Suçlama kültürüne hayır: Psikolojik güvenlik siber güvenliği nasıl iyileştirir?

Olgun bir siber güvenlik yapısına sahip olan ve veri korumaya önemli yatırımlar yapmış şirketler bile siber vakalardan muaf değildir. Saldırganlar sıfırıncı gün açıklarından faydalanabilir veya bir tedarik zincirini tehlikeye atabilir. Çalışanlar, şirketin savunma sistemlerini aşmak için tasarlanmış sofistike dolandırıcılıkların kurbanı olabilir. Siber güvenlik ekibi, güvenlik araçlarını yapılandırırken veya bir olay müdahale prosedürü sırasında hata yapabilir. Ancak, bu olayların her biri süreçleri ve sistemleri iyileştirerek savunmanızı daha da etkili hale getirmek için birer fırsat sunmaktadır. Bu sadece bir slogan değil; havacılık güvenliği gibi diğer alanlarda da yeterince başarılı olan pratik bir yaklaşımdır.

Havacılıkta, uçak tasarım mühendislerinden uçuş görevlilerine kadar havacılık sektöründe çalışan hemen hemen herkesin, kazaları önlemek için bilgi paylaşması gerekir. Bu durum, çökmeler veya sistem arızalarıyla sınırlı değildir; sektördeki potansiyel sorunlar da bildirilmektedir. Bu raporlar sürekli olarak analiz edilir ve bulgulara göre güvenlik önlemleri ayarlanır. Allianz Commercial’ın istatistiklerine göre, yeni önlemlerin ve teknolojilerin sürekli olarak uygulanması, ölümcül kazaların önemli ölçüde azalmasına yol açmıştır. 1959’da milyon uçuş başına 40 olan bu oran, 2015’te 0,1’e düşmüştür.

Havacılık sektörü, insanların prosedür ihlallerini, kalite sorunlarını ve diğer kaza nedenlerini bildirmekten çekindikleri durumlarda bu modelin çalışmayacağını uzun zaman önce kabul etmiştir. Bu nedenle havacılık standartları, cezai olmayan raporlama ve adil bir kültür gerekliliklerini içerir. Bu, sorunların ve ihlallerin raporlanmasının cezaya yol açmaması gerektiği anlamına gelir. DevOps mühendisleri, büyük olayları analiz ederken kullandıkları, suçlamasız kültür olarak adlandırdıkları benzer bir ilkeye sahiptir. Bu yaklaşım, siber güvenlikte de çok önemlidir.

Her hatanın bir adı var mı?

Suçlamasız kültürün tam tersi, “Her hatadan sorumlu bir isim vardır.” fikridir, yani belirli bir kişinin suçlu olduğu anlamına gelir. Bu yaklaşımda, her hata işten çıkarılma dahil olmak üzere disiplin cezalarına yol açabilir. Bu ilke zararlı kabul edilir ve daha iyi güvenlik sağlamaz.

• Çalışanlar sorumluluk almaktan korkarlar ve olay soruşturmaları sırasında gerçekleri çarpıtma, hatta kanıtları yok etme eğilimindedirler.
• Çarpıtılmış veya kısmen tahrip edilmiş kanıtlar, güvenlik ekiplerinin belirli bir olayın kapsamını hızlı ve doğru bir şekilde değerlendirememesi nedeniyle müdahaleyi zorlaştırır ve genel sonucu kötüleştirir.
• Bir olayın incelenmesi sırasında tek bir kişiyi suçlamak, ekibin benzer olayların tekrar yaşanmaması için sistemi nasıl değiştireceğine odaklanmasını engeller.
• Çalışanlar, BT ve güvenlik ilkelerinin ihlallerini bildirmekten korkar ve bu da şirketin kritik bir olaya yol açmadan önce güvenlik açıklarını giderme fırsatını kaçırmasına neden olur.
• Çalışanlar, siber güvenlik konularını tartışmak, birbirlerine koçluk yapmak veya iş arkadaşlarının hatalarını düzeltmek için hiçbir motivasyona sahip olmaz.

Her çalışanın şirketinizin güvenliğine katkıda bulunmasını sağlamak için farklı bir yaklaşıma ihtiyacınız var.

Adil bir kültürün temel ilkeleri

Buna “cezai olmayan raporlama” veya “suçlamasız kültür” diyebilirsiniz ve temel ilkeler aynıdır:

