Etiket arşivi: Adil Burak Sadıç

english

How can a CEO survive and thrive in the digital age?

Yorum yapın

Over the past 20 years CEOs have witnessed tremendous upheavals as a result of globalisation and technological change. In the PwC 20th Annual Global CEO Survey, nearly 1,400 CEOs share their views on the impact of these forces on growth, talent, trust and society.

In this survey a sizeable number of CEOs are firmly convinced that, in an increasingly digitalised world, it’s harder for businesses to gain – and retain – people’s trust. They also think it’s become more important both to run their companies in a way that addresses wider shareholder expectations and to establish a strong corporate purpose that’s reflected in their organisation’s values, culture and behaviour.

So which risks arising from connectivity concern CEOs most? When ‘technology’ and ‘trust’ pop up in the same sentence, most of us automatically think of how reputations are made and lost overnight through mass communications. And, indeed, 87% of CEOs believe social media could have a negative impact on the level of stakeholder trust in their industry over the next five years. But as new technologies and new uses of existing technologies proliferate, they say new dangers are emerging – and old ones are getting worse.

It is no wonder as many companies already collect a vast amount of customer data, which they use to target specific customers and influence their behaviour, often in very subtle ways. As the Internet of Things (IoT) spreads to everything from wearables to consumables, cars, and every conceivable part of the home, what companies know about people will increase exponentially.

This data is an incredible asset for companies and their customers. It enables businesses to deliver a better service, develop closer relationships with their customers and earn their trust. It enables customers to get more targeted offerings and engage with companies in more meaningful ways. But what happens if a company crosses the line between anticipating customers’ needs and intruding on their privacy, or if a government tries to access the data in an effort to control security risks? And what happens if the data gets lost or stolen and ends up in the hands of criminals? Even worse, people’s physical security could be compromised, as cars and homes become increasingly connected.

The growing use of data in the workplace also poses new trust issues. As HR departments slowly but surely increase their use of data analytics, talent management is turning from an inexact art into a science. But monitoring employees’ activities in – and out of – work can quickly turn sour. What are the limits of the information companies can gather? How transparent is the use of that data in making decisions about employee rewards or penalties?

CEOs recognise the complexity of the situation. A full 91% say breaches of data privacy and ethics will have a negative impact on stakeholder trust in the next five years, and 89% are already on the case. However, CEOs in the largest companies are doing much more to address these areas than those in the smallest firms.

Security breaches aren’t confined to customer data; cyber spying is now a major threat in some industries, for example. Businesses in key areas like infrastructure, energy and banking are particularly prone to attacks. This explains why so many CEOs worry that breaches affecting business-critical information and systems could also impair public trust in their industry. The vast majority are already taking steps to try and forestall such problems – although, again, it’s the largest firms that are most active in this regard.

The companies that are most effective in addressing these issues will be those that are not only strengthening their IT security, risk and governance strategies, but also collaborating with government (for example, to create the right regulatory environment for public clouds, which can offer better end-to-end security and privacy management) and engaging with stakeholders. They will need to decide what levels of transparency stakeholders should be entitled to and how to balance competing interests, as well as educating people on how to manage their technology footprint. Employers will also have to consider how much information it is necessary or acceptable to gather on their people, and how open they should be about what they’re collecting, and why and how it will be used.

IT outages and disruptions are another source of concern. If the lights go out in a world that’s heavily reliant on technology, the consequences can be extremely disruptive. What happens if customers can’t access their money when they need it, or if their connected homes lock them out? Deeply inconvenient though such incidents are, they pale into insignificance next to the physical risks that will arise as we become more connected. Picture, for instance, the sort of accident that might occur as a result of a computer glitch in one or more smart cars.

It’s no wonder so many CEOs fear that IT outages and disruptions could impact stakeholders’ trust and why so many are taking action. But addressing such risks is very difficult. The complexities and interdependencies of enterprise systems are a big problem.

Behind automation, robots and smart machines lie algorithms. These may be nothing more than instructions for computers to achieve particular outcomes, but they shape lives to a much bigger extent than many people imagine. The way we navigate websites, how we interact with connected devices, how the growing gig economy works: all are influenced by code. This raises questions about what safeguards are needed to ensure that machines carry out human orders effectively, in the way they were intended. It also raises various ethical questions. To what extent, for instance, is it acceptable to influence human choices? And can the humans who write these codes – or the companies they work for – be trusted?

