Üzgünüz, tarayıcınız Marsh.com'u desteklemiyor.

En iyi kullanım için lütfen tarayıcınızı yükseltin:

X
Türkiye TR
Americas
Asia Pacific
Europe
Middle East & Africa
Türk TR

2020 Türkiye Siber Risk Algı Araştırması

Marsh ve TÜSİAD iş birliğinde gerçekleştirdiğimiz “2020 Türkiye Siber Risk Algı Araştırması” ile Türkiye’de faaliyet gösteren şirketlerin siber risklere bakış açılarına, siber risk yönetim yaklaşımlarına, bu alandaki yatırım tercihlerine, dijital tedarik zincirlerine ve kamu politikalarına ilişkin iç görü sağlamak amaçlanmıştır.   

Temel Bulgular

Siber Risk Farkındalığı ve Algısı

Siber risk şirketler için gün geçtikçe önem kazanan bir gündem konusudur.

  • Türkiye’de siber güvenlik, reel sektörün son dönemde daha fazla odaklandığı ve daha sık gündemlerine giren bir alandır.
  • Kurumların siber riskleri diğer risk başlıkları gibi önemsemeleri ve yönetmeleri gerektiğine yönelik farkındalık seviyesi artan bir trend göstermektedir. 
  • Türkiye’de risk yönetimi ve/veya bilgi teknolojilerinden sorumlu çalışanların %9’u kurumunun karşı karşıya olduğu en büyük riski siber tehdit olarak görmektedir. 2019 yılında benzer bir katılımcı kitlesi ile gerçekleştirilen Global Siber Risk Algı Araştırması’nda bu oran %22 düzeyindedir ve raporda siber risklerin her geçen gün daha da önem kazandığı ifade edilmektedir. Bu sonuçlar Türkiye’nin siber risk farkındalığı açısından henüz global şirketlerin oranını yakalayamadığını göstermektedir.
% of organizations reporting different levels of confidence. Base: All answering n=878 (2019); Results for this option only show for businesses with US$1 billion+ revenues (n=215). Technology Suppliers 15% highly confident: 62% Fairly confident, 13% Not at all confident, 10% Don't know Suppliers of Outsourced Business processes: 8% highly confident, 55% Fairly confident, 23% Not at all confident, 23% Don't know Other Services or Product Suppliers: 6% highly confident, 55% Fairly confident, 22% Not at all confident, 17% Don't know Freelancers and Consultants: 6% highly confident, 47% Fairly confident, 30% Not at all confident, 18% Don't know Acquisition Targets or Recent Integrations*: 5% highly confident, 46% Fairly confident, 21% Not at all confident, 28% Don't know

Siber güvenliğe yönelik farkındalık ve yatırım büyük ölçüde siber saldırı deneyimi ve regülasyonlarla tetiklenmektedir.

  • Kurumların bu konudaki genel eğilimi ‘bekle-gör’ davranışı üzerinden şekillenmektedir. 
  • Kurumların kendileri ya da tanıdıkları/ bildikleri bir kuruma yönelik bir problem/tehdit ile karşılaşmadan siber riski fark etme ve aksiyona geçme pratiğine sahip olmadıkları gözlemlenmektedir. Bir başka deyişle riskin varlığının kabul edilmesi ve önlem alınması için temel tetikleyici riskin gerçekleşmesi gerekmektedir (%78). 
  • Siber atakların bugüne kadar, işlerin yavaşlamasına-durmasına ve/veya finansal zarara sebebiyet verebilecek bir vaka yaşatmamış olması, siber güvenlik konusunun gündemde gerilerde kalmasının gerisindeki temel nedendir.
  • Siber güvenlik yönetimine yatırım yapan kurumların %77’si regülasyonların teşvik edici etkisi olduğunu belirtmektedir. 
  • Havacılık, finans, bilgi teknolojileri, enerji ve üretim sektörlerinde yer alan kurumların siber riskin yönetimi konusunda nispeten daha hassas ve bilgili davrandıkları görülmektedir. Buna, söz konusu sektörlerin doğası gereği risk ile karşılaşma olasılığının yüksekliği de eklendiğinde içselleştirme artmaktadır.
  • Devletin yasa ile çerçevesini çizdiği ve takip ettiği konular kurumlar tarafından hem daha çok dikkate alınmakta hem daha çabuk içselleştirilmekte ve prosedürlere geçirilmektedir. Bu bağlamda KVKK, GDPR, ISO ve dünya/Avrupa standartları; EPDK, BDDK gibi sektör denetleme kurumları ile halka açılma süreçlerinden geçen/geçmiş kurumların SPK tarafından belirlenen mecburiyetleri siber risk konusunda harekete geçmeyi etkileyebilmekte ve yol göstermektedir. 

