İyi siber güvenlik, birleşme ve satın almalarda önemli bir rol oynar. 2018'deki büyük Marriott veri skandalına gelince, güvenliğe önceden yeterince önem verilmedi.
Birleşme ve Devralmalar (M&S), şirketlere hızlı büyüme veya rekabet avantajı elde etme konusunda önemli fırsatlar sunmaktadır. Bunlar, kaynakların gruplandırılmasından ürün ve hizmet portföyünün çeşitlendirilmesine, yeni pazarların geliştirilmesine ve yeni teknolojilerin veya uzmanlık bilgisinin edinilmesine kadar uzanır.
Her M&A işlemi, karmaşık ve ayrıntılı durum tespiti, yani tüm şirketin dikkatli bir şekilde incelenmesini içerir. Buradan elde edilen bulgulara dayanarak, mevcut iş yapılarıyla birleşmenin ne kadar karmaşık olacağı tahmin edilebilir. Entegrasyon süreçleri ne kadar sorunsuz çalışırsa, işlemin nihai başarısı o kadar artar. Geleneksel olarak, M&A incelemesi öncelikle finans, hukuk, ticari faaliyetler ve insan kaynakları alanlarına odaklanmıştır. Giderek artan dijital iş süreçleriyle birlikte siber güvenlik alanında da durum tespiti yapılmalıdır.
2018 Marriott veri skandalı
2018'deki Marriott veri skandalı, bu bağlamda bir uyandırma çağrısıdır ve başarısız bir siber güvenlik durum değerlendirmesinin potansiyel olarak ciddi sonuçlarının güçlü bir örneğini sunar. Marriott'un 2016 yılında Starwood Hotels & Resorts'u satın alması, dünyanın en büyük otel zincirlerinden birini yarattı. Marriott ve Starwood müşterilerine sunulan teklif, 5.500 ülkede 100'den fazla otele ulaştı. Ancak o sırada Marriott'un, Starwood'un BT sistemlerinin 2014'te tehlikeye atılmış olduğuna dair hiçbir bilgisi yoktu. Kasım 2018'e kadar Marriott nihayet, etkilenen Starwood rezervasyon veri tabanı aracılığıyla dünya çapında yaklaşık 339 milyon konuğun kişisel verilerine yıllardır yabancıların eriştiğini keşfetti.
İngiliz veri koruma denetleme kurumu ICO, soruşturma raporunda, Marriott'un Starwood'u satın alırken yeterli özeni göstermediğini ve sistemlerini güvence altına almak için daha fazlasını yapması gerektiğini tespit etti. Bir yıl önce, GDPR'yi ihlal ettiği için otel zincirine 99 milyon sterlin para cezası verme niyetini de açıkladı.
Dijital durum tespiti gerekliliği
Bugün, her büyüklükteki işletme, müşterilerine hizmet vermek ve iş süreçlerini yürütmek için bulut tabanlı araçlara, IoT'ye ve dijital bağlantı hizmetlerine giderek daha fazla güveniyor. Sonuç olarak, artan bağlanabilirlik, siber suçluların kötü amaçlı saldırılar başlatması, verileri çalması veya iş operasyonlarını kesintiye uğratmaya çalışması için daha fazla fırsat sunuyor. Bu nedenle, anlaşmaları bozabilecek kritik güvenlik açıklarını ortaya çıkarmak için ayrıntılı bir siber güvenlik denetimi ve değerlendirmesi yapmak çok önemlidir. Doğrudan verilerle başlayan ve buna dayalı olarak ilgili yapıları ve süreçleri değerlendiren bir yaklaşımın kullanılması tavsiye edilir:
1. Kendi sistemleri hakkında bilgi
İlk olarak, M&A faaliyetinde yer alan kuruluşların, başkaları hakkında sağlam bir değerlendirme yapmadan önce kendi BT sistemleri hakkında tam şeffaflığa ihtiyaçları vardır. Bu sayede her iki yapı için de kapsamlı güvenlik yönergeleri oluşturulabilir. Bu, platformlar, çözümler ve hizmetler bir araya getirildiğinde yeni güvenlik açıklarının oluşmasını ortadan kaldıran bir entegrasyon stratejisinin temelini oluşturur. Güvenli bir BT ekosistemi, ayrıntılı güvenlik politikası uygulaması, veri şifreleme, gerçek zamanlı veri kaybı koruması, kullanıcı erişim kontrolleri ve sürekli izleme içerir.
2. Veri stoklarının envanteri
Hangi verilerin toplandığını, nasıl ve nerede saklandığını ve imha edilmeden önce ne kadar süreyle saklandığını anlamak için tüm verilerin envanterinin çıkarılması gerekli ilk adımdır. Bu, özellikle uluslararası şirketler için yerel olarak geçerli yasal gereklilikler ve iç düzenlemeler hakkında bilgi sağlar. Veri Kaybını Önleme (DLP) yetenekleri, potansiyel olarak risk altında olan hassas ve düzenleyici veri kalıplarının belirlenmesine yardımcı olur. Tüm kullanıcı, uygulama ve dosya etkinliklerini ayrıntılı olarak kaydeden etkinlik günlükleri de aynı derecede faydalıdır.
Açıklanmayan olası veri ihlallerinin temeline inmek için tüm dahili ve harici siber güvenlik denetimlerine ve değerlendirmelerine danışılmalıdır. Mevcut güvenlik önlemlerinin olası zayıflıklarına ışık tutabilir ve böylece risk potansiyelinin değerlendirilmesine yardımcı olabilirler.
3. Bütünleştirici bir güvenlik stratejisinin geliştirilmesi
Hangi verilerin korunması gerektiğini ve nerede depolandığını belirledikten sonraki zorluk, verilere kimin erişimi olduğunu, bu verilerde neler olduğunu ve bu verilere erişmek için hangi cihazların kullanıldığını anlamaktır. Etkili siber güvenlik, tüm hassas verileri herhangi bir uygulamada, herhangi bir cihazda, herhangi bir yerde koruyabilmeye bağlıdır. Tüm uç noktaların, web hedeflerinin, cihazların ve uygulamaların uygun görünürlüğü ve yalnızca yetkili kullanıcıların hassas verilere erişmesini sağlayan erişim politikaları bununla bağlantılıdır.
Her iki birimin de BT sistemlerini ve süreçlerini nasıl birleştirebileceğini planlayabilmek ve entegrasyondan sonra sorunsuz iş operasyonları sağlamak için şirketteki tüm BT sistemlerinin ve ağ uç noktalarının ayrıntılı değerlendirmesi gereklidir. Örneğin güvenlik mimarisinde var olan zafiyetleri onarmak ve birleştirilmiş altyapıyı risklere karşı dirençli hale getirmek için ne kadar efor sarf edilmesi gerektiği belirlenmelidir.
Bir başarı faktörü olarak güvenilir BT yönetimi
İyi organize edilmiş BT yönetimi sonuçta ilgili herkes için durum tespiti prosedürlerini basitleştirir ve bu nedenle girişimcilik faaliyeti için bir başarı faktörüdür. Güvenlik ve veri korumaya yönelik uygun değerlendirme standartlarını geliştirebilmek için şirketlerin kendi sistemleri ile de yüksek standartları karşılaması önemli bir ön koşuldur. Aksi halde kendi eksikliklerini daha da büyük yapılara entegre ederek ciddi hasarlara yol açma riski vardır. Bu nedenle, güvenilir şekilde yönetilen bir BT ortamı, hem büyümek isteyenler hem de uygun alıcıları çekmek isteyenler olmak üzere tüm şirketlerin çıkarınadır.
[yıldız kutusu kimliği=4]