Uluslararası denetim ve danışmanlık şirketi EY, iş dünyasının siber güvenlik tehdit ve saldırılarına karşı yaptığı hazırlık ve yatırımları inceleyen Küresel Bilgi Güvenliği 2021 Araştırması’nın (Global Information Security Survey – GISS) sonuçlarını açıkladı. Dünya genelinden 1.000’i aşkın şirketin üst düzey yöneticisi ile yapılan anket sonucu oluşturulan araştırma; finansal hizmetler, tüketici ürünleri ve perakende, sağlık ve yaşam bilimleri, enerji, teknoloji, medya, eğlence ve telekomünikasyon sektörlerinde faaliyet gösteren şirketlere ilişkin bulgular içeriyor. Araştırmaya göre; Covid-19 pandemisinin bir sonucu olarak hızlı şekilde geçilen yeni çalışma modelleri, yetersiz yatırım yapılan siber güvenlik sistemleri dolayısıyla, şirketleri sayısı gittikçe artan ve daha karmaşık hale gelen siber saldırılar karşısında savunmasız hale getiriyor.
Siber güvenlik liderleri hiç olmadığı kadar endişeli
Araştırmaya katılan siber güvenlik liderlerinin yarısından fazlası (%56) şirketlerinin uzaktan ve esnek çalışmaya ilişkin yeni gereksinimleri yerine getirebilmek için siber güvenlik süreçlerinden bir kısmını göz ardı ettiklerini ifade ediyor. Bununla birlikte yöneticilerin %43’ü şirketlerinin siber tehditleri yönetme kabiliyeti ile ilgili hiç olmadığı kadar endişe duyduklarını dile getiriyor. %77’si ise fidye yazılım gibi siber saldırıların sayısında geçen 12 aylık dönemde artış gözlemlediklerini söylüyor.
Acil aksiyon alınmalı
“Şirketlerin geçtiğimiz yıl benimsemek zorunda kaldığı değişim hızının bedeli büyük oldu” diyen EY Türkiye Danışmanlık Bölümü Ortağı ve Siber Güvenlik Hizmetleri Lideri Ümit Yalçın Şen araştırma sonuçları ile ilgili olarak şu değerlendirmede bulundu: “Ayakta kalmak için hızlı bir dönüşüm ihtiyacının doğması ile siber güvenlik ihmal edildi. Siber güvenlik açıkları kapatılmadan yeni çalışma modellerine geçilmesi, hele ki pek çok şirketin bu yeni uygulamaları pandemi sonrası dönemde kalıcı hale getireceği göz önünde bulundurulduğunda, çok önemli riskler yaratıyor. Son dönemdeki fidye yazılım olayları acil aksiyon alınmasının zorunlu olduğunu gösteriyor.”
Siber güvenlik bütçeleri ihtiyaçla uyumlu değil
Araştırmaya göre; siber güvenlik tehditlerinin artmasına rağmen siber güvenlik bütçeleri genel BT harcamalarına kıyasla düşük kalıyor. Araştırmaya dâhil şirketler geçen mali yılda ortalama 11 milyar dolar gelir elde etmelerine karşın, siber güvenliğe yalnızca 5,8 milyon dolar harcama yapıldı.
Siber güvenlik stratejik yatırımlara yeterine dâhil edilmiyor
Yöneticilerin %39’u siber güvenlik bütçesinin geçen 12 aylık dönemde ortaya çıkan yeni zorlukları yönetmek için gerekli olan miktarın altında olduğunu belirtiyor. Yine %39’u siber güvenlik harcamalarının, BT tedarik zinciri dönüşümü gibi stratejik yatırımlara yeterince dâhil edilmediğini ifade ediyor. %36’sı da şirketlerinin, siber güvenlik savunmasına yeterli yatırım yapılması halinde önlenebilecek, büyük bir siber saldırıya uğramasının an meselesi olduğunu düşünüyor.
Kurum içinde birimler arası ilişkiler güçlendirilmeli
Araştırma sonuçları kurum içinde siber güvenlik liderleri ile diğer fonksiyonlar arasındaki ilişkilerin güçlendirilmesi gerektiğine işaret ediyor. Siber güvenlik liderlerinin %41’i pazarlama fonksiyonu ile olan ilişkilerini negatif, %28’i şirket sahipleri olan ilişkilerini de zayıf olarak tanımlıyor. 2020 yılı araştırma sonuçları; yöneticilerin %36’sının olası yeni iş inisiyatiflerinin planlanma aşamasında siber güvenlik ekiplerine danışılacağına dair güven duyduğunu gösteriyordu, bu oran 2021 yılında %19’a düştü.