A trust strategy for a digital age

In some respects, digital connectivity has made us more trusting; in the sharing economy, for example, consider how many people let strangers stay in their homes or buy from businesses they’ve never heard of before. In other respects, digital connectivity has eroded trust by creating new threats and exposing organisations to far more scrutiny. The growing complexity of technology and the increasingly distributed way in which we work, with greater individual autonomy, have also made it much harder for companies to build trust – or rebuild it, once it’s been lost. And no firm gets it right every time, which is why effective crisis management is as crucial as robust risk management.

But if forfeiting people’s trust is a sure-fire route to failure, earning their trust is the single biggest enabler of success. As an example, the take progression from assisted to augmented to autonomous intelligence heavily which depends on how much consumers and regulators trust machines to operate on their own. That, in turn, depends on whether those who create the machines have the right risk and governance structures in place, the means to verify and validate their claims independently and the mechanisms to engage effectively with stakeholders.

In short, trust is an opportunity, not just a risk. Many CEOs believe that how their firm manages data will be a differentiating factor in future. These CEOs understand that prioritising the human experience in an increasingly virtual world entails treating customers with integrity.

But, how? As a start, below quoted are the five tough questions for CEOs about gaining from connectivity without losing trust:

  1. Does your CIO know the extent to which the technology you’re investing in today will affect how your stakeholders trust you tomorrow?
  2. What are you doing to protect customer and employee data from theft, loss or misuse – and how robust are those strategies?
  3. How can you build the right infrastructure for collecting, managing, governing and securing data?
  4. As cybersecurity risks increase, have you got clear protocols in place for when systems go down and inconvenience your customers?
  5. What can you do to measure and leverage trust in your brand as a competitive advantage?

@AdilBurakSadic

Source: PwC 20th Annual Global CEO Survey, 2017

 

Makale & Analiz

Halkla İlişkiler ve Pazarlama Liderlerine Tavsiyeler (KVK-3)

Yorum yapın

Kişisel Verilerin Korunması Kanunu takviminde altıncı ayı doldurduk. Bu ne anlama geliyor? Kanunun yayınlanmasından sonra toplanan ve işlenen kişisel veriler söz konusu olduğunda artık tüm cezalar yürürlükte. Takvimdeki başka adımlarda gecikmeler söz konusu olabilir, ama kişisel verileri korumakla yükümlü şirketlerin ve kurumların sorumluluğu değişmeyecek.

Takvimle ilgili kısa güncellemeden sonra başlıktaki konuya geçelim. Yani, halkla ilişkiler ve pazarlama liderlerinin bu kanunla beraber üstüne düşen görevler neler?

İLGİLİ YAZI>> Kişisel verilerin korunması yolculuğu – 1. Bölüm

Öncelikle ilgili yazı dizisinin üçüncü bölümünde neden bu başlığı seçtim? Sebebi oldukça basit. Kişisel verilerin korunması kanununa uyum sağlayamayan şirketleri önemli cezalar bekliyor, ama daha da önemlisi kurumsal itibarın göreceği zarar. Halkla ilişkiler ve pazarlama liderlerinin en önemli sorumluluğunun da kurumun markası ve itibarının korunması ve yüceltilmesi olduğunu düşününce bu konuda aktif sorumluluk üstlenmeleri kaçınılmaz.

Çoğu kurumda halkla ilişkiler ve pazarlama aynı liderin sorumluluğu altında. Konunun uzmanları genellememe katılmayabilir, ama benim gördüğüm kadarıyla yine çoğu kurumda halkla ilişkiler uzmanları pazarlama yöneticisine bağlı olarak çalışıyor. Hatta küçük şirketlerde pazarlama ekibi tarafından koordine edilen bir ajans halkla ilişkileri yönetiyor. Bu genellemelerden de yola çıkarak, yazının bundan sonraki bölümlerinde CMO (Chief Marketing Officer) olarak adlandıracağımız yetkilileri neler bekliyor?

İLGİLİ YAZI >> Kişisel verilerin korunması yolculuğu – 2. Bölüm

Dijitalleşme ve büyük veri çağında CMO’lar dijital dönüşümde çok ama çok önemli bir rol oynuyorlar, oynamasalar da oynamak zorundalar. Yönettikleri iş birimi insan, teknoloji, büyük veri ve cihazları şimdiye kadar görülmediği oranda entegre olarak değerlendirmek ve yorumlamak zorunda. Tabii bu büyük dönüşüm risklerini ve sorumluluklarını da beraberinde getiriyor.