• Herkes hata yapar. Hatalarımızdan ders alırız; onları cezalandırmayız. Ancak, dürüst bir hata ile kötü niyetli bir ihlali birbirinden ayırmak çok önemlidir.
• Güvenlik olaylarını analiz ederken, genel bağlam, çalışanın niyeti ve duruma katkıda bulunmuş olabilecek tüm sistemik sorunlar dikkate alınmalıdır. Örneğin, mevsimlik perakende çalışanlarının yüksek işten ayrılma oranı nedeniyle bireysel hesaplar açılamıyorsa, bu çalışanlar satış noktası terminali için tek bir oturum açma bilgisini paylaşmak zorunda kalabilirler. Mağaza yöneticisinin suçu var mıdır? Muhtemelen hayır.
• Teknik verileri ve günlükleri incelemekle kalmayıp, olayla ilgili tüm kişilerle ayrıntılı görüşmeler yapmalısınız. Bunun için insanların kendi bakış açılarını rahatça paylaşabilecekleri, üretken ve güvenli bir ortam yaratmalısınız.
• Bir olay incelemesinin amacı; gelecekte davranışları, teknolojileri ve süreçleri iyileştirmek olmalıdır. Kritik vakalar için son madde, iki bölüme ayrılmalıdır: Hasarı azaltmak için acil müdahalede bulunmak ve sistemlerinizi ve prosedürlerinizi iyileştirmek için olay sonrası analiz yapmak.
• En önemlisi, açık ve şeffaf olun. Çalışanlar, sorun ve olayların nasıl rapor edildiğini ve kararların nasıl alındığını bilmelidir. Güvenlik sorunu gördüklerinde veya şüphelendiklerinde kime başvuracaklarını tam olarak bilmelidirler. Hem amirlerinin hem de güvenlik uzmanlarının kendilerini destekleyeceğini bilmeleri gerekir.
• Gizlilik ve korumaya özen gösterin. Bir güvenlik sorununu bildirmek, bunu bildiren kişi veya soruna neden olmuş olabilecek kişi için sorun yaratmamalıdır. Tabii her iki taraf da iyi niyetle hareket ettiği sürece.

Bu ilkeleri güvenlik kültürünüzde nasıl uygulayabilirsiniz?

Liderlerin desteğini kesin olarak alın. Güvenlik kültürü, büyük çaplı doğrudan yatırım gerektirmez, ancak insan kaynakları, bilgi güvenliği ve iç iletişim ekiplerinin tutarlı desteğine ihtiyaç duyar. Çalışanlar ayrıca üst yönetimin bu yaklaşımı aktif olarak desteklediğini görmelidir.

Yaklaşımınızı belgelendirin. Suçsuz kültür felsefesi, ayrıntılı güvenlik ilkelerinden her çalışanın gerçekten okuyup anlayacağı basit ve kısa bir kılavuza kadar, şirketinizin resmi belgelerinde yer almalıdır. Bu belge, hata ile kasıtlı ihlal arasındaki fark konusunda şirketin tutumunu açıkça belirtmelidir. Çalışanların dürüst hatalarından kişisel olarak sorumlu tutulmayacağı ve toplu önceliğin şirketin güvenliğini artırmak ve gelecekte benzer olayların tekrarlanmasını önlemek olduğu resmi olarak belirtilmelidir.

Sorunları bildirmek için kanallar oluşturun. Çalışanların sorunları bildirmeleri için intranette özel bir bölüm, belirli bir e-posta adresi veya doğrudan amirlerine bildirme seçeneği gibi çeşitli yollar sunun. İdeal olarak, endişelerini korkmadan bildirebilecekleri anonim bir yardım hattınız da olmalıdır.

Çalışanları eğitin. Eğitim, çalışanların güvensiz süreçleri ve davranışları fark etmelerine yardımcı olur. Bildirmeleri gereken sorunların gerçek hayattan örneklerini kullanın ve farklı olay senaryolarını onlarla birlikte inceleyin. Bu siber güvenlik farkındalık eğitim oturumlarını düzenlemek için çevrimiçi Kaspersky Otomatik Güvenlik Farkındalık Platformumuzu kullanabilirsiniz. Çalışanları; sadece olayları bildirmekle kalmayıp iyileştirmeler önermeleri ve günlük işlerinde güvenlik sorunlarını nasıl önleyebileceklerini düşünmeleri için de motive edin.

Liderlerinizi eğitin. Her yönetici, ekibinden gelen raporlara nasıl yanıt vereceğini anlamalıdır. Bir raporu nasıl ve nereye iletmesi gerektiğini ve adil kültür ortamında suçlama odaklı adacıklar oluşmasını nasıl önleyebileceğini bilmesi gerekir. Liderlere, iş arkadaşlarının kendilerini desteklenmiş ve korunmuş hissetmelerini sağlayacak şekilde yanıt vermeyi öğretin. Olaylara ve hata raporlarına verdikleri tepkilerde yapıcı olmaları gerekir. Liderler ayrıca, bu konuyu normalleştirmek için ekip toplantılarında güvenlik konularının tartışılmasını teşvik etmelidirler. Olaylar ve güvenlik sorunları raporları için adil bir inceleme prosedürü geliştirin. Çeşitli ekiplerden farklı çalışanları bir araya getirerek bir “suçlamasız inceleme kurulu” kurmanız gerekecektir. Bu ekip her bir vaka için raporları derhal işleme koymak, kararlar almak ve eylem planları oluşturmaktan sorumlu olacaktır.

Proaktifliği ödüllendirin. Spearphishing girişimlerini veya ilkelerde ya da yapılandırmalarda yeni keşfedilen kusurları bildiren ya da farkındalık eğitimini ekip arkadaşlarından daha iyi ve daha hızlı tamamlayan çalışanları kamuoyuna övün ve ödüllendirin. Haber bültenleri gibi düzenli BT ve güvenlik iletişimlerinde bu proaktif çalışanlardan bahsedin.

Bulguları güvenlik yönetimi süreçlerinize entegre edin. İnceleme kurulunun sonuçları ve önerileri önceliklendirilmeli ve şirketin siber dayanıklılık planına dahil edilmelidir. Bazı bulgular sadece risk değerlendirmelerini etkileyebilirken, diğerleri şirket ilkelerinde değişikliklere, yeni teknik