Foresight

WEF: Dijital dünyada siber dayanıklılık

Yazar The Newsight
7 Dk. Okuma

Dijitalleşmenin hızlanmasıyla birlikte siber tehditler de karmaşıklaşıyor. Dünya Ekonomik Forumu (WEF) ve Oxford Üniversitesi’nin ortak raporu “The Cyber Resilience Compass 2025“, artık sadece “siber güvenlik” odaklı yaklaşımların yetersiz olduğunu vurguluyor. Rapora göre, işletmelerin asıl hedefi, siber olayların etkisini en aza indirmek olmalı. Öyle ki rapora göre, siber dayanıklılık artık bir seçenek değil, zorunluluk. İşte işletmelerin dikkate alması gereken 7 temel başlık…

İçindekiler
Siber dayanıklılık için 7 anahtar adım1. Liderlik: Siber risk, artık CEO’nun masasında2. Yönetişim, risk ve uyum: Siber risk = Kurumsal risk3. İnsan ve kültür: Siber dayanıklılık ekiplerle başlar4. İş süreçleri: B planı olmayan süreç, kritik olamaz5. Teknik sistemler: Altyapının sürücü koltuğunda AI var6. Kriz yönetimi: “Ransomware” (fidye yazılım) gerçeği ile yaşamak7. Ekosistem iş birliği: Dirençli olmak, tek başına mümkün değilYalnızca bir güvenlik meselesi değil, kurumsal bir refleks…

Siber dayanıklılık için 7 anahtar adım

1. Liderlik: Siber risk, artık CEO’nun masasında

Siber dayanıklılığın ilk adımı, kurumun en değerli varlıklarını tanımlamak. En değerli veriler, sistemler ve hizmetler önceliklendirilmeli. Aralarında Mærsk ve Petronas’ın da bulunduğu şirketler, riskleri parasal karşılığına çevirerek (örneğin dolar kaybı üzerinden) yönetim kurulunu harekete geçirmiş durumda. Artık CISO’lar (Chief Information Security Officer) yalnız değil.

2. Yönetişim, risk ve uyum: Siber risk = Kurumsal risk

Siber risklerin yalnızca IT departmanına ait olmadığı bir dönem başladı. Şirket genelinde risk sahipliği tanımlanmalı, roller netleştirilmeli. Schneider Electric’in uyguladığı “anahtar iç kontroller” (Key Internal Controls – KICs) sistemi, şirket genelinde siber risklerin açık bir şekilde sahiplenilmesini ve yönetilmesini sağlıyor.

Schneider Electric’in “üç savunma hattı” modelindeki maddeler şöyle sıralanıyor:

  • Birinci hat: İş birimleri ve operasyon ekipleri, siber riskleri doğrudan tanımlıyor ve kontrolleri uyguluyor.
  • İkinci hat: Grup CISO’su, bu kontrollerin rehberliğini ve koordinasyonunu sağlıyor.
  • Üçüncü hat: İç denetim birimi, uygulamaların bağımsız denetimini yapıyor.

KICs sistemi sayesinde, her yıl risk sahipleri bu kontrolleri yazılı olarak onaylıyor veya varsa eksiklikleri için aksiyon planı sunuyor. Böylece siber güvenlik, sadece IT’nin değil tüm iş birimlerinin sorumluluğunda olan kurumsal bir disiplin haline geliyor.bu sorumlulukları yıl içinde resmi olarak imzalatıyor ve takibini sağlıyor.

3. İnsan ve kültür: Siber dayanıklılık ekiplerle başlar

İnsan kaynaklı hatalar hala en yaygın siber risk kaynağı olarak listenin başında yer alıyor. Bu yüzden farkındalık eğitimleri sadece bilgilendirme değil, kurum kültürünün parçası haline getirilmeli. Siber dayanıklılık çalışmalarına öncelik veren şirketlerin uygulamaları arasında, üst yönetimi bile içine alan masa başı senaryo tatbikatları düzenleniyor ve böylelikle gerçek kriz anlarında refleks kazandırılıyor.

4. İş süreçleri: B planı olmayan süreç, kritik olamaz

UBS ve Henkel gibi firmalar, “başlarına gelecekmiş gibi” düşünerek iş süreçlerini yedekliyor. Kritik hizmetler yeniden sıralanıyor, bazı sistemler yalıtılmış “yeşil ağ”larda (Green Network) yedekleniyor. Green network, bir siber saldırı (özellikle fidye yazılımı gibi yayılmacı tehditler) durumunda kurumun kritik operasyonlarını sürdürebilmesi için önceden kurulan, ana sistemlerden tamamen izole edilmiş, temiz ve güvenli bir yedek altyapıları ifade ediyor. Böylelikle kriz anlarında operasyon bu ağlar üzerinden hemen yeniden başlatılabilir.

Siber dayanıklılık, böylelikle kurumlar için sadece bir regülasyon süreci olmaktan çıkıp rekabet avantajına da dönüşüyor.