Tüketiciler her geçen gün kişisel bilgilerinin korunması konusunda daha da hassas hale geliyor. A.B.D.’de 2015 yılında yapılan bir anket katılımcılarının %42’si siber güvenlik konusunda endişe ederken, %45’i de kişisel bilgilerinin mahremiyetinin ulusal güvenlikten daha önemli olduğunu söyledi. Yine aynı ankete katılanların %77’si de kişisel bilgilerin korunmasıyla ilgili endişelerin Internet üzerindeki davranışlarını etkilediğini belirtti. Yani tüketiciler artık şüpheli sayfalardan ve şirketlerden alışveriş yapmıyorlar, onların ürünlerini ve hizmetlerini kullanmıyorlar. Bunun bir sonraki aşamasının da kişisel verileri koruyamayan sigorta şirketlerini kullanmamak ve hasta bilgilerini mahrem tutamayan hastaneleri tercih etmemek olacağını söylemek için kahin olmaya gerek yok.

Genellikle pazarlama ve halkla ilişkiler birimleri bilgi teknolojileri, hukuk, uyum ve siber güvenlik gibi birimlere oldukça uzak çalışıyor. Yeni dünya ise tam tersini gerektiriyor.

Peki CMO’lar ne ya da neler yapmalı?

Kurumlarının siber güvenlik yönlendirme komitesine aktif katılım sağlamalı
Her gün yeni bir veri sızıntısı haberi dünya basınına yansıyor. Özellikle de kişisel verilerin korunması kanunu’nun 12. maddesi uyarınca bu sızıntıların duyurulması mecbur olunca, Türkiye’de de benzer haberleri sıkça duyacağız. Kişisel veri sızıntıları şirketlerin itibarı ve markasına önemli zararlar verebiliyor, ama asıl tehlike kurumların haberi bile olmayan sızıntılar. Sadece kişisel veriler değil, kurumların satış ve pazarlama planları, ticari sırları, araştırma ve geliştirme sırları gibi kurumlar için hayati önem taşıyabilecek bir çok bilgi siber saldırganlar tarafından çalınıp rakiplere satılıyor olabilir. Hal böyleyken CMO da kurum siber güvenlik yönlendirme komitesinde CTO, CIO, CISO (bilgi güvenliği yöneticisi), kurum hukuk müşaviri ve uyum yöneticisinin yanında yerini almalı. Hatta kurumda böyle bir komite yoksa kurulmasını tavsiye etmeli.

Bilgi Teknolojileri ve Bilgi Güvenliği ekipleri ile koordineli çalışmalı
Dijital teknolojilerin birleştiği günümüz dünyasında pazarlama ve teknoloji arasında bir sınır kalmadı. Eğer CMO’lar dijitalleşmenin avantajlarından faydalanmak istiyorsa, hem ilgili teknolojilerin sorumlusu CIO ve CTO ile yakın temasta olmalı, hem de siber güvenlik ve mahremiyet risklerini kendisine en iyi anlatacak kişi olan CISO’ları muhakkak karar verme süreçlerinin içine güvenilir bir danışman olarak eklemeli. Bu sayede hem kurumun geleceğini etkileyecek risklere karşı bir önlem almış, hem de bu önlemleri almamış rakiplere karşı önemli bir avantaj sağlamış olacak.

Siber güvenlik ve kişisel verilerin korunması konularından sorumlu bir kişi atamalı
Yoğun CMO ajandaları kendi işleri dışında bir konuyla ilgilenmeye izin vermeyebilir. Daha da önemlisi siber güvenlik ve kişisel veriler gibi uzmanlık gerektiren alanlarda sadece aynı dili konuşabilmek bile adanmışlık gerektirecektir. Bu sebepten ötürü, CMO bu konularda sağ kolu olarak hareket edecek ve bağlantı noktası olacak bir kişi atamalı. İlgili personel aynı zamanda yeni dijital ürünlerin geliştirilmesinde BT ekiplerine de destek olabilir.

Tehdit coğrafyasından haberdar olmalı
Bir siber kriz kurumu vurduğu zaman kriz masasında en aktif sorumluluk alacak kişilerden birisi de CMO. Kriz sırasında doğru ve zamanlı açıklamaların önemi de tartışmasız olduğuna göre CMO’lar kurumlarına yönelik tehditlerden muhakkak haberdar olmalı. Bunun için de CMO’lar hem kurum CISO’su ile düzenli olarak görüşmeli, hem de -eğer düzenleniyorsa- kurumsal üst yönetimlere yönelik siber kriz simülasyonlarına muhakkak katılmalı.

