Geçtiğimiz yıl katıldığımız bir yönetim toplantısında, kurumda gerçekleşen ciddi bir siber güvenlik ihlali tartışılıyordu. Teknik ekip, hukuki uyum tarafı ve üst yönetim “çok çalıştık, raporlar hazır, bütçe yeterli” derken nihai sorumluluğun kimde olduğu sorusunu kimse net yanıtlayamadı. Sorumluluk havada kaldı; bu, siber güvenlik alanında çok sık gördüğümüz bir tablo.
Siber güvenlik dünyasında başarı hikâyeleri sık anlatılır. Yeni ürünler, yeni projeler, yeni sertifikalar, yeni güvenlik çerçeveleri… “Yapıldı”, “tamamlandı”, “geçildi” denilen çok şey var. Fakat işler yolunda gitmediğinde, bir güvenlik açığı saldırıya dönüştüğünde, kritik bir hizmet kesildiğinde, bir veri ihlali gündeme geldiğinde ortaya tuhaf bir sessizlik çıkıyor: Bu başarısızlığı kim üstlenecek?
Sahiplik Sorunu Nereden Kaynaklanıyor?
Türkiye’deki birçok kurumda siber güvenlik hâlâ teknik bir fonksiyon olarak algılanıyor. Bir zafiyet çıktığında doğal refleks BT departmanına bakmak oluyor, uyum süreçleri ve hukuki gereklilikler ise ayrı bir kutuda yer alıyor. Yönetim seviyesinde ise siber güvenlik genellikle imzalanan bütçeler ve alınan bilgi güvenliği sertifikalarıyla sınırlı kalıyor.
Oysa etkili bir siber güvenlik stratejisi yalnızca teknik bir mesele değil, bu, iş riskinin tamamını kapsayan kapsamlı bir süreç.
Teknik ekipler başarılı olabilir, uyum tarafı sağlam olabilir, fakat stratejik sahiplik yoksa sistemsel bir kırılganlık hâlâ orada durur.
Siber Güvenlik Olgunluğu ve Kurum Çapında Sahiplik
PwC’nin 2024 araştırmasına göre, kuruluşların yalnızca %2’si kapsamlı, kurum çapında siber dayanıklılığı hayata geçiriyor. (https://www.pwc.com/gx/en/news-room/press-releases/2024/pwc-2025-global-digital-trust-insights.html)
Bu düşük oran, birçok kurumda güvenliğin hangi düzeyde sahiplenildiğinin belirsizliğini ve bu belirsizliğin güvenlik olgunluğunu nasıl zayıflattığını açıkça ortaya koyuyor.
Siber risk yönetimi bir departmanın işi değil, tüm organizasyonun kültürüne yerleşmesi gereken bir yaklaşım. Ancak malesef Türkiye’deki kurumların çoğunda bu kültür henüz oluşmamış durumda.
Başarısızlık Karşısında Sorumluluktan Kaçma Kültürü
Danışmanlık yaptığımız bir projede benzer bir durumla karşılaştık: Kritik bir güvenlik açığı raporlandığında teknik ekip “çözmek için kaynağım yok” derken, hukuk departmanı “biz uyum belgelerini tamamladık”, üst yönetim ise “stratejik önceliklerimiz arasında değil” ifadeleri kullanıyordu.
Bu tür cevaplar başarısızlığı izole etmeye çalışıyor; fakat gerçekte asıl sorun bu değil. Bir siber saldırı veya veri ihlali yaşandığında yalnızca teknik ekip değil, kültür, yönetişim ve karar mekanizmaları zincirinin zayıf halkası sorumlu tutulmalı.
Başarısızlığının Maliyeti
Sahipliği net olmayan bir sorumluluk haliyle kriz anında ortada kalıyor. Bu da kurumları şu maliyetlerle baş başa bırakıyor:
- Saldırı sonrası belirsizlik ve kaos
- Reputasyon kaybı ve müşteri güveninin azalması
- İş kesintileri ve operasyonel kayıplar
- Yasal cezalar ve uyum ihlalleri
- Müşteri verilerinin çalınması sonucu KVKK yükümlülükleri
Genelde refleks şöyle gelişiyor: “BT bakıyordu”, “biz hukuki gereklilikleri yerine getirdik”, “uyum tarafı tamdı”, “bütçe verilmemişti”, “önceliklendirme yapılamadı”. Sonuç: sorumlu bulunamıyor.
