükseltiyor.
 
* Firmaların yüzde 77'sinde siber risk konusundaki sorumluluk IT/BT ekiplerinin üzerinde. Yüzde 75'inde siber güvenlik sorumluluğu büyüklük ve sektörel yapıya göre CTO/CIO/CSO/CICO pozisyonlarından biriyle paylaşılıyor. Bir başka deyişle, süreci C seviyesi yönetiyor.
 
* Özellikle bu seviyedeki yöneticilerin konuya yaklaşımları kurumun farkındalığını ve stratejisini doğrudan etkiliyor. Firmaların yatırım kararı için en önemli dayanak noktası, yine sektördeki firmaların yaşadığı olumsuz deneyimler oluyor. Firmaların yüzde 56'sı ise doğru bir strateji kurabilmek için tarafsız bir kurumdan danışmanlık alıyor. 
 
* Firmaların yüzde 78'inin risk yönetimi konusundaki öncelikli refleksi riski azaltıcı uygulamaları hayata geçirmek yönünde. Firmalar en çok cihazların güvenliğini artırmaya, sisteme veya ağlara hem şirket içinden hem de dışından erişimi daha güvenli hale getirmeye yönelik yatırımlar gerçekleştiriyor.
 
* Siber riski ölçme, yönetme ve önleme süreçleri belirgin alanlarda yatırım gerektirirken, bu alanların başında altyapı, organizasyon ve insan kaynakları geliyor. Firmaların yüzde 50’si söz konusu yatırımları yapma konusunda çekimser davranırken, daha çok penetrasyon ve zafiyet analizleriyle yetiniyorlar.
 
* Şirketlerin siber güvenlik alanındaki olgunlukları siber risk sigortasına yatkınlıklarını olumlu yönde etkiliyor.
 
* Firmaların çoğunun siber risk sigortası hakkında yeterli bilgisi bulunmuyor.