Gürol Erdoğan’ın dikkat çektiği gibi, kurumsal bilgi güvenliğinin nasıl yönetileceği ve kurumdaki esas sahibinin hangi birimde olması gerektiği konusu da çok tartışılan konular. Kurumda BT yönetiminden ayrı bir Kurumsal Güvenlik birimi kurulma gerekliliğini; Accenture olarak kurumun yapısı, bulunduğu sektör, birimlerin birbiriyle olan dinamiklerini göz önüne alarak yaptıkları kapsamlı analizler sonucunda ortaya çıkardıklarını ifade eden Gürol Erdoğan, “Kurumlara etkin ve güçlü bir şekilde çalışabilecek, optimum fayda sağlayacak bir organizasyonel model öneriyoruz” bilgisini verdi. Erdoğan, önemle vurguladıkları başlıkları şöyle sıraladı:
Hatalı algıdan artık uzaklaşılmalı
“Kurumlar, güvenlik stratejilerini belirleyip güvenlik mimarilerini ve buna bağlı güvenlik altyapılarını oluştururlarken, her zaman bulundukları iş alanı ile uyumlu olduklarına emin olmalılar. İş birimlerinin çalışma modelleri ve süreçleri ile çatışmamak, kurumun esas varlık sebeplerinden uzaklaşmamak için güvenlik ekipleri ve iş birimlerinin uyum içinde olmalarını sağlamalılar. Bu noktanın sağlanabilmesinin tek yolu güvenlik stratejisinin en üst yönetimin onayı, bilgisi ve desteği ile her zaman sahiplenmesi, ciddiyetinin ve önceliğinin yönetim kurulu tarafından korunması ve tüm kuruma bu mesajın sürekli verilebilmesinde yatıyor.”
Kurumların, var olma sebepleri olan iş bağlamlarından uzaklaşmadan güvenlik stratejilerine yatırım yapmaları çok önemli ve bunu sağlamak için en üst yönetimin, güvenlik politikalarını her zaman öncelikli tutmaları gerekiyor. Accenture olarak, 2016 yılında 15 ülkede, 12 sektörde 2 bin güvenlik profesyonelinin katılımıyla yaptıkları “Yüksek Performanslı Güvenlik” araştırmasının sonuçlarını Erdoğan, şöyle paylaştı:
“Buna göre, güvenlik yöneticilerinin yüzde 75’i şirketlerinin, bilgi güvenliği stratejilerine güvendiklerini ifade ediyor. Oysa gerçekleşen siber tehditlere baktığımızda, bu algının ne kadar sorunlu olduğunu görüyoruz. Dünya çapındaki çok büyük firmalara yapılan her 3 saldırıdan 2’si hasara yol açıyor ve bu saldırı teşebbüslerinin sayısı artık binlerle ifade ediliyor. Yöneticilerin, bu hatalı algılarından uzaklaşması ve sorunla yüzleşmeye başlaması gerek. Yöneticiler, kurumlarının en öncelikli “iş” ve “veri” varlıklarının ne olduğunu tespit etmeli, saldırılara karşı koyacak araç ve tekniklere sahip olma planlarını bir an önce oluşturmalı ve hayata geçirmeli, savunma duvarlarını örmeye ve güçlendirmeye sürekli yatırım yapmalılar. Kurumlara, şu adımları uygulayarak güvenlik yaklaşımlarını “restart” etmelerini öneriyoruz: Güvenlik yeteneklerinizi zorlayın, güvenliği herkesin işi haline getirin, savunma duvarlarınızı içten dışa doğru örün, inovasyona yatırım yapıp manevra yeteneğinizi arttırın, güvenliği en tepeden yönetin ve son olarak, işinizi güvenle büyütün.”
