Daha Güvenilir Siber Yönetişimi Proaktif Yönetim Kurulları Sağlar*

1. Giriş

Yeni Amerika Birleşik Devletleri (ABD) Menkul Kıymetler ve Borsa Komisyonu (Securities and Exchange Commission-SEC) gereksinimlerine uymak, yönetim kurullarının yeniden düzenlenmesi anlamına gelebilir.

Büyüyen siber tehditler karşısında yönetim kurulları etkili siber güvenlik yönetiminde kritik bir rol oynamaktadır. SEC’in yeni siber güvenlik kamuyu aydınlatma yönetmeliği (new cybersecurity disclosure regulation[1]), yönetim kurulunun, yönetimin siber risk ve yasal uyum yükümlülüklerini (cyber risk and compliance obligations) nasıl ele aldığını denetleme görevine daha da fazla vurgu yapmaktadır. Yöneticilerin tehdit ortamını anlaması, bilgi boşluklarını belirlemesi, siber farkındalık kültürünü beslemesi ve yönetişim uygulamalarını geliştirmesi (directors to understand the threat landscape, identify knowledge gaps, nurture a cyber-aware culture and evolve their governance practices) her zamankinden daha önemlidir. Yönetim kurulları, siber güvenlik yönetimine proaktif bir yaklaşım benimseyerek yönetimin kurumu korumasına ve yasal uyum ihtiyaçlarını karşılamasına yardımcı olabilecektir.

Bazı tahminlere göre her beş saniyede bir siber saldırı gerçekleşiyor[2]. Bir veri ihlalinin (data breaches) ortalama maliyeti yakın zamanda 2020’den bu yana %15 artışla 4,5 milyon ABD doları olarak hesaplanmış[3] olup; ABD, 9,5 milyon dolar ile bir ihlalin en yüksek ortalama maliyetine sahiptir. Siber saldırıların karmaşıklığının, sıklığının ve maliyetinin arttığı bir ortamda, daha güvenilir ve etkili siber yönetim için proaktif bir yönetim kurulu zaruri hale gelmiştir.

Yatırımcılar, siber tehditlerin ve ihlallerin operasyonel ve finansal sürdürülebilirlik üzerindeki maddi etkisini giderek daha fazla kabul ediyor. SEC’in halka açık şirketler (public companies) tarafından daha acil ve ayrıntılı siber güvenlik risk yönetimi ve önemli (maddi) olay bildirimini (material incident reporting) zorunlu kılan yeni güncellenen siber güvenlik kamuyu aydınlatma yönetmeliği, hissedarların artan teknoloji ile ilgili risklere ve yatırım kararlarını bilgilendirmek için daha ayrıntılı ve daha zamanında bilgi ihtiyacına olan ilgisini yansıtmaktadır.

SEC kuralı aynı zamanda yönetim kurulunun, tüm yasal uyum yükümlülüklerini yerine getirirken siber tehditleri önlemeye, tespit etmeye ve azaltmaya yardımcı olmak için yönetimin siber risk değerlendirmesini ve yönetim programını denetleme yönündeki mutemet görevinin (fiduciary duty) de altını çiziyor. Nihai SEC kuralı, başlangıçta önerildiği gibi yönetim kurullarının kendi siber uzmanlıklarını açıklamasını gerektirmiyordu; ancak giderek daha düşmanca bir siber ortamda başarılı olmak için şirketlerin siber güvenlik tehdit ortamına ilişkin güçlü ve güncel bilgiye sahip yöneticilere ihtiyacı bulunmaktadır.

2. Önce tehdidin anlaşılması

Yönetim kurulunun tamamı, yönetimin şirketi siber ihlallere karşı korumaya ve yeni olay bildirim/raporlama yükümlülüklerini karşılamaya hazır olduğunu anlamalıdır. Kuruluşun stratejik ve taktiksel bakış açısına sahip yöneticiler, siber riskleri tanıma ve değerlendirme konusunda daha donanımlıdır ve önleme, tespit ve hafifletme protokollerinin geliştirilmesinde yönetimi destekler. Yönetim kurulları en azından aşağıdakilere yönelik yönetim çabalarını desteklemelidir:

  • Kuruluş çapında siber güvenlik politikalarını ve prosedürlerini sağlamak ve uygulamak.
  • Siber güvenlik riskini azaltmak için yeterli kaynakların sağlandığından emin olmak.
  • Veriler üzerinde iç kontroller oluşturmak.
  • Önemli (maddi) siber ihlalleri meydana geldiklerinde zamanında değerlendirmek.

Ama bu hiç de öyle değildir. Hissedar katılımının görevinin merkezinde yer aldığı bir yönetim kurulu, siber güvenlik risklerinin durumu, olaylar, tespit ve önleme tedbirleri konusunda yönetimle düzenli ve kapsamlı bir şekilde iletişim kurabilecektir. Ayrıca yönetim kurulunun ve liderlik ekibinin hissedarlar, düzenleyici otoriteler ve halkla derhal iletişim kurması gerekecektir. Kamuyu aydınlatma, bu paydaşların çeşitli kritik alanlar hakkında bilgilendirildiği araç olmayı sürdürüyor: Şirketin önemli siber riskleri ele alma, tanımlama ve yönetme süreçleri; yönetimin bunları değerlendirme ve yönetmedeki rolü ve uzmanlığı; şirketin siber olayların oluşmasına nasıl tepki verdiği ve yönetim kurulunun tüm bu faaliyetleri denetlemesi.

3. Bilgi boşluklarının belirlenmesi

Her önemli riskte olduğu gibi, yönetim kurulunun, yöneticilerin görevlerini yerine getirmelerini sağlayacak gerekli becerilere sahip olup olmadığını değerlendirmesi gerekir. Doğal olarak her yönetim kurulu organik olarak siber uzmanlığa sahip olmayacaktır. Bilgi ve deneyimsel boşlukların belirlenmesi ve bunların proaktif olarak ele alınması farklı biçimlerde olabilir. Ancak sonuçta tüm yönetim kurulu, mevcut siber tehditler hakkında bilgi sahibi olmaya ve bu konuda bilgi sahibi olmaya çalışmalı ve iyi bir siber güvenlik yönetiminin nasıl olması gerektiğine ilişkin anlayışını uyumlu hale getirmelidir. Her yönetim kurulu, kuruluşun benzersiz siber tehdit ortamına göre yönetim kurulu içinde uygun bilgi ve deneyim düzeyinin ne olması gerektiğini değerlendirmelidir. Yöneticiler ayrıca yönetim kurulunun, yönetim ekibi içinde ve diğer kaynaklar aracılığıyla yeterli siber güvenlik uzmanlığına erişiminin olup olmadığını da değerlendirmelidir.

Yönetim kurullarının kullanabileceği, bilgi boşluklarını gidermeye yardımcı olabilecek birçok özelleştirilebilir strateji vardır. Bir şirketin karşı karşıya kalabileceği siber riskin derecesine bağlı olarak, bazı yönetim kurulları, yöneticilerin becerilerini geliştirmeleri gerekip gerekmediğini değerlendirmeyi, en az bir yöneticinin siber güvenlik uzmanlığına sahip olmasını sağlamayı ve yönetim kurulu gündemlerinin siber risk hazırlığını tartışmak için zaman ayırmasını sağlamayı düşünebilir. Yönetim kurulları, bilgi güvenliği sorumlusu (chief information security officer-CISO) veya diğer ilgili Bilgi Teknolojisi güvenliği rolü gibi güncel siber özellikli uzmanlığa sahip bir yöneticiye sahip olmayı değerlendirebilir. Diğerleri için ise, siber güvenlik yönetişimine yönelik açıkça tanımlanmış ve atanmış roller (tam yönetim kurulu, komite veya alt komite) yönetim kurullarının gözetim süreçlerini iyileştirmesine yardımcı olabilir. Bu yetki alanları yönetim kurulu ve/veya komite yönergelerinde belirtilmelidir.

Yüksek siber risklerle karşı karşıya olan kuruluşların yönetim kurulları, şirketin stratejilerini ve bir siber olayın olası operasyonel, finansal ve itibari etkisini izlemek için bir siber güvenlik komitesi veya alt grubu kurmayı bile düşünebilir. Üçüncü taraf yönetim düzeyindeki siber uzmanlar, danışmanlar ve siber sertifikasyon programlarına katılım, aynı zamanda yönetim kurulunu siber gelişmeler hakkında bilgilendirebilir ve sağlam protokoller, kontroller ve süreçler oluşturduğu için yönetime rehberlik edebilir.

4. Siber farkındalığa sahip bir organizasyon kültürünün geliştirilmesi

Bazı kuruluşlar için siber güvenlik en iyi şekilde içten dışa doğru ele alınabilir. Yönetim kurulları öncelikle yönetimin kurumun siber olaylara hazırlık durumunu ve siber varlıkların korunmasına yönelik müdahale planlarını nasıl stres testine tabi tuttuğunu izlemeyi düşünebilir. Bu bağlamda yönetim kurulları, yönetimden, özellikle yönetim kurulunu, genel ve dış danışmanları, yetkilileri ve duruma göre diğerlerini içeren kapsamlı bir siber ihlal müdahale planı geliştirmesini ve sık sık güncellemesini talep edebilir.

Ayrıca yönetim kurulları, siber varlıklara karşı hassasiyetin tespit edildiği alanlar hakkında periyodik yönetim ilerleme raporu talep etmelidir. Son olarak, özellikle siber güvenlik sorunlarının tahminen %95’inin insan hatasından kaynaklandığı[4] göz önüne alındığında, yönetim kurullarının çalışanlar arasında bir siber farkındalık kültürü yaratması ve temel bir önleyici tedbir olarak siber risk hakkında kurum çapında sürekli öğrenme sağlaması akıllıca olacaktır.

5. Yönetişim uygulamalarının geliştirilmesi

Siber risk ve yasal uyum ortamı gelişiyor ve iyi kurumsal yönetişim standardının da onunla birlikte gelişmesi gerekir. Yönetimin günlük siber tehdidi ele almasına yardımcı olmak, yönetim kurulunun proaktif dikkatini de gerektirir. Doğru tavrı belirleyen ve kendilerini gerekli bilgi, araç ve diğer mevcut kaynaklarla donatan yöneticiler, işletmelerin büyümesi ve gelişmesi ve paydaşların yatırımlarının korunması için daha güvenli ve daha siber güvenli bir ortamın sağlanmasında etkili olabilir.

[1] < https://www.sec.gov/files/rules/final/2023/33-11216.pdf >

[2] < https://healthitsecurity.com/news/infostealing-malware-remains-top-threat-to-healthcare#:~:text=blackberry%20observed%20threat%20actors%20deploying%20approximately%2011.5%20attacks%20per%20minute%2C >

[3] < https://www.ibm.com/reports/data-breach >

[4] < https://www3.weforum.org/docs/WEF_The_Global_Risks_Report_2022.pdf >

1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bini aşkın Telif Makale ve Yazı ile Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak vazgeçilmez ilkesidir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.