COVID-19 ve son hızla devam eden dijital dönüşüm hem siber risk farkındalığını hem de risk olasılığını arttırmaktadır.

  • Kurumların teknolojiyi kullanma kapasitesi arttıkça ve dijitalleşme sürecinde ilerledikçe siber risklerin varlığına yönelik farkındalık da artmaktadır. 
    • COVID-19 salgının etkisiyle her alanda hızlanan dijital dönüşümün hem farkındalığı arttıracağı hem de kurumları siber risk yönetimine yönelik daha fazla aksiyon almaya teşvik edeceği görülmektedir. 
    • Nitekim, bu süreçte birçok kurumun tam olarak hazır olmadan hayli hızlı biçimde dijitalleşmesinin, atak/saldırı olasılıklarını yükseltmesi beklenmektedir.

Siber Risk Sigortası

  • Siber riski yönetimi konusunda adım atmaya başlamış olan kurumların, kısa ve orta vadeli planlarının içine siber yönetim stratejilerinin alınabilmesi önemli bir gelişme olacaktır.
  • Bu gelişmenin önemli bir adımı siber risk sigortasıdır. Şirketlerin siber güvenlik alanındaki olgunlukları, siber risk sigortasına yatkınlıklarını olumlu yönde etkileyecektir. 
  • Kurumların büyük çoğunluğunun siber risk sigortası hakkında yeterli bilgiye sahip değildir. Bu durum; sigortanın kapsamına güvenilmemesi ile birlikte siber sigorta alınmasının önündeki en önemli bariyerlerdendir. 
  • Siber risk sigortası sahiplerinin %86’sı sigortanın kendilerini koruyacağına güven duymaktadır, bu oran sigorta sahibi olmayanlarda %34 düzeyindedir.
  • Siber risk sigortası sunan kurumların da poliçe alımı süreçlerini şirkete özel tasarlaması, primlerin hesap sistemini şeffaflaştırması, kurumun ihtiyaçları ile ürün detayları arasında belirgin bağ ve referanslar oluşturması önemlidir. Bu durum siber risk sigortası ihtiyacının üst yönetime detaylı anlatılması ve yöneticilerin ikna edilmesi konularında siber güvenlikten sorumlu ekip ve yöneticilerin işini kolaylaştıracaktır.
% of organizations reporting different levels of confidence. Base: All answering n=878 (2019); Results for this option only show for businesses with US$1 billion+ revenues (n=215). Technology Suppliers 15% highly confident: 62% Fairly confident, 13% Not at all confident, 10% Don't know Suppliers of Outsourced Business processes: 8% highly confident, 55% Fairly confident, 23% Not at all confident, 23% Don't know Other Services or Product Suppliers: 6% highly confident, 55% Fairly confident, 22% Not at all confident, 17% Don't know Freelancers and Consultants: 6% highly confident, 47% Fairly confident, 30% Not at all confident, 18% Don't know Acquisition Targets or Recent Integrations*: 5% highly confident, 46% Fairly confident, 21% Not at all confident, 28% Don't know

Siber Risk Yönetimi

Siber risk yönetiminde yetkin ve yeterli insan kaynağı açığı en önemli konu olarak karşımıza çıkmaktadır.

Kurumlarda siber risk konusundaki sorumluluk genellikle IT/BT ekiplerinin üzerindedir (%77).

  • Siber risk bu ekiplerin ana iş değildir. Bu nedenle de siber risk yönetimi açısından temel beklentinin atak ya da risk oluştuğunda önlem almak ya da aksiyon almak olarak çerçevelediği görülmektedir. Risk potansiyelinin ölçümlenmesi, etki analizi, modelleme ve önlem stratejileri gibi konular daha geri planda kalabilmektedir. 
  • Kurumların büyüklüğü ve sektörel yapısına göre siber güvenlik sorumluluğu  CTO/CIO/CSO/CICO pozisyonlarından biri ile paylaşılmakta, bir başka deyişle süreci C seviyesi yönetmektedir (%75). Özellikle bu seviyedeki yöneticilerin konuya yaklaşımları kurumun farkındalığını ve stratejisini doğrudan etkilemektedir.
  • Yatırım kararı için en önemli dayanak noktası yine sektörden örnekler, dünyada/Türkiye’de benzer kurumların yaşadığı olumsuz deneyimlerdir. Büyük ölçekli kurumlar doğru bir strateji kurabilmek için tarafsız bir kurumdan danışmanlık alabilmektedir (%56). 