Veri yönetişimine önem vermeli
Kişisel verilerin nasıl toplandığı, saklandığı, korunduğu ve kullanıldığı çok önemli. Bir önceki yazıda ele aldığım gibi kişisel verilerin korunması başlığında bir projenin ilk adımı da bu konudaki bir keşif çalışması olmalı. Bu konuda yaptığımız projelerde pazarlama ekipleri hep önemli rol oynadı. Özellikle sosyal sorumluluk ve reklam anahtar kelimeleri söz konusu olunca, normalde bireysel tüketici ile direkt olarak çalışmayan kurumlarda bile halkla ilişkiler birimlerinin kişisel verilerle çok ama çok ilişkili olduğunu gördük. Özetle, kişisel bilgilerin korunması ile ilgili kavramlar ve önlemler halkla ilişkiler ve pazarlama süreçlerinin entegre bir parçası haline getirilmek zorunda.

Kurum çalışanları da unutulmamalı
Küresel örneklere baktığımızda, şirketlerin bazen sadece dış tehditlere ve müşteri verilerine odaklandığını görüyoruz. Ama kişisel verilerin korunması söz konusu olduğunda iç tehditler de eşit oranda tehlikeli. Keza söz konusu kişisel bilgiler olduğunda kurum çalışan bilgilerinin de uygun olarak korunması ve işlenmesi gerekiyor. Bu bağlamda CMO’ların insan kaynakları liderleri ile de yakın temasta olması çok önemli.

Yazımı tamamlarken, üstteki başlıklar ve tavsiye edilen aksiyonların ayrı ayrı incelenip ilgili şirketlerin kurumsal öncelikleri doğrultusunda değerlendirilmesinin öneminin de altını çizmem gerekiyor. İlave bilgi isteyenler için, bu yazıyı hazırlarken ana referans olarak kullandığım A CMO’s Data Privacy Primer: 6 Things to Know makalesinde başka önemli noktalara da değiniliyor.

Kişisel verilerin korunması yolculuğu hakkındaki bir sonraki yazıda görüşmek dileğiyle…

SİBER BÜLTEN HAFTALIK BÜLTENİNE ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]
Makale & Analiz

Kişisel Verilerin Korunması Yolculuğu: 1. Bölüm

Yorum yapın

Yolculuk Başlıyoooooooooor!

Kişisel Verilerin Korunması Kanunu onaylandığında ilk yorumum bu olmuştu. Hatta geçenlerde bu konudaki bir etkinlikte yaptığım sunumda da yolculuk temasını fazlaca kullanınca çevremden “Yolculuk kelimesini çok fazla kullandın, neden?” yorumu bile aldım. Peki neden bu bir yolculuk?

Geleceğin ekonomisinde geçer akçenin “veri” olduğu aşikar. “Veri temelli ekonomi” için en önemli sermaye ise bireylerin ve kurumların dijital varlıkları. Google, Facebook ve Twitter gibi şirketler hizmetlerini sizce neden ücretsiz olarak sunuyorlar? Kişisel verilerimizin işlenmesi ve ilişkilendirilmesi üzerine kurulu bu yeni ekonomik modelde bireylerin hakları nasıl korunabilir?

BURAK SADIÇ’IN DİĞER KÖŞE YAZILARINA ULAŞMAK İÇİN TIKLAYIN

Dünyadaki mevcut duruma baktığımızda kişisel verilerin korunması ile ilgili kanun ve yönetmeliklerin geçmişi oldukça eskiye dayanıyor. “Data Protection Law”, “Privacy Act” ve benzeri anahtar kelimeler üzerine yapacağınız kısa bir arama size bu konunun geçmişini ve derinliğini gösterecektir. Konunun başlangıcı olarak kabul edilebilecek “Privacy Act” 1974’ten beri A.B.D.’de yürürlükte ve hemen hemen tüm eyaletlerde verinin toplanmasından imhasına kadar geçen tüm süreçler için yasalar var.

Coğrafi ve hukuki olarak bize daha yakın olan Avrupa’da da durum çok farklı değil. 1995’te yayımlanan direktif sonrasında yaşanan tecrübelerle 2016 yılında tüm Avrupa Birliği ülke yasalarının üzerinde olacak “General Data Protection Regulation” (GDPR) yayımlandı. Bu kanunları teknoloji ve dijitalleşmenin kontrol edilemez yaygınlaşmasını dizginlemek için alınan hukuki önlemler olarak da yorumlamak mümkün.

