Temmuz 10, 2017

İnsan faktörü: Çalışanlar hata yapmamayı öğrenebilir mi? 

Kurumsal

Uzun süredir teknik araçların bir işletmeyi siber tehditlere karşı korumak için yeterli olmadığını iddia ettik. 

Bir kişinin olumsuz davranışı yüzünden bütün bilgi teknolojisi (IT) ekibinin işini zora sokabilir. Birçok durumda bu sorunlara sebep olan şeyler, kasıtlı olmaksınız siber güvenlik konusundaki eksik bilgi, tehditlerin farkında olmamak veya dikkat dağınıklığı sebebiyle oluyor. Bu sebeple birçok firma (verilerimize göre ortalama %65), çalışanlarına siber güvenlik eğitimi aldırıyor.  

Ancak bu durumda da sorunlar yaşanabiliyor. Genelde çalışanlarına siber güvenlik eğitimi aldırmaya karar veren kişi ile, bu eğitimi ayarlayan kişi aynı olmuyor. Karar veren sorunun ne olduğunu tam olarak anlasa da, eğitimi ayarlayan yetkili siber güvenlik eğitiminin ne olduğunu, nasıl olduğunu hatta niye ihtiyaç olduğunu anlamayabilir.  

Sorunu anlamak 

Diyelim ki, siber güvenlik farkındalığını arttırma görevi size verildi. Öncelikle, siber güvenlik farkındalığı  gerçekten ne anlama geliyor? Bunu anlamak için, pazar araştırması yapan B2B International ile beraber tüm dünyadan 5,000 firmanın belirli siber güvenlik olaylarında bireysel çalışanların etkilerini ve problemlerini anlama konusunda çalıştık. Çalışmamız sonucunda;  

  • Geçtiğimiz yıl yaşanan sorunların %46’sı, çalışanların şirketin siber güvenliğini bilmeden veya istemeden tehlikeye soktuğunu; 
  • Zararlı yazılım mağduru olan firmaların %53’ü, dikkatsiz çalışanlar sebebiyle yaşandığını, %36’sı da sosyal mühendislik sebebiyle çalışanlarının kandırıldığını;  
  • Hedefli saldırıların ve sosyal mühendisliğin %28 oranında başarılı olduğunu;  
  • Olayların %40’ında, çalışanlar sebep oldukları sorunu gizlemeye çalıştığını, hasarı arttırdığını ve şirketin güvenliğine zarar vermeye başladığını; 
  • Cevap verenlerin neredeyse yarısı da, çalışanlarının kurumsal bilgileri şirkete götürdükleri mobil cihazlarla ifşa etmesinden endişe duyduğunu  

öğrendik.

Araştırmanın tamamına göz atmak için (İngilizce), aşağıdaki linkte göz atın. Ayrıca burada “Neden siber güvenlik farkındalığını arttırmalıyım?” sorusunun da cevabını bulacaksınız.  

Siber güvenlik farkındalığı  

İşin “nasıl” kısmı son derece önemli. Birçok kurs, konferans ve workshop bulabilirsiniz. Ancak eğitim demek zaman ve para harcamak anlamına gelir; sonuç alacağınızdan emin olmak zorundasınızdır.  

Örneğin, sorunun bir şey gizlemek olsun. Çalışanlarınızı çağırıp siber güvenlik sorunlarının önemli olduğunu söyleyin. Büyük ihtimalle anladıklarını söyleyecekler ama sorunu gizli tutmaya devam edecekler ve bunun ortaya çıkmamasını umacaklar.  

Daha iyi bir yaklaşım, çalışanlarınızın motivasyonunu öğrenmek olabilir. Birçok olayda olduğu gibi, çalışanlara müdür veya BT çalışanları katı kuralları anlatır ancak kuralların sebeplerini anlatmazlar. Bazen, yönetimin ve BT takımının da kuralları açıklayabilmek için eğitime ihtiyaç duyarlar.  

Ne öğretileceğini bilmek  

Bir firmanın günümüzdeki karmaşık siber tehditlere karşı durabilmesi için sağlıklı bir organizma gibi çalışması lazım. Bunun için farklı sorumlulukları olan farklı takımları bulunmalı. Doğal olarak, bu da takımların farklı şeyler öğrenmesi gerekmesine sebep oluyor. Kurumsal yönetim risklerin farkında olmalı ve potansiyel mali ve itibar kayıplarının bilincinde olmalıdır. Orta seviyeli yönetim ve bilgi güvenliği ekipleri tehdit anında yapması gerekenleri çok net bir şekilde anlayabilmeli ve personelin çoğuyla uygun bir şekilde iletişim kurabilmelidir. Uzmanlara gelince, tehditler hakkında bilgi sahibi olmaktansa, tehdit anında durumu sorunsuz atlatmak daha önemlidir.  

Bu nedenle eğitim yaklaşımımız kıdem ve fonksiyona göre personelin farkına varılmasını içerir. 

Daha fazlasını öğrenmek veya personelinize kurs aldırmak için, lütfen aşağıdaki formu doldurun. Uzmanlarımız kısa süre içinde sizinle iletişime geçecektir.