Şirketler riskin tespiti ve yönetiminden çok azaltılmasına odaklanmaktadır.

  • Şirketlerin risk yönetimi konusundaki öncelikli refleksi riski, azaltıcı uygulamaları hayata geçirmektir (%78). 
  • En çok cihazların güvenliğini arttırma,  sisteme/ ağlara hem şirket içinden hem de dışından erişimi daha güvenli hale getirmeye yönelik yatırım yapılmaktadır.
  • Siber riski ölçme, yönetme ve önleme süreçleri belirgin yatırımlar istemektedir. Bunların başında altyapı, organizasyon ve insan kaynakları gelmektedir. 
  • Şirket yönetimlerinin bu yatırımları yapmaya konusunda daha çekimser davranabilmekte bu aşamalarda daha penetrasyon, zafiyet analizleri ile yetinilmektedir(%50).

Yeni Teknolojiler ve Siber Riskler

Temel Bilişim Teknolojileri hem çok cazip hem de çok riski bulunmaktadır. 

  • Temel bilişim teknolojileri şirketlerin operasyonlarında önemli bir yere sahiptir.  (%77). 
  • Şirketlerin büyük bölümü yeni teknolojileri kullanma kararı aldıktan sonra risk değerlendirmelerini keşif ya da başlangıç aşamasında yapmaya başlamaktadır. Ancak risk tespiti konusunda refleksleri gelişmemiş kurumlarda (%33) bu değerlendirme daha sonraki aşamalara bırakılabilmekte ve bu nedenle etkin sonuçlar alınamamaktadır.

Tedarik Zincirinde Siber Risk Yönetimi 

Siber güvenlik açısından tedarikçiler önemli risk kaynağı olarak görünmektedir.

  • Kurumların %70’i tedarikçilerin siber güvenlik açısından risk taşıdığını düşünmekte, %36’sı ise bu risk düzeyini yüksek bulmaktadır.
  • Özellikle dış kaynaklı hizmet sağlayıcıları ve geçici çalışanlar/ danışmanlar bu açıdan kurumların yumuşak karnı olarak tanımlanmaktadır.

Kamu Etkisi

Kamunun farkındalığı arttırma ve yatırıma teşvik etme gücü önemlidir ancak beklenti bununla sınırlı değildir.

  • Yasa ve yönetmeliklerinin kurumların siber risk farkındalıkları üzerinde ‘mecburi’ bir etki gücü bulunmaktadır. 
  • Sektör temsilcilerinin kanun koyucular ile bir araya gelip görüş bildirmeleri, kuralların sektörler özelinde detaylı tasarım süreçlerine dahil olmaları beklenmektedir.

Sonuç: 

Araştırmamızın sonucunda şirketlerin takip edebilecekleri iyi uygulamalardan birkaç tanesi şu şekilde özetlenebilir;

  • Siber risk yönetimi konusunda bütünsel bir bakış açısı değişikliği gerekmektedir. Bunun için eğitim ve bilgilendirme şarttır. Siber risk eğitimlerinin, şirket oryantasyonların bir parçası haline getirildiği, bilinçlendirme pratiklerinin şirketlerin tüm iş birimlerine entegre edildiği yapılar kurulmalıdır. 
  • Sektörlerin büyük bölümünde siber riskler konusunda bir farkındalık eksiği söz konusudur. CISO ya da şirketin temel yetki odağının tüm iş birimleriyle daha yakın temasta olup, yukarıdan aşağıya siber farkındalığı artırıcı mahiyette sürekli iletişimde bulunması gereklidir. Anlatımın yanı sıra birtakım risklerin nasıl oluşabileceğini ve etkilerini uygulamalı olarak göstermek etkili olacaktır. 
  • Organizasyonel değişimler ve insan kaynakları yönetimi yapılmadan etkin bir siber risk yönetimi yapılması mümkün görünmemektedir.
  • Kamunun süreçleri daha belirgin biçimde ancak diğer yandan sektörel farklılıkları da göz önüne alarak tarif etmesi, şekillendirmesi beklenmektedir.

Marsh.com giriş

Please log in to access the full marsh.com site.

Şifremi unuttum Kayıt ol

*Zorunlu