Kaspersky, yeni bir işletmeyi satın almadan önce dikkat edilmesi gereken siber güvenlik değerlendirmelerinde bulundu. Küresel işletmelerin giderek daha fazla birbirine bağlı hale gelmesinin yanı sıra, şirketlerin büyüme, çeşitlendirme ve stratejik konumlanma arayışına girmesiyle birleşme ve satın almaların sayısı artıyor. LexAfrica tarafından paylaşılan Dealmakers Africa’nın son verileri, Afrika’daki birleşme ve satın alma faaliyetlerinde güçlü bir artışa işaret ediyor ve kıtanın küresel iş dünyasında yükselen önemine ışık tutuyor. Kaspersky’nin de altını çizdiği üzere birleşme ve satın alma sayısındaki bu artış, siber güvenlik uygulamalarına duyulan ihtiyacı da gündeme getiriyor.
Rapor, Afrika’da 2022 yılının ilk çeyreğinde birleşme ve satın alma faaliyetlerinde önemli bir artış olduğunu vurguluyor. Güney Afrika hariç Afrika kıtasında 2022 yılında 9,7 milyar dolar değerinde anlaşma yapıldı. Bu rakam bir önceki yılın aynı dönemine göre neredeyse üç kat artışa karşılık geliyor. Batı ve Kuzey Afrika gibi bölgeler birleşme ve satın almaların yoğunlaştığı yerler haline gelirken, bu bölgelerdeki potansiyel siber risklerin farkında olmak hayati önem taşıyor.
Kaspersky, bu nedenle birleşme ve satın alma faaliyetlerinin beraberinde getirdiği güvenlik açıkları konusuna özellikle dikkat çekiyor. Başka bir işletmeyi satın almak veya birleşmek beraberinde dijital sistemleri, ağları ve verileri entegre etmek anlamına geliyor. Bu entegrasyon süreci doğru yönetilmezse her iki tarafı da siber tehditlere maruz bırakma riski oldukça yüksek.
Güvenlik, odak noktası
Kaspersky Bilgi Güvenliği Bölümü Başkanı Alexey Vovk, şu uyarıları paylaşıyor: “Halihazırda kurulu bir işletmeyi satın almak, hızlı kazanç potansiyeli nedeniyle girişimciler veya işlerini genişletebilecek yenilikçi varlıklar veya istihbaratlar elde etmek isteyen büyük şirketler için cazip bir seçenek sunuyor. Ancak bu süreçte yasal, finansal ve yönetişimsel durum tespitlerinin yanı sıra güvenlik de odak noktası olmalıdır.”
Kaspersky, yeni bir işletmeyi satın almadan önce dikkat edilmesi gereken siber güvenlik değerlendirmelerini şöyle sıraladı:
”Mevcut siber güvenlik önlemleri: Şirketin geçmişte yapmış olabileceği siber güvenlik denetimlerini araştırın. Değerli varlıklar: İşletmenin en değerli dijital varlıklarını belirleyin. Bir e-ticaret platformu için örneğin bu web sitesi olabilir. Bunları kapsamlı güvenlik açığı kontrolünden geçirin. Barındırma ve veri yönetimi: Şirketin web barındırma sağlayıcısı ve sağlayıcının itibarı hakkında bilgi edinin. Geçmişte yaşanan güvenlik olayları, barındırma hizmetinin değiştirilmesini gerektirebilir. Güvenlik standartları: İşletmenin niteliğine bağlı olarak uyması gereken belirli siber güvenlik standartları olabilir. Kritik varlıkları olmayan işletmeler bile fidye yazılımı gibi yaygın tehditleri engellemek için temel güvenliğe sahip olmalıdır. Şirket itibarı ve veri ihlalleri: Geçmişteki veri ihlallerini ve sonraki düzeltme adımlarını araştırın. Veri sızıntıları bir şirketin itibarını zedeleyebilir ve yasal sorunlara davetiye çıkarabilir.”
Doğu, Türkiye ve Afrika bölgesindeki çalışanların yüzde 20’sinin kötü amaçlı bağlantılara tıklıyor
Bununla birlikte Vovk, tüm tavsiyelerin ötesinde, çalışan hatalarının da bir endişe kaynağı olduğunu ve bunun önemli veri ihlallerine yol açabileceğini belirtiyor. Bu durum, Kaspersky’nin Orta Doğu, Türkiye ve Afrika bölgesindeki çalışanlar arasında gerçekleştirdiği son araştırmasında da kanıtlanmıştı. Kaspersky Otomatik Güvenlik Farkındalığı Platformu’nda (KASAP) yerleşik olarak bulunan kimlik avı simülatörü ile yapılan test, çalışanların yüzde 20’sinin kötü amaçlı bağlantılara tıkladığını ve kurumsal duyurular içerdiği iddia edilen dolandırıcılık e-postalarına aldanma eğiliminde olduğunu gösterdi.
Vovk, şunları ekledi: “Bir işletmeyi satın alırken, satın alan kuruluş, çalışanlar ve hassas verileri işleyen üçüncü taraflar söz konusu olduğunda, personele daha önce verilen siber güvenlik eğitimlerinin yanı sıra gizlilik anlaşmaları da dikkate alınmalıdır. Temel olarak, veri erişiminin sınırlandırılmasını ve çalışanlar ayrıldığında uygun şekilde iptal edilmesini sağlamak için yeni kuruluşta şirket kaynaklarına yönelik gerekli erişim kontrolleri uygulanmalıdır.”
Bunların yanı sıra birleşme veya satın alma süreçlerinde veri koruma ve siber güvenlikle ilgili yasalar konusunda bilgi sahibi olmak da büyük önem taşıyor. Bu, kişisel verilerin sorumlu bir şekilde işlenmesi için öngörülen koşulları düzenleyen bölgesel regülasyonları ve yasaları da kapsıyor.
Vovk, “Bir şirketi satın aldığınızda bu onun risklerini ve sorumluluğunu da üstlendiğiniz anlamına gelir. İşletmelerin siber dayanıklılığının en iyi şekilde sağlanması ve sürdürülmesi devamlılık gerektiren bir süreçtir. Tehdit aktörlerinin yeni teknik ve taktiklerinden korunmak için dijital iş çözümlerine, araçlarına ve becerilerine ek yatırımlar yapmak, yasalara uygun kuralları belirlemek ve siber güvenlik politikalarını ve koruma sistemlerini gözden geçirmek gerekir. Siber güvenlik seviyenizi en başından itibaren kontrol etmek, olaylara dair olasılığını azaltmanıza, gelişim için net bir yol belirlemenize ve yeni hedeflere ulaşmanıza yardımcı olacaktır.” ifadelerini kullandı.