Yukarıdaki paragraflarda kısaca bahsettiğim küresel örneklere bakınca ilgili mevzuatlarda 20, 30 hatta 40 senelik bir olgunlaşma süreci olduğunu görüyoruz. Tabii bu sadece hukuki olgunlaşma değil, toplumsal ve kurumsal olgunlaşmaya da işaret ediyor. Kişisel veri konusundaki haklarını bilen bireyler, buna saygı duyan şirketler, tüm bu gerçeklere göre tasarlanan süreçler ve organizasyonlar…

Hal böyle olunca Kişisel Verileri Koruma Kanunu sonrasındaki döneme de bir yolculuk olarak bakmak gerekiyor. Yolculuğun henüz çok başındayız, o yüzden mevzuattaki eksiklikler ya da uygulamadaki  aksaklıklar yüzünden yolun başlangıcında bazı zorluklara rastlanması çok doğal. Daha da önemlisi bireysel, kurumsal ve hatta toplumsal olarak veri temelli ekonomiye alışmamız da zaman alacak.

Kanun ve ilgili yönetmelikler özellikle de veri güvenliği konusunda önemli yaklaşım farklılıklarını da beraberinde getirecek. Bu konuda neler yapılabilir, bu da bir sonraki yazının konusu. “Doğru yaklaşım nedir?”,  “Teknoloji tek başına bir çözüm mü?” gibi soruların cevapları için bir sonraki yazıda görüşmek üzere.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]

Makale & Analiz

Hackerların bir sonraki hedefini korumak: 10 adımda OT güvenliği

Yorum yapın

Bugünlerde siber güvenliği manşetlere taşıyan  DDoS saldırılarının ilk dalgası Türkiye DNS’lerini, ikinci dalgası ise kamu kurumlarını ve büyük bankaları hedef aldı. Bir güvenlik profesyoneli olarak beni asıl endişelendiren ise bundan sonraki dalgalar. Amaç ülkenin kritik altyapılarını çalışmaz hale getirmek ise bir sonraki adımda hedef enerji, su ve ulaşım gibi sektörler olacak. Ve maalesef bazı istisnalar dışında bu sektörlerin siber güvenlik alanındaki farkındalığı ve yatırımları finans ve telekomünikasyon sektörlerine göre çok daha zayıf seviyede.

İLGİLİ HABER >> İRANLI HACKERLAR AMERİKAN BARAJINA SIZMIŞ

Bu zayıflığın en temel sebeplerinden birisi ise yukarıda bahsedilen sektörlerin son birkaç seneye kadar siber güvenlik denildiği zaman sadece kurum bilgi teknolojilerine (BT) odaklanması. Elektrik üretimi yapan bir santral ve bu santralin bağlı bulunduğu şirket merkezini düşünün. Sizce şirket merkezinin bilgisayarlarının çalışmaması ve şirketin müşteri ve çalışanlarının bilgilerinin ifşa olması mı, santralin elektrik üretiminin durması mı daha kritiktir? Ya da bir havayolu şirketinin yolcularının kimlik ve kredi kartı bilgilerinin Internet üzerinde yayınlanması mı, bu havayolunun uçaklarının uzaktan kontrol edilebilmesi mi kulağa daha korkutucu geliyor?

HABER >> SİBER ALANIN EN İDDİALI 10 START-UP’I

Endüstriyel süreçleri kontrol eden donanım ve yazılımları operasyonel teknolojiler (OT) olarak tanımlayabiliriz. Geçmişte özel tasarım donanımların ve gömülü yazılımların ağırlıklı olduğu bu alanda artık çoğu kritik sistem Unix, Linux ve hatta Windows temelli işletim sistemleri barındırıyor. Ve uzun yıllardır bu sistemlerin izole olmasından kaynaklanan sahte bir güven havası yaratılmış durumda. Bu sebepten ötürü OT sistemleri BT sistemlerine göre güvenlik açısından çok geride ve arayı kapatmaları için çok da zamanları kalmadı. OT sistemlerine yönelik saldırılarda milat olarak kabul edilen Stuxnet zararlı yazılımı sonrasında Pandora’nın kutusu açıldı ve kapatmak mümkün değil.