Başarılı Siber Güvenlik Yönetiminde Sorumluluk Dağılımı
İyi işleyen kurumlarda siber güvenlik sahipliği şu şekilde net bir biçimde tanımlanıyor:
Stratejik sahiplik: Üst yönetim (CEO, Yönetim Kurulu)
- Siber güvenlik stratejisinin belirlenmesi
- Bütçe ve kaynak tahsisi
- Risk seviyelerinin tanımlanması
- Kriz yönetimi liderliği
Yönetişim sahipliği: Bilgi güvenliği / Risk ekipleri (CISO, Risk Yöneticisi)
- Güvenlik politikalarının oluşturulması
- Risk değerlendirme ve yönetimi
- Güvenlik programının koordinasyonu
- Üst yönetime raporlama
Operasyonel sahiplik: BT ve güvenlik operasyonları ekipleri
- Güvenlik kontrollerinin uygulanması
- Zafiyet yönetimi ve düzeltme
- Olay müdahalesi ve SOC operasyonları
- Teknik güvenlik mimarisinin kurulması
Uyum sahipliği: Hukuk / Regülasyon ekipleri
- KVKK, ISO 27001 gibi yasal gerekliliklerin takibi
- Uyum raporlarının hazırlanması
- Sözleşme ve tedarikçi güvenliği
- Düzenleyici kurumlarla iletişim
Bu net ayrım, kriz anında kimlerin hangi kararları verdiğini ve sonuçlarını üstlendiğini bilmemizi sağlar. Böylece başarısızlık anında sorumluluk kaçınılmaz bir şekilde bir tarafın üzerine bırakılmaz; sistematik bir öğrenme ve gelişme sürecine dönüşür.
Etkili Stratejilerin Temel Prensipleri
Sağlıklı bir siber güvenlik yapısı için şu prensipler önemlidir:
- Paylaşılan sorumluluk modeli: Her departman güvenliğin bir parçasıdır
- Net işleyiş yolları: Kim, ne zaman, kime raporlar
- Düzenli tatbikatlar: Kriz senaryolarının simülasyonu
- Şeffaf raporlama: Başarısızlıkların saklanmadan paylaşılması
- Sürekli iyileştirme kültürü: Her olaydan ders çıkarma
Kurumunuzda Sorumluluk Ayrımı Net mi?
Bugün kurumların sorması gereken kritik soru şu: Siber güvenlik başarısızlığını kim üstlenecek sorusuna gerçekten cevap verebiliyor muyuz? Eğer bu soruya net bir yanıt veremiyorsak, siber güvenlik çalışmaları yalnızca kağıt üzerinde yürüyen bir süreçten öteye gidemez.
Sizin kurumunuzda bu sahiplik yapısı var mı, yoksa başarısızlık hâlâ havada mı kalıyor?
Siber Güvenlik Hakkında Sık Sorulan Sorular
Siber güvenlik kimin sorumluluğundadır?
Siber güvenlik tüm organizasyonun ortak sorumluluğudur. Stratejik sahiplik üst yönetime, yönetişim CISO/risk ekiplerine, operasyonel uygulama BT’ye, uyum ise hukuk departmanına aittir. Bu rollerin net tanımlanması, başarılı güvenlik yönetiminin temelidir.
Siber güvenlik başarısızlığının maliyeti nedir?
Siber güvenlik ihlallerinin maliyeti sadece finansal değildir. Reputasyon kaybı, müşteri güveninin azalması, yasal cezalar, iş kesintileri ve operasyonel kayıplar toplam maliyeti oluşturur. IBM’in 2024 raporuna göre ortalama veri ihlali maliyeti 4.45 milyon dolara ulaşmıştır.
Kurumlarda siber güvenlik nasıl yönetilmelidir?
Etkili siber güvenlik yönetimi için kurumların öncelikle net bir sorumluluk matrisi oluşturması, düzenli risk değerlendirmeleri yapması, güvenlik farkındalığı eğitimleri vermesi ve olay müdahale planları hazırlaması gerekir. Siber güvenlik bir proje değil, sürekli bir süreçtir.
Siber güvenlik stratejisi nasıl oluşturulur?
Kapsamlı bir siber güvenlik stratejisi iş hedeflerine uygun olmalı, risk bazlı yaklaşım benimsemeli, tüm paydaşları içermeli ve düzenli olarak güncellenmelidir. Strateji, yalnızca teknolojiye değil aynı zamanda insan, süreç ve yönetişim unsurlarına da odaklanmalıdır.
İlgili Yazılar:
Kurumunuzda siber güvenlik yönetişimi için profesyonel destek almak ister misiniz? Deneyimli danışmanlarımızla iletişime geçin ve güvenlik olgunluk seviyenizi birlikte değerlendirelim. sparta@sparta.com.tr adresine Bir mail atmanız yeterli.