Orta ölçekli bir üretim firmasının genel müdürü, sabah işe geldiğinde ekranında yalnızca bir mesaj görüyor: tüm dosyalar şifrelenmiş, ödeme yapılmadan erişim mümkün değil. BT departmanı yedeklerin düzenli alınmadığını, ERP sisteminin son güncellemesinin aylar önce yapıldığını söylüyor. Üretim duruyor, müşteri siparişleri bekliyor, muhasebe kayıtlarına ulaşılamıyor. Bu senaryo artık teorik değil; benzer vakalar Türkiye dahil pek çok ülkede yaşanıyor ve şirketlerin siber riske bakışını köklü biçimde değiştiriyor.
Siber güvenlik uzun yıllar boyunca BT müdürünün sorumluluğunda bir teknik mesele olarak kaldı. Güvenlik duvarı kurulur, antivirüs lisansı yenilenir, parola politikası belirlenir ve konu kapanırdı. Ancak bu yaklaşım, tehdit ortamının gerçekliğiyle artık örtüşmüyor. Saldırılar salt teknik açıklardan değil, iş süreçlerindeki zayıflıklardan, tedarik zinciri bağlantılarından ve çalışan davranışlarından besleniyor. Fidye yazılımı, kurumsal ağlara çoğunlukla basit bir e-posta eki aracılığıyla giriyor; ardından ERP veritabanlarını, muhasebe kayıtlarını ve operasyonel verileri kilitlemeye başlıyor. Bu noktada sorun teknik olmaktan çıkıp stratejik bir iş sürekliliği krizine dönüşüyor.
Yönetim kurullarının bu konuya ilgisinin artmasının arkasında yalnızca saldırı sıklığı değil, ihlallerin finansal ve hukuki sonuçları yatıyor. Veri ihlali yaşayan bir şirket; müşteri kaybı, itibar hasarı, düzenleyici cezalar ve potansiyel hukuki sorumluluk gibi çok katmanlı riskle karşı karşıya kalıyor. e-Fatura ve e-Defter zorunluluklarıyla birlikte Türk şirketlerinin vergi otoritesiyle paylaştığı veri hacmi de büyüdü; bu durum hem uyum riskini hem de saldırı yüzeyini genişletiyor. Bir CFO ya da genel müdür için siber güvenlik artık yalnızca BT bütçesi kalemi değil, toplam sahip olma maliyeti hesabına dahil edilmesi gereken operasyonel bir risk faktörü.
Kurumsal risk çerçevesine siber güvenliği dahil etmek pratikte ne anlama geliyor? Her şeyden önce, riski ölçülebilir terimlerle tanımlamak gerekiyor. Hangi sistemler kritik? Bir saatlik kesintinin operasyonel maliyeti nedir? Müşteri verisi ihlalinin hukuki yükümlülüğü ne kadar? Bu soruların yanıtları, yönetim kurulunun anlayacağı dilde — yani finansal etki ve olasılık matrisi üzerinden — sunulduğunda siber güvenlik yatırımı tartışması somutlaşıyor. ROI hesabı güçleşiyor çünkü güvenlik yatırımının getirisi çoğunlukla ‘olmayan zarar’ biçiminde tezahür ediyor; ama bu belirsizlik, yatırımdan kaçınmak için gerekçe değil, aksine daha yapılandırılmış bir risk değerlendirme metodolojisi ihtiyacına işaret ediyor.
Türkiye’deki orta ve büyük ölçekli şirketlerin ERP altyapılarına bakıldığında, güvenlik açıklarının genellikle üç noktada yoğunlaştığı görülüyor: güncel tutulmayan yazılım sürümleri, yetersiz erişim yönetimi ve test edilmemiş yedekleme süreçleri. ERP sistemleri artık yalnızca muhasebe ve stok yönetimi değil; insan kaynakları, tedarik zinciri ve müşteri verileri de dahil olmak üzere şirketin tüm operasyonel belleğini barındırıyor. Bu sistemlerin güvenliğini sağlamak, teknik bir iyileştirme değil, iş sürekliliği stratejisinin çekirdeği haline geliyor. Bulut tabanlı ERP çözümlerine geçiş yapan şirketler için ise sorumluluk sınırları netleştirilmeli: hangi güvenlik katmanı hizmet sağlayıcıda, hangisi şirkette kalıyor?
Bu dönüşümün önündeki en büyük engel teknik değil, örgütsel. Pek çok şirkette siber güvenlik sorumluluğu hâlâ net biçimde atanmamış durumda. BT müdürü teknik altyapıyı yönetiyor; ama kimin hangi veriye erişebileceğine, tedarikçi bağlantılarının nasıl denetleneceğine ya da bir ihlal sonrasında kamuoyuna nasıl açıklama yapılacağına dair kararlar kurumsal düzeyde alınmıyor. Yönetim kurulunun bu konuda üstlenmesi gereken rol, teknik detayları anlamak değil; güvenlik politikasını onaylamak, yeterli kaynağın ayrıldığından emin olmak ve hesap verebilirlik mekanizmalarını kurmak.
Yönetim kuruluna siber güvenliği taşıyacak bir genel müdür ya da CFO için pratik başlangıç noktası şu soruyu sormaktan geçiyor: şu anda bir saldırı yaşansaydı kaç saat içinde operasyona dönebilirdik? Bu sorunun yanıtı çoğunlukla hazırlık düzeyini açıkça ortaya koyuyor. Ardından gelen adım, siber riski yıllık bütçe ve stratejik planlama döngüsüne dahil etmek — BT harcaması olarak değil, kurumsal risk yönetiminin bir bileşeni olarak. Dijital dönüşüm yatırımları hız kazandıkça, güvenlik altyapısına yapılan yatırımın bu hızla paralel gitmesi artık tercih değil, zorunluluk.