KPMG: Siber Tehlike Hiç Bu Kadar Büyük Olmamıştı

KPMG: Siber Tehlike Hiç Bu Kadar Büyük Olmamıştı

19 Ekim 2017 – KPMG ile Harvey Nash, 86 ülkeden 4 bin 498 CIO ve teknoloji lideri ile görüştü

Siber tehlike hiç bu kadar büyük olmamıştı

KPMG, Harvey Nash ile birlikte bu yıl 19’uncu kez düzenlenen dünyanın en büyük BT liderleri araştırmasına imza attı. Türkiye’nin de arasında olduğu 86 ülkeden 4 bin 498 CIO ve teknoloji liderinin yer aldığı araştırmada, son 24 ayda katılımcıların üçte birinin siber saldırıya maruz kaldığı ortaya çıktı.

KPMG Türkiye Bilgi Sistemleri Risk Yönetimi Bölüm Başkanı Sinem Cantürk, “Tahmin edilemeyen küresel ekonomik belirsizlikler yaşanması nedeniyle ankete katılanların yüzde 64’ünün teknoloji stratejilerini yeni koşullara adapte ettiğini, yüzde 89’unun yenilikçi çözümler ve dijital iş gücü de dâhil olmak üzere yatırımlarını artırdığını görüyoruz” dedi.

BT yönetiminde bulunan kadınların sayısının yüzde 9’da kaldığını belirten Cantürk, “Düşük oranına rağmen kadın yöneticiler geçtiğimiz yıl içinde erkek CIO’lara kıyasla daha yüksek maaş zammı aldı” dedi.

KPMG, Harvey Nash ile birlikte, bu yıl 19’uncu kez düzenlenen dünyanın en büyük BT liderliği araştırmasını yayımladı. Türkiye’nin de aralarında olduğu 86 ülkede yapılan ankete 4 bin 498 CIO ve teknoloji lideri katıldı. Araştırma, siber tehlikenin boyutlarını gözler önüne serdi. Araştırmaya katılan BT yöneticilerin yüzde 32’si, kurumlarının son 24 ay içinde ciddi bir siber saldırıyla karşı karşıya kaldığını belirtti. Siber saldırılar 2013 yılına göre yüzde 45 yükseldi. Şirket içi saldırılar da geçen yıla (yüzde 40) oranla artış (yüzde 47) gösterdi.

Şirketler belirsizlikte teknolojiye güveniyor

Katılım açısından dünyanın en büyük BT liderlik araştırması olan KPMG – Harvey Nash CIO Araştırması’nı değerlendiren KPMG Türkiye Bilgi Sistemleri Risk Yönetimi Bölüm Başkanı Sinem Cantürk, “Küresel anlamda siyasi ve ekonomik belirsizlikler dünyayı etkiliyor. Bu ortamda kurumların yüzde 64’ü teknoloji stratejilerini küresel politik ve ekonomik belirsizliğe adapte ediyor. Belirsizliği inovasyonun itici gücü olarak kullanan şirketler (yüzde 89) dijital işgücü dâhil olmak üzere yeniliğe yatırım yaptı ya da yatırımlarını artırdı. Bu tablo belirsizliğe rağmen bilgi teknolojilerinin güvenilen bir liman olduğunu gösteriyor” dedi.

CIO görevinden memnun

CIO’ların artan memnuniyetine dikkat çeken Sinem Cantürk, “Son on yılda ilk kez yüzde 71 gibi önemli bir kesimin, CIO görevinin stratejik bir hale geldiğine inandığını görüyoruz. Ayrıca işlerinden ‘çok memnun’ olan CIO’ların oranı da son üç yılın en yüksek seviyesine (yüzde 39) çıktı. Ayrıca CIO’lar artık yönetim kurulunda daha çok görev alıyor. Teknoloji yöneticilerinin yüzde 92’si son 12 ay içinde bir yönetim kurulu toplantısına katıldı” dedi.

“Dünya hızlı bir dijitalleşme sürecinden geçiyor” diyen Sinem Cantürk, “Bu kritik süreçte CIO’lar başrolde olacak. İstikrarlı, güvenli ve sürdürülebilir bir altyapı inşa eden, yıkıcı teknolojilere yönelik agresif bir yatırım programı olan, BT stratejilerini müşteri istekleri ile uyumlu hale getiren ve inovasyon ile büyümeye odaklı liderler ön plana çıkacak. Bu özelliklere sahip dijital liderler yönetim kurullarında yer alacak” dedi.

