Bir yılı daha geride bıraktık. Geriye baktığımızda, 2017 yılı büyük küresel şirketlerde operasyonel risk yönetiminden sorumlu olanlar için oldukça zorlu bir yıl oldu. Rutin operasyonel riskleri bir tarafa bıraktığımızda, 2017 yılı boyunca yaşanan fidye yazılımı saldırıları, diğer güvenlik tehditleri, Kuzey Kore’deki gelişmelerden kaynaklanan krizler, Ortadoğu bölgesindeki gelişmeler, Las Vegas’tan Barselona’ya kadar yaşanan terör olayları ekonomiyi olumsuz yönde etkiledi. Dolayısıyla 2017, tam bitti derken bir başkasının başladığı krizlerle dolu bir yıl oldu.
Tüm bu olanlar ister istemez 2018 yılının gündemini de etkiledi. Geçtiğimiz haftalarda 1600’ün üzerinde güvenlik alanında çalışan profesyonel Washington’da düzenlenen Overseas Advisory Council Konferansında (OSAC) ve International Security Management Association (ISMA) ve International Security Foundation (ISF) arasında gerçekleştirilen toplantılarda bir araya gelerek gerçekleşen olayları tartıştılar. OSAC’ın konu başlığı “Tahmin Edilmesi Güç Bir Dünyada Kaosla Başa Çıkmak” oldu. Kaosun kelime anlamına bakıldığında gerçekten dünyada şu anda bir kaos yaşandığı kolaylıkla görülebiliyor. Beklenmedik büyük olaylar daha sık yaşanır hale geliyor. Bu olayların birçoğu tarihe “siyah kuğular” olarak geçecek. Fakat gördüğümüz kadarıyla, kurumsal güvenlik topluluğu “kuğu” olarak adlandırılan bu olayları şu an için beyaz olmasa da gri olarak görüyorlar. Bu olayların birçoğu tarihe “siyah kuğular” (Ayrıntılı bilgi için Nassim Nicholas Taleb’in Siyah Kuğu – Olasılıksız Görünenin Etkisi kitabını okuyabilirsiniz) olarak geçecek. Fakat gördüğümüz kadarıyla, kurumsal güvenlik topluluğu “kuğu” olarak adlandırılan bu olayları şu an için beyaz olmasa da gri olarak görüyorlar. Şirketlerin bu tür olaylardan daha az etkilenebilmeleri için güvenlikle ilgili 2018 gündemlerini daha iyi belirlemeleri gerekiyor.
- Birçok şirkette, üst düzeyden alt düzeye kadar tüm yöneticiler planlama için daha iyi risk bilgisi istiyor
Açıkçası bunun gerçek veya sanal dünyadaki riskleri izlemekle alakası yok. Artık neredeyse tüm şirketler hem gerçek hem sanal dünyadaki riskleri izliyor. Şirketlerin asıl yatırım yaptıkları ya da yatırım yapmak istedikleri şey bilgilerin daha iyi bir şekilde değerlendirilebilmesi ve şu soruya cevap vermesi: “Bu benim için ne anlama geliyor?”. Kısacası şirketler, operasyonel riskleri anlamak ve yönetmek için “reaktif” moddan “Proaktif” bir moda geçmek istiyorlar. Ancak bu şirketlerin birçoğu, bunun hiç de kolay bir iş olmadığını kısa sürede anlıyor. CCTV ve uyarı izleme merkezleri, sadece adları değiştirilerek bir anda 24/7 çalışan her türlü analizi yapabilen, bilgileri harekete geçilebilir istihbarat haline getiren yerler olmuyor. Böyle bir dönüşüm için üzerinde düşünülmesi ve gerçek bir yatırım yapılması gerekiyor. - Harekete geçirici istihbarata sahip olan güvenlik yöneticileri, krizleri hafifletmek ve bunlara hızlı bir şekilde tepki vermek için kapasitelerini artırmak istiyor
Gerçek ve sanal dünyalar için harekete geçilebilir istihbarata yatırım yapmayı planlayan yöneticiler, aynı zamanda olumsuz sonuç olasılığını azaltmak için kararlı ve zamanında harekete geçebilme yeteneklerini de geliştirmeleri gerektiğini anlıyorlar. Olumsuz bir olayın gerçekleşmesini önleyemedikleri takdirde, etkisini en alt düzeye indirgeyecek şekilde bu olayı yönetebilmeli ve durumu potansiyel olarak avantaja çevirebilmeliler (örneğin olumsuz bir durumda iyi bir vatandaşlık örneği göstermek gibi). Bu, iş sürekliliği planları ve kriz yanıt yeteneklerinin yanında komut ve kontrol mekanizmalarına daha fazla yatırım anlamına gelir. Bunlar, düzenli bir şekilde düzenlenen eğitimler ve hem sanal hem de gerçek dünyada gerçekleştirilen testlerle desteklenmelidir. Yönetim kurullarının bu yatırımlara istekli olup olmayacakları elbette değişecektir. Ama olay gerçekleştikten sonraki istek her zaman daha fazla olacaktır. - Bu ihtiyaçların karşılanabilmesi için sigortacılık alanında değişiklikler yaşanıyor
Sonuç olarak, yukarıda anlatılanlarla bağlantılı olarak sigorta şirketleri kurumsal talepleri karşılayabilmek için “gri kuğu” risklerini sigorta araçlarına taşıyor. Örneğin önde gelen sigorta şirketlerinden biri olan Hiscox, geçtiğimiz aylarda siber fidye olaylarından, kasırga sonrası yağmalara kadar birçok güvenlik olayını güvence altına alan “Security Incident Response” poliçesini şirketlerin hizmetine sundu. Diğer şirketlerin de benzer poliçeleri çıkarmaya başlaması daha şimdiden bu tarz sigorta ürünlerinin şimdiden ileride popüler hale geleceğini gösteriyor. Önümüzdeki yıl birçok şirketin güvenlik gündemi genellikle bunlardan oluşacak. Elbette şirketlerin karşısına sektör ve pazardaki risklere bağlı olarak farklı ihtiyaçlar da çıkacak. Şu an için bunlar hakkında bir şey söylemek zor. Control Risks’in önümüzdeki günlerde yayınlayacağı yıllık RiskMap raporu, 2018 yılının gündeminin daha iyi belirlenmesine yardımcı olacak. Emin olduğumuz tek şey ise 2018’in önceden tahmin edilmesi çok güç bir dünyada risk almayı düşünen şirketler için çok daha zorlu bir yıl olacağı.
