EY’ın (Ernst & Young) Küresel Bilgi Güvenliği Araştırması’na göre salgın etkisiyle hızlı şekilde benimsenen uzaktan çalışma, yetersiz finanse edilen siber güvenlik sistemleri dolayısıyla şirketleri artan tehditler karşısında savunmasız hale getiriyor.
Uluslararası denetim ve danışmanlık şirketi EY, iş dünyasının siber güvenlik tehdit ve saldırılarına karşı yaptığı hazırlık ve yatırımları inceleyen Küresel Bilgi Güvenliği 2021 Araştırması’nın (Global Information Security Survey – GISS) sonuçlarını açıkladı. Dünya genelinden 1.000’i aşkın şirketin üst düzey yöneticisi ile yapılan anket sonucu oluşturulan araştırma; finansal hizmetler, tüketici ürünleri ve perakende, sağlık ve yaşam bilimleri, enerji, teknoloji, medya, eğlence ve telekomünikasyon sektörlerinde faaliyet gösteren şirketlere ilişkin bulgular içeriyor. Araştırmaya göre; Covid-19 pandemisinin bir sonucu olarak hızlı şekilde geçilen yeni çalışma modelleri, yetersiz yatırım yapılan siber güvenlik sistemleri dolayısıyla, şirketleri sayısı gittikçe artan ve daha karmaşık hale gelen siber saldırılar karşısında savunmasız hale getiriyor.
Siber güvenlik liderleri hiç olmadığı kadar endişeli
Araştırmaya katılan siber güvenlik liderlerinin yarısından fazlası (yüzde 56) şirketlerinin uzaktan ve esnek çalışmaya ilişkin yeni gereksinimleri yerine getirebilmek için siber güvenlik süreçlerinden bir kısmını göz ardı ettiklerini ifade ediyor. Bununla birlikte yöneticilerin yüzde 43’ü şirketlerinin siber tehditleri yönetme kabiliyeti ile ilgili hiç olmadığı kadar endişe duyduklarını dile getiriyor. Yüzde 77’si ise fidye yazılım gibi siber saldırıların sayısında geçen 12 aylık dönemde artış gözlemlediklerini söylüyor.
Acil aksiyon alınmalı
“Şirketlerin geçtiğimiz yıl benimsemek zorunda kaldığı değişim hızının bedeli büyük oldu” diyen EY Türkiye Danışmanlık Bölümü Ortağı ve Siber Güvenlik Hizmetleri Lideri Ümit Yalçın Şen araştırma sonuçları ile ilgili olarak şu değerlendirmede bulundu: “Ayakta kalmak için hızlı bir dönüşüm ihtiyacının doğması ile siber güvenlik ihmal edildi. Siber güvenlik açıkları kapatılmadan yeni çalışma modellerine geçilmesi, hele ki pek çok şirketin bu yeni uygulamaları pandemi sonrası dönemde kalıcı hale getireceği göz önünde bulundurulduğunda, çok önemli riskler yaratıyor. Son dönemdeki fidye yazılım olayları acil aksiyon alınmasının zorunlu olduğunu gösteriyor.”
Siber güvenlik bütçeleri ihtiyaçla uyumlu değil
Araştırmaya göre; siber güvenlik tehditlerinin artmasına rağmen siber güvenlik bütçeleri genel BT harcamalarına kıyasla düşük kalıyor. Araştırmaya dâhil şirketler geçen mali yılda ortalama 11 milyar dolar gelir elde etmelerine karşın, siber güvenliğe yalnızca 5,8 milyon dolar harcama yapıldı.
Siber güvenlik stratejik yatırımlara yeterine dâhil edilmiyor
Yöneticilerin yüzde 39’u siber güvenlik bütçesinin geçen 12 aylık dönemde ortaya çıkan yeni zorlukları yönetmek için gerekli olan miktarın altında olduğunu belirtiyor. Yine yüzde 39’u siber güvenlik harcamalarının, BT tedarik zinciri dönüşümü gibi stratejik yatırımlara yeterince dâhil edilmediğini ifade ediyor. Yüzde 36’sı da şirketlerinin, siber güvenlik savunmasına yeterli yatırım yapılması halinde önlenebilecek, büyük bir siber saldırıya uğramasının an meselesi olduğunu düşünüyor.
Kurum içinde birimler arası ilişkiler güçlendirilmeli
Araştırma sonuçları kurum içinde siber güvenlik liderleri ile diğer fonksiyonlar arasındaki ilişkilerin güçlendirilmesi gerektiğine işaret ediyor. Siber güvenlik liderlerinin yüzde 41’i pazarlama fonksiyonu ile olan ilişkilerini negatif, yüzde 28’i şirket sahipleri olan ilişkilerini de zayıf olarak tanımlıyor. 2020 yılı araştırma sonuçları; yöneticilerin yüzde 36’sının olası yeni iş inisiyatiflerinin planlanma aşamasında siber güvenlik ekiplerine danışılacağına dair güven duyduğunu gösteriyordu, bu oran 2021 yılında yüzde 19’a düştü.