Kadın CIO’lar daha yüksek zam aldı

KPMG’nin Harvey Nash ile birlikte hazırladığı araştırmada öne çıkan noktalar şöyle:

• Kadın CIO’lar geçtiğimiz yıl, erkek meslektaşlarına göre daha yüksek maaş zammı aldı. Erkekler yüzde 32 zam alırken, kadın CIO’ların maaşı yüzde 42 oranında artış gösterdi. Ancak BT yönetiminde bulunan kadınların sayısı yüzde 9 seviyesinde kaldı.
• CIO’ların yüzde 33’ü geçtiğimiz yıl net maaşlarında zam aldı.
• CIO’lar uzun süre görevde kalmak istiyorlar. Ancak CIO hizmet süresi beş yıl veya daha kısa (yüzde 59) olarak belirlenmiş.

Yönetim kurulundaki yeri sağlamlaşıyor

• 2005 yılında CIO’ların en fazla yüzde 38’i yönetim kurullarında yer alıyordu. Bugün bu oran yüzde 62’ye yükseldi.
• Kurumların dörtte biri CDO (Chief Digital Officer – Dijitalden Sorumlu Lider/Yönetici) ile çalışıyor. Üç yıl öncesine oranla kurumlardaki CDO sayısının üç katına çıktığı gözlemleniyor.
• Büyük şirketlerdeki CIO’ların yüzde 28’i bu yıl iş değiştirmeyi planlıyor. Küçük kurumlardaki CIO’larda ise bu oran yüzde 20.
• CIO’lar açısından geçen yıla kıyasla işletmeye tutarlı ve istikrarlı bir BT performansı sağlayabilmenin önemi yüzde 21, yenilikçi yeni ürün ve hizmetler geliştirmenin önceliği yüzde 21, maliyet tasarrufu sağlamak yüzde 8, operasyon verimliliğini artırmak yüzde 7 oranında arttı.

CIO’lara göre artık projeler çok daha karmaşık

• Araştırmaya katılan CIO’ların yüzde 61’i, beş yıl öncesine göre BT projelerinin çok daha karmaşık olduğunu savunuyor.
• CIO’lar bilgi teknolojileri projelerinin başarısızlığa uğramalarındaki ana nedenleri şöyle belirledi: Projelerde sahiplik belirsizliği (Yüzde 46), proje yönetiminde iyimser yaklaşımlar (Yüzde 40), netleştirilmemiş hedefler (Yüzde 40).
• CIO’ların yüzde 27’si proje becerisinde yetersizliği, projenin başarısızlığındaki ana neden olarak gösteriyor.

 

KPMG: Yüzde 100 Güvenlik İmkansız, Önemli Olan Strateji

1 Ağustos 2016 – KPMG tarafından kurulan ve dünyada 30’dan fazla ülkede faaliyet gösteren KPMG Denetim Komitesi Enstitüsü, ‘denetim komiteleri için siber güvenlik’ konusunu masaya yatırdı. Toplantıda, denetim komiteleri için öne çıkan siber güvenlik riskleri ve siber suçlar tartışıldı.

Toplantıya, iş ve finans dünyasının profesyonelleri, şirketlerin denetim komiteleri üyeleri katıldı. KPMG Türkiye Danışmanlık Bölümü Şirket Ortağı Hakan Aytekin, ‘Denetim Komitesinde Siber Güvenlik’ konulu sunumunda şirketlerdeki en yaygın siber güvenlik yanılgılarını sıralayarak, listenin başında “Yüzde 100 güvenliği sağlamak zorunluluğunun” bulunduğunu söyledi. Aytekin, bunun doğru bir hedef olmadığını ve bunu başarmanın da mümkün olmadığını belirtti. En iyi teknik araçlara yatırım yapmanın da güvenliği sağlamayacağını belirten Aytekin, etkili bir siber güvenliğin teknolojiye sandığımızdan daha az bağımlı olduğunu vurguladı. Hakan Aytekin şirketlerin, hackerlar’dan daha güçlü silahlara sahip olmak yerine güvenlik politikalarını saldırganların hedeflerine değil kendi hedeflerine göre belirlemeleri gerektiğini kaydetti.

“Siber güvenlik bir departmanın işi değil kurumsal bir anlayıştır” diyen Aytekin, denetim komitelerinin bu konudaki rolünü şöyle özetledi:

• Siber riskleri tanımla
• Önlemleri al
• Tespit et, karşılık ver
• Verileri kurtar / koru

Toplantıya katılan KPMG İngiltere Siber Güvenlik Danışmanlığı Direktörü David Ferbrache de şirketlerin siber güvenliğe bakışını ve yaklaşımın nasıl olması gerektiğini anlattı. Şirketlerin yatırımlarının önemli bir bölümünü temel savunma unsurlarına ayırdıklarını belirten Ferbrache, “Oysa teknik bir savunmadan çok potansiyel senaryolara hazır olmak çok daha önemli. Farklı güvenlik önlemlerinin bir arada çalışabilmesini, bütüncül olarak bir tehdite karşı koymasını sağlamak gerek” dedi.