Peki, siber güvenlik alanında yatırım yapmak ya da en azından en temel açıklarını kapatmak isteyen OT sistemlerine sahip kurumlar hangi noktalara odaklanmalı? Aşağıdaki on maddeyi[i] değerlendirmek güzel bir başlangıç olabilir:

  • OT sistemlerine kendi ağları dışından yapılan tüm erişimler denetlenmeli.
  • Uzaktan bağlanılması gereken OT sistemlerine yapılacak bu bağlantılar için yeterli güvenlik ve kontrol mekanizmaları kurulmalı.
  • Güvenlik güncellemeleri sürecine muhakkak OT sistemleri de dahil edilmeli.
  • Hem sistem, hem de kullanıcı parolaları gözden geçirilip en iyi uygulamalar dahilinde yönetilmeli.
  • BT ve OT sistemleri arasında, kuralları özenle belirlenmiş güvenlik duvarları konumlandırılmalı.
  • OT sistemleri BT sistemlerine bağımlı olmamalı, iki ağ arasında muhakkak bir geçiş bölgesi (demilitarised zone – DMZ) bulunmalı.
  • BT ağına OT ağından yapılan bağlantılar da denetlenmeli.
  • OT ağları kendi içlerinde kritiklik seviyesine göre bölümlere ayrılmalı.
  • OT ağlarından Internet’e bağlantı yapılmamalı, yapılıyorsa da izlenmeli.
  • Kablosuz OT ağlarında kuvvetli şifreleme ve kimlik doğrulama sistemleri kullanılmalı.

Bu on maddeden herhangi birisinin atlanması kurumlara ve hizmet verdikleri müşterilerine, hatta ülkelere bile zarar verilmesine zemin hazırlayabilir. Hal böyleyken kurumların daha güvenli hale gelmesi için iyileştirmelere nereden başlayacakları da önemli bir soru.

İlk adım bir bilgi güvenliği lideri atanması (CISO) ve bu liderin kurumsal organizasyon içinde mümkün olan en üst seviyeye raporlaması olmalı. Geçtiğimiz aylarda yayınlanan Küresel Bilgi Güvenliği Araştırması’na[ii] katılan kurumların yarısından fazlasında bir CISO olması ve bu CISO’ların da yarısından fazlasının direkt olarak CEO ya da yönetim kuruluna bağlı olarak çalışması bu konuda oldukça iyi bir gösterge.

Daha sonrasında da CISO’nun önderliğinde, kurum stratejileri ile örtüşen bir siber güvenlik stratejisi oluşturulması ve bu strateji çerçevesinde yukarıda bahsedilenler başta olmak üzere iyileştirmeler yapılması gerekiyor. Yatırımları planlarken de Bruce Schneier’ın meşhur cümlesi asla unutulmamalı: “Güvenlik bir süreçtir, ürün değil.”

[i] http://www.pwc.com.au/publications/cyber-savvy-securing-operational-technology-assets.html

[ii] http://www.pwc.com.tr/gsiss

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]
Makale & Analiz

Siber risk sigortaları nasıl ele alınmalı?

Yorum yapın

1 Ekim 2015’te düzenlenen ve konuşmacı olarak katıldığım NART Risk Management Forum 2015, siber risklerin yönetiminde siber risk sigortaları temalı Türkiye’de düzenlenen ilk etkinlik oldu. Bu etkinlikteki konuşmamda üzerinde durduğum bazı başlıkları özetleyeceğim bu yazı yanında, siber risk sigortaları hakkında daha detaylı bilgiye erişmek isteyenlerin, ilgili PwC makalelerini okumalarını da şiddetle tavsiye ederim .

Siber suçlar ve bilgi güvenliği konularındaki endişelerin hızla artışı, bu konunun önümüzdeki dönemde kurum üst yönetimlerinin dikkatle incelemesi ve değerlendirmesi gereken bir konu haline geleceğine işaret ediyor.

Siber güvenlikle ilgili olaylar, 2014 yılında bir önceki seneye göre %48 artış gösterdi ve bu olayların dünya ekonomisine yaklaşık 400 milyar dolarlık bir maliyeti olduğu tahmin ediliyor.  Bilgi güvenliği ile ilgili tehditlerin geldiği noktayı göstermesi açısından bir başka çarpıcı istatistik de günümüzde her gün 100.000’den fazla siber olayın gerçekleşmesidir. (Kaynak: The Global State of Information Security® Survey 2015)

Yani kaba bir ortalama ile bu konunun altını tekrar çizmek istersek; her saniye dünya üzerinde yeni bir siber olay gerçekleştiğini ve 10.000 dolardan daha fazla zarar oluştuğunu söyleyebiliriz. Böyle bir ortamda kurumların karşısına mevcut risklere ek olarak siber güvenlikten doğan risklerin de yönetilmesi gibi bir zorunluluk çıkıyor.

