Siber güvenlik uzun yıllar boyunca kurumlarda ağırlıklı olarak IT ve güvenlik ekiplerininateknik gündemi içinde değerlendirildi. Ancak son yıllarda siber olayların etkisi yalnızca sistemlere erişim veya hizmet kesintisi ile sınırlı kalmadı; iş sürekliliğini, finansal kayıpları, KVKK ve regülasyon uyumunu, üçüncü taraf bağımlılıklarını ve kurum itibarını doğrudan etkileyen bir kurumsal risk alanına dönüştü. Bu değişim, siber güvenliğin yalnızca teknik kontrollerle değil, kurumun yönetim yapısı ve risk yönetimi yaklaşımıyla birlikte ele alınmasını zorunlu hale getirdi.

NIST CSF 2.0 ile gelen “Govern (GV)” fonksiyonu tam olarak bu dönüşümü çerçeve seviyesinde tanımlar. Govern (Yönetişim), siber güvenliği yalnızca “kontrol uygulama” perspektifinden çıkarıp kurumsal yönetişim ve risk yönetimi çerçevesine yerleştirir. Bu fonksiyonun temel amacı; kurumun siber güvenlik stratejisinin, risk yönetimi yaklaşımının, politika ve standartlarının belirlenmesi, kurum içinde doğru şekilde iletişiminin yapılması ve üst seviyede izlenebilir hale getirilmesidir. Bu kapsamda risk iştahı ve toleransı gibi temel yönetim unsurlarının netleştirilmesi, rol ve sorumlulukların belirlenmesi, hesap verebilirlik mekanizmalarının kurulması ve performansın üst seviyede takip edilmesi beklenir.

Bu nedenle “Siber risk artık yönetim kurulu konusu mu?” sorusunun yanıtı, NIST CSF 2.0 perspektifinden bakıldığında cevap evettir. Buradaki beklenti yönetim kurulunun teknik kararları vermesi değil; siber riskin kurumsal risk yönetimine dahil edilmesi, risklerin iş hedefleriyle ilişkilendirilmesi, kaynakların doğru önceliklerle tahsis edilmesi ve kurum genelinde sahipliğin sağlanmasıdır. Özellikle tedarik zinciri ve üçüncü taraf risklerinin artması ve düzenleyici beklentilerin güçlenmesi, bu yönetimsel sahiplenmeyi kritik hale getirmiştir.

Sonuç olarak Govern (Yönetim) Fonksiyonu, siber güvenliği yalnızca uygulama seviyesinde değil, strateji ve gözetim seviyesinde ele alır. Bu yaklaşım, siber güvenliği teknik bir faaliyet olmaktan çıkarıp kurumsal dayanıklılığın ölçülebilir ve sürdürülebilir bir parçası haline getirir.

Peki kurumunuzda siber güvenlik bugün hâlâ bir IT konusu mu, yoksa yönetim kurulu seviyesinde ele alınan bir yönetişim başlığı mı?