Ferbrache şu önerilerde bulundu:

“İyi bir siber savunma operasyonu gerçekleştirmek istiyorsanız tehdidi anlamalısınız. Güvenlik sistemlerinin tümünü bir bütün olarak anlayıp çalıştırmak, esnek ve çevik davranmak, iyi bir hazırlık sürecinden geçmek bu işin en önemli kuralları. Siber tehditle başa çıkabilmek için bunu destekleyen sistemlere ihtiyaç var. Pek çok denetim komitesi ve yönetim kurulunun artık bu yönde talepleri oluyor.”

Panelde şirketlerin güvenlik uygulamaları ele alındı

Toplantının devamında “Denetim Komiteleri için Siber Güvenlik” konulu bir panel düzenlendi. KPMG Türkiye Danışmanlık Bölümü Şirket Ortağı Hakan Aytekin’in moderatörlüğünde gerçekleşen panele, KPMG İngiltere Siber Güvenlik Danışmanlığı Direktörü David Ferbrache’nin yanı sıra Eczacıbaşı Topluluğu Bilgi ve İletişim Teknolojileri Grup Başkanı Levent Kızıltan ile BTK’da Teknoloji Daire Başkanı Gökhan Evren katıldı. Panel açılışında Panel Moderatörü Aytekin katılımcılara kendi topluluklarına yönelik gerçekleşmesi muhtemel siber saldırılarda neyin hedef alınabileceğini sordu. Kızıltan, bu soruya “Siber saldırılar iki şekilde olabilir. Birincisi bu alanda kendini ispatlamak isteyen birinin nispeten gerçekleştirebileceği saldırılar olabilir. Bu karşılığında bir şeyin beklenmediği nispeten teknik hasarla çapı sınırlı saldırıdır. Diğeri ise tehdit etmek amacıyla operasyonlarınıza zarar vermek amacıyla ve karşılığında fidyenin istendiği saldırılar olabilir. Kriptolocker örneğini verebiliriz. Asimetrik dünya teknolojinin olumlu ya da olumsuz kullanılmasıyla da şekilleniyor. Teknolojiyi lehimize kullanmak için siber güvenlikte olduğu gibi risk yönetimini yapabilmeliyiz” dedi. Regülatör tarafındaki durumdan bahseden Evren de “BTK olarak sektörü düzenliyor ve denetliyoruz. Kurum olarak ulusal çapta Siber Güvenlikle de ilgileniyoruz. Ulaştırma Bakanlığı’nın kordinasyonuyla online siber saldırılara müdahale dairesi başkanlığı da bünyemizde bulunuyor. Bu tür bir saldırı olduğunda ‘identify respond ve recover’ aşamalarını gerçekleştiriyoruz” şeklinde konuştu. Ferbrache de panelde kendisine yöneltilen “Şirketler dirençlerini artırabilmek için neler yapıyor?” şeklindeki soruya şöyle cevap verdi: “İnsanlar farklı düşünürler yani sadece işte şuraya bir firewall koyduk şuraya da uçtan uca güvenlik çözümünü koyduk değil. Birbiriyle bütüncül şekilde belirli bir tehdite karşı gelecek şekilde sahtecilik olabilir, e-posta sahteciliği olabilir ya da sahtecilik yazılımı olabilir kötücül yazılım olabilir. Bunlara nasıl karşı koyabilir. Bütüncül şekilde bakmak önemli. Hakan Bey çok doğru. Eğitim ve farkındalık kısmı da son derece önemli. Önemli ölçüde mesela simülasyonu gerçekleştirilen sahtecilik operasyonları görüyoruz. Ama bu tek başına işe yaramaz. Hedeflenmiş farkındalık ve eğitimle bir arada yürütülmeli.”

Toplantının son bölümünde KPMG Türkiye Denetim Şirket Ortağı ve Denetim Komitesi Enstitüsü Başkanı Şirin Soysal, KPMG’nin her yıl düzenlediği Küresel Denetim Komitesi Araştırması’nın Türkiye sonuçlarını sundu. Dünyanın farklı bölgelerindeki pek çok denetim komitesinin; şirketlerin karşılaştığı veya karşılaşabileceği en önemli zorlukları ‘ekonomik-politik belirsizlik, dalgalanma, düzenleyici ortam ve uyum konuları, operasyonel riskler ve kontroller’ olarak tanımladığını belirtti. “Araştırmaya göre denetim komiteleri, risk yönetim süreçlerinin, operasyonel risklere yönelik iç kontrollerin, iç denetimin değerlendirilmesi konularının gözetimine ve siber güvenlik risklerine daha çok zaman ayırmak istiyorlar” diyen Soysal, sunumunda denetim komitelerinin risk ve bilgi kalitesi, komitelerin gündemi ve iş yükü, denetçilerin gözetimi, denetim komitesinin etkinliği konularındaki görüşlerini paylaştı.