Kurumların siber güvenlikle ilgili risklerini, ya da kısaca siber risklerini nasıl yönetebilecekleri ise risk yönetiminin dört temel yöntemi ile özetlenebilir:

  1. Riskin Azaltılması.
  2. Riskin Kabul Edilmesi.
  3. Riskten Kaçınmak.
  4. Riskin Transfer Edilmesi.

Siber risk sigortaları bu dört yöntemden sonuncusu olan riskin transfer edilmesi için kullanılabilecek araçlardan birisi, belki de en önemlisi. Aslında siber risk sigortaları (cyber risk insurance) denildiği zaman bu kavram kurumların siber saldırılar karşısında göreceği direkt zararların teminini adreslese de biz yazı boyunca siber sorumluluk sigortalarını da (cyber liability insurance) aynı başlık altına dahil ediyor olacağız.

Geçmişte kısa bir yolculuk yapacak olursak ilk siber risk sigortası ürünlerinin 2000’li yılların başlarında Birleşik Devletler’de piyasaya sunulduğunu ve kullanıma alındığını görmekteyiz. Bunun en temel sebebi de kurumlara siber saldırıları, daha doğrusu kimlik bilgilerinin açığa çıkmasına yönelik siber saldırıları açıklama zorunluluğu getiren yasal düzenlemeler olarak gösterilebilir. İlk olarak 2003 yılında Kaliforniya eyaletinde yasalaşan bu düzenlemeler ülke genelinde hızlıca yaygınlaştı, 2015 yılı itibariyle de A.B.D.’deki 50 eyaletin 47’sinde yürürlüğe girmiş durumda. 2016 yılı başında yürürlüğe girmesi planlanan Avrupa Birliği Veri Koruması Direktifi’nde de (EU General Data Protection Regulation) kurumlara bu konuda ciddi yükümlülükler getirileceği göz önüne alınınca, çok yakında Avrupa Birliği vatandaşlarının mahrem bilgilerini tutan tüm şirketlerin bu ve benzeri risk yönetimi araçlarını değerlendirmesi ve devreye alması kaçınılmaz olacaktır.

Siber risk sigortalarına giderek hızlı bir şekilde artacağı öngörülen talep, sigortacılar için önemli bir ticari fırsat olmasının yanında bu endüstri için büyük kayıplar yaratma endişesini de beraberinde getirmektedir. Peki tüm bu bilgiler ışığında siber risk sigortalarını sürdürülebilir bir zemine oturtabilmek için gerekli risk değerlendirme, risk fiyatlandırma ve risk transfer yapıları nasıl oluşturulabilir?

Sigorta sektörü açısından düşünüldüğünde, siber riskler çoğunlukla terörizm ve doğal afetlere benzetilerek modelleme yapılmaya çalışılıyor. Ama bu başlık biraz olsun irdelenince eşi benzeri olmayan yepyeni bir risk türü olduğunu farketmek mümkün. Siber riskleri diğer risklerden ayıran temel özelliklerini ise üç maddede özetlememiz mümkün:

  1. Her geçen gün daha da sıklaşıyor ve daha çok zarara yol açıyorlar.
  2. Gerçekleştiklerinde oluşacak olan zararı sınırlamak çok zor.
  3. Oluştuklarında tespit etmek ve değerlendirmek hiç de kolay değil.

Yukarıdaki üç madde sigortacıların bu alandaki ürünlerini yaygınlaştırmalarını, ya da daha uygun fiyatlı poliçeleri müşterilerine sunmalarını oldukça zor bir hale getiriyor. Mevcut siber risk sigorta poliçeleri incelendiğinde sigortacıların temkinli yaklaştığı ve poliçelerdeki çeşitli kısıtlamalar ve yüksek prim/teminat oranları ile kendilerini korumaya çalıştığı görülüyor. Bu her ne kadar şu an hala bakir olan bu yeni alanda kabul edilebilir bir yaklaşım olsa da, müşteriler poliçelerin içeriğini ve gerçek değerini sorgulamaya başladığı zaman sürdürülebilir bir yaklaşım olmaktan çıkacaktır.

Bunun yanında unutulmaması gereken önemli bir gerçek de direkt bu alanda bir ürün sunulmasa da artık ihtiyari sorumluluk, ihmal, kaza ve iş sürekliliği gibi alanları kapsayan genel sigorta poliçelerine karşılık gelen teminat taleplerinin de siber riskler sonucunda gerçekleşiyor olabileceği. Bu bağlamda, tüm sigorta şirketlerinin siber risk başlığını ciddi olarak ele alması ve iş stratejilerinin bir parçası haline getirmesi kaçınılmaz görünüyor.

