Siber riskleri yönetmek: İç Denetimin rolü

June 28, 2023

Kreston-Ezra Yehuda-Rozenblum Yönetici Ortağı Doron Rozenblum, yakın zamanda Accounting Today‘de iç denetimin neden siber risk yönetiminin anahtarı olduğuna dair görüşlerini paylaştı. BT kesintileri, veri ihlalleri ve fidye yazılımı saldırıları gibi siber olaylar en yüksek küresel risktir. Veri ihlalleri şirketler için özellikle endişe vericidir. 2022 yılında 4,4 milyon dolara ulaşan maliyetlerin 2023 yılında 5 milyon doları aşacağı tahmin edilmektedir. Diğer önemli riskler arasında fidye yazılım saldırıları ve dijital tedarik zincirlerinde veya bulut hizmetlerinde meydana gelen arızalar yer almaktadır. Suç teşkil eden saldırılar, insan hatası ve teknik aksaklıklar da dahil olmak üzere siber bağlantılı vektörler işletmelerde ciddi aksaklıklara neden olabilir. Hackerlar artık hem dijital hem de fiziksel tedarik zincirlerini hedef alıyor ve büyük şirketler siber güvenliğe daha fazla yatırım yaparken küçük ve orta ölçekli işletmeler için daha büyük bir tehdit oluşturuyor.

Siber risklerin değişen manzarası: Tehditler ve trendler

Dijital ortamda, büyüklüğü ne olursa olsun her şirket operasyonlarını, itibarını, markasını ve gelir akışını tehlikeye atabilecek ihlallere karşı savunmasızdır. Siber suç maliyetlerinin 2023’e kadar 8 trilyon dolara, 2025’e kadar ise 10,5 trilyon dolara ulaşacağı tahmin edilen 2023’teki siber risk ortamı çeşitlilik arz etmekte ve sürekli olarak gelişmektedir.

Özellikle kimlik avı yoluyla yapılan fidye yazılımı saldırıları, hem kamu hem de özel sektörde en büyük tehdidi oluşturmaktadır. Bu saldırılar sadece sayıca değil, aynı zamanda finansal ve itibar maliyetleri açısından da artmaktadır. Kimlik avı, bilgisayar korsanlarının genellikle yüksek rütbeli kişileri veya güvenilir kurumları taklit ederek aldatıcı e-postalar yoluyla bireyleri değerli verileri paylaşmaları veya kötü amaçlı yazılım yaymaları için kandırmasını içerir. Ticari E-posta Tehlikesi (BEC), genellikle kimlik avı ile ilişkilendirilen bir başka ciddi sorundur. Saldırganlar, planlarını gerçekleştirmek için sohbet ve mobil mesajlaşma uygulamaları gibi e-postanın ötesindeki işbirliği araçlarını kullanmaktadır. Bilgisayar korsanları kimlik avı saldırılarında Microsoft’un markasını sıklıkla kötüye kullanmaktadır ve kötü güvenlik alışkanlıkları ve kullanıcı bilgisi eksikliği nedeniyle marka kimliğine bürünme saldırıları endişe vericidir.

Dolandırıcılık, özellikle de kimlik hırsızlığı, daha fazla insan çevrimiçi bankacılık ve alışveriş yaptıkça dijital olarak trend oluyor. 2022 yılında, tüketiciler dolandırıcılık nedeniyle yaklaşık 9 milyar dolar kaybettiklerini bildirmişlerdir; bu rakam bir önceki yıla göre %30’luk bir artışa işaret etmektedir ve önemli sayıda kimlik hırsızlığı bildirimi yapılmıştır.

Siber risk yönetiminin güçlendirilmesi: İç Denetim için Stratejiler

İşletmeler, büyüklükleri, karmaşıklıkları ve birbirlerine bağlı olmaları nedeniyle siber risklere karşı daha fazla savunmasızlıkla karşı karşıyadır. Bulut hizmetlerinin ve Nesnelerin İnternetinin (IoT) kullanımı, güvenliğini sağlamanın zor olduğu yeni saldırı vektörleri yaratmaktadır. Tüm paydaşları içeren sağlam siber risk yönetimi stratejileri, bu risklerin ele alınması için çok önemlidir.

Yapay zeka (AI) potansiyel taşırken, aynı zamanda bir tehdit vektörü de olabilir. Yapay zeka sistemleri ve platformları, yanlış varsayımlar ve güvenilir olmayan kaynaklardan çıkarılan sonuçlar nedeniyle dikkatli bir şekilde uygulanmalıdır.

İç denetim, siber risklere karşı kritik bir savunma olarak gelişmiştir. Bu durum finansal alanların ötesine geçerek siber güvenliği de kapsamaktadır. Siber riskleri etkin bir şekilde denetlemek için, bir iç denetimin en son tehditleri anlaması, kurumun BT ortamı ve siber güvenlik çerçevesi hakkında bilgi sahibi olması, risk yönetimi ve veri analitiği konusunda uzman olması ve BT, risk yönetimi ve uyum fonksiyonlarıyla işbirliği yapması gerekir.

Güçlü bir siber risk iç denetimi için risk temelli bir yaklaşım gereklidir. Kritik varlıklar ve sistemler tanımlanmalı ve korunmalı, mevcut kontroller değerlendirilmeli ve iyileştirme alanları belirlenmelidir. Siber risk yönetimi, kurumun genel risk yönetimi stratejisine entegre edilmeli ve siber risk profili ve ortaya çıkan tehditler hakkında yönetim kuruluna ve üst yönetime düzenli güncellemeler sağlanmalıdır. Tedarik zinciri yönetimi, satıcıların ve tedarikçilerin siber güvenlik uygulamalarının değerlendirilmesini gerektiren bir diğer kritik alandır.

Sonuç olarak, siber riskler kurumlar için giderek büyüyen bir tehdit oluşturmaktadır ve iç denetim bu risklerin yönetilmesinde hayati bir rol oynamaktadır. Risk ortamının değerlendirilmesi, iç kontrollerin gözden geçirilmesi ve veri analitiği araçlarının kullanılması etkin yönetim için çok önemlidir. İç denetim, işbirlikçi ve risk temelli bir yaklaşım benimseyerek, kurumların karmaşık ve gelişen siber risk ortamında yollarını bulmalarına yardımcı olabilir.

Daha fazla bilgi için buraya tıklayın.