5. Teknik sistemler: Altyapının sürücü koltuğunda AI var

Yapay zeka destekli güvenlik sistemleri artık temel bir ihtiyaç. Splunk ve Siemens Energy gibi firmalar, siber olayları anlık veri analiziyle önceden fark ediyor.

Siemens Energy kurduğu sistemle, uzaktan çalışan uzmanlar aracılığıyla makine öğrenmesiyle desteklenen sürekli veri izleme yaparak olağandışı durumları anında belirliyor. Böylece müdahale süresi ciddi şekilde kısalıyor.

Splunk ise kurduğu güvenlik operasyon merkezi (SOC) ile veri odaklı karar alma yaklaşımını benimsiyor. Toplanan veriler yapay zeka ve otomasyonla analiz edilerek, kritik tehditler ortalama 7 dakikadan kısa sürede tespit edilebiliyor. Hedef, hızlı tepki değil; doğru, kaliteli ve sürdürülebilir güvenlik çıktıları üretmek.

İkisinin ortak noktası: Veriyi erken görmek, krizi doğmadan çözmek.

6. Kriz yönetimi: “Ransomware” (fidye yazılım) gerçeği ile yaşamak

Modern saldırılar fiziksel felaketlerden farklı. Çünkü hem ana sistemleri hem yedekleri hedef alabiliyor. Bu yüzden, Henkel gibi kurumlar artık olaydan bağımsız çalışabilen alternatif ağlar kuruyor, medya ve paydaş iletişimini kriz öncesinde planlıyor.

  • Önceden hazırlanmış iletişim stratejisi: Henkel, kriz anında kamuoyunu ve iş ortaklarını bilgilendirmek için önceden tanımlanmış mesaj şablonları ve iletişim planları oluşturuyor. Bu planlar, olayın niteliğine göre hızla devreye alınıyor.
  • CISO ve hukuk ekibiyle ortak çalışma: İletişim içerikleri, CISO ile hukuk biriminin koordinasyonunda hazırlanıyor. Böylece yanlış bilgi yayılmasının önüne geçiliyor ve yasal riskler minimize ediliyor.
  • Hedef kitle haritalama: Kimlerin ne zaman, nasıl bilgilendirileceği önceden belirleniyor: çalışanlar, iş ortakları, müşteriler, medya, regülatörler… Her biri için ayrı iletişim dili ve kanal kurgulanıyor.
  • Krize özel iletişim kanalları: Ana sistemler çalışmasa bile iletişim devam edebilsin diye alternatif (out-of-band) iletişim yöntemleri de planlanıyor. Bu, kriz anında güvenli ve kesintisiz bilgi akışını garanti ediyor.

Özetle, Henkel kriz anında iletişim kurmayı bir “sonradan düşünülmesi gereken” konu değil, kriz planının ayrılmaz parçası olarak ele alıyor.

7. Ekosistem iş birliği: Dirençli olmak, tek başına mümkün değil

Bir kurumun dayanıklılığı, bağlı olduğu tüm zincir kadar güçlü. Özellikle tedarik zinciri ve regülatörlerle sürekli temas ve senaryo paylaşımı bu yüzden önemli. 2024’te yaşanan, Amerikalı siber güvenlik şirketi CrowdStrike’ın, Falcon Sensor güvenlik yazılımı için hatalı bir güncelleme dağıtmasının ardından yazılımın yüklü olduğu Microsoft Windows bilgisayarlarda yaygın sorunlara yol açtıüı ve yaklaşık 8,5 milyon sistemin çökmesiyle bilgi teknolojileri tarihindeki en büyük kesinti olarak tanımlanan küresel IT krizinde, 2 binden fazla kurumun BRC (Business Resilience Council) çatısı altında saatler içinde bilgi paylaşması, geleceğin siber kriz yönetimi modelini ortaya koydu.

Yalnızca bir güvenlik meselesi değil, kurumsal bir refleks…

2025 itibarıyla kurumların siber risklere karşı savunması, sadece teknoloji yatırımlarına değil, organizasyonun tamamını kapsayan bir refleks geliştirmesine bağlı. Liderlikten yönetişime, teknik sistemlerden insan kaynağına kadar her alanda proaktif adımlar atmak; kriz anlarında değil, öncesinde hazırlıklı olmak gerekiyor. Siber dayanıklılık, hem iş sürekliliğini garanti altına almak hem de rekabet avantajı elde etmek için stratejik bir zorunluluk haline geldi. Artık mesele “ne zaman saldırıya uğrayacağımız” değil, “saldırıdan sonra ne kadar hızlı toparlanabileceğimiz”. Bu da yalnızca kendi içimize değil, tüm ekosistemimize bakarak mümkün.

Buna da göz atın: Perakendenin 2030 yolculuğunda öne çıkan 7 başlık

ETİKET:
KAYNAKLAR:World Economic Forum

Güncel Kalın

İş dünyasından en güncel haberler, sektörel analizler ve ilham verici içerikler için sosyal medya hesaplarımızı takip edin.

Popüler