Yazının başında bahsettiğim veri mahremiyeti yasaları, A.B.D. sonrasında Avrupa Birliği vatandaşları için de yürürlülüğe girdiğinde ve ilişkili cezalar uçuşmaya başladığında, özellikle de mevzubahis ülkelerin vatandaşlarına yönelik hizmetler sunan kurumların siber risk poliçelerine olan taleplerinin artmasına kesin gözüyle bakılıyor. Bu gelişmeler sonrasında, sigorta endüstrilerini regüle eden otoritelerin siber risk sigortaları için de düzenlemeler getirmesi sayesinde, sigorta şirketlerinin bu tarz ürünleri keyfi poliçe koşulları ile sunmasının da önüne geçilecektir. Hal böyleyken, bu gibi düzenlemeler devreye alınmadan önce bu başlıklarda mesafe katedebilmiş sigortacıların, rakiplerinin önüne geçeceğini söylemek mümkün. Her endüstride olduğu gibi sigortacılık endüstrisinde de yenilikçi bir oyuncu, yepyeni bir yaklaşımla ve uygun fiyatlarla içeriği dolgun poliçeler sunmaya başladığında tüm rakiplerinin önüne geçmesi kaçınılmaz olacaktır.

Tüm bu bilgiler göz önüne alındığında, sigorta endüstrisinin siber riskleri sağlam temelleri olan ve sürdürülebilir bir şekilde iş planlarına dahil etmesi ve aşağıda özetlenen konu başlıklarının tüm sektör paydaşları tarafından dikkatlice değerlendirilmesi gerekmekte.

İLGİLİ HABER >> ABD’Lİ ESKİ BAKAN SİBER SİGORTA İŞİNE GİRDİ

Siber risk fiyatlandırmaları için kullanılabilecek yeterli aktüaryel veri olmadığı gerçeğinden yola çıkarak, şu an için bu konunun müspet bir bilimden çok sanata benzediğini söyleyebiliriz. Bu sebepten ötürü, konunun uzmanlarıyla siber risklerin müşteri ve poliçe bazlı olarak değerlendirilmesi daha gerçekçi ve sağlıklı fiyatlandırmalara zemin hazırlayabilir. Kurumların zafiyetlerinin ve olası tehditlerin etkin bir şekilde değerlendirilmesi için de siber güvenlik alanında faaliyet gösteren profesyonel hizmet şirketleri, teknoloji sağlayıcıları ve istihbarat örgütleri ile işbirliği düşünülebilir. Bu işbirliği sayesinde genel poliçe şartları yerine özelleştirilmiş poliçeler sunulması, ilgili poliçeleri müşteriler için daha kullanılabilir hale getirecektir.

Sektör paydaşlarının veri paylaşımında bulunması, siber riskler sonucunda oluşacak zararların en doğru şekilde tahmin edilebilmesini sağlamak için çok önemli. Kurumlar ve sigortacıları, itibar ya da rekabet avantajı gibi sebeplerden dolayı yaşadıkları olayları bildirmeye çekiniyor olabilirler. Ama tüm dünyada yaygınlaşmaya başlayan kanunlar dolayısı ile zaten yasal olarak mecbur tutulacak bu tarz bildirimler, ilgili sigorta poliçelerinin çok daha gerçekçi şekilde sunulabilmesini sağlayacak veri havuzunun oluşabilmesi için vazgeçilmez önem taşıyor.

Son olarak; siber risk poliçesi sunan sigorta şirketlerinin itibarının müşterilerin değerlendirme kriterleri arasında en ön sıralarda yer alacağı da tartışılmaz bir gerçek. Sakladıkları ve işledikleri kişiye özel bilgiler ile kredi kartı detayları sebebiyle zaten siber saldırganlar için oldukça cazip bir hedef olan sigorta şirketlerinin öncelikle kendilerini bu riske karşı koruması da siber güvenlik alanında faaliyet gösteren tüm şirketlerde olduğu gibi olmazsa olmazların başında geliyor. Bu konudaki ilk adım ise, yönetim kurulları da dahil olmak üzere tüm üst yönetimlerin siber riskleri stratejik olarak değerlendirmesi ve konunun basit bir bilişim teknolojisi bileşeni ya da uyumluluk problemi olarak görülmekten vazgeçilmesi olacaktır.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]