Bilgi güvenliğini bütçelemek için şirketlerin, tercihen olay tipine göre ortalama potansiyel zararlar gibi faktörleri ve de diğer işletmelerin güvenlikle ilgili ortalama harcamalarını dikkate alması gerekir. Bu hususlara ilişkin kesin veriler yayımlanmaz; çeşitli şirketlerin IT güvenliğine ilişkin iş kararları alan çalışanların katıldığı yıllık bir anket yapmamızın sebeplerinden biri de budur. Bu noktada, 2019 yılı anketimizin sonuçlarını paylaşmaya hazırız.
Mali etkiler
Son yılın anket sonuçlarına kıyasla işletmelerin zararları artmış durumdadır. Önceden bir olayın maliyeti ortalama 1,23 milyon $ iken günümüzde ortalama 1,41 milyon $ zarar söz konusu. Bu artıştan kısmen, şirketlerin kurumsal imajına inecek darbeyi yumuşatma amaçlı PR kampanyalarına ve üçüncü taraf uzmanlara artık daha fazla harcamaları sorumludur.
Halkla ilişkilere yapılan harcamanın, şirketlere olayları kamuya açıklama zorunluluğu getiren yasalar nedeniyle artmış olması muhtemeldir. Durum, özellikle veri sızıntılarında bu şekildedir. Günümüzde mevcut ve potansiyel müşteriler veya ortaklar, meydana gelen olayları mutlaka öğrenir ve verilerinin siber suçluların eline geçme ihtimalinden endişe duyar. Mesele, büyük şirketlerle sınırlı değil: Ankete katılanlara göre kuruluşların %36’sı ve küçük işletmelerin %31’i sızıntılar sonucunda PR sorunları yaşamış.
İlginç olanı, küçük işletmeler tazminat giderleri ve gerek yazılımsal gerekse altyapısal güvenlik araçları giderlerinin azalması ile bağlantılı olarak ortalama olay maliyetinin 120.000 $ seviyesinden 108.000 $ seviyesine düşmesiyle tersine bir trend yaşamıştır.
Aşağıda indirme bağlantısı verilmiş olan komple raporda siber olaylar sonucundaki kurumsal maddi zarara ait tüm kalemlerin ayrıntılı bir dökümü verilmiştir.
Olay nedenleri
Ankete katılanların düşüncesine göre, şirketin büyüklüğünden bağımsız olarak esas sorun, çoğunlukla çalışanların IT kaynaklarını yanlış kullanmasından ve şirket cihazlarına kötü amaçlı yazılım bulaşmasından kaynaklanmaktadır. Tabi ki bu genel kategoriler çok çeşitli olayları kapsar ancak örneğin, bir çalışanın bir e-postadaki bir bağlantıya tıklaması ve kötü amaçlı yazılımı yüklemesi, yukarıdaki kategorilerin ikisine de girmektedir.
Hem küçük işletmelerin hem de kuruluşların en sık karşılaştığı diğer olay senaryoları ayrıntılı raporda verilmiştir. Ayrıca raporda, şirket bünyesinde tam zamanlı bir veri koruma sorumlusu (DPO) ve siber olay müdahale merkezi olmasının (veya olmamasının) zararı ne şekilde etkileyebileceğini ortaya koyulmakta ve daha pek çok ilginç bilgi verilmektedir.
Raporu indirmek için lütfen aşağıdaki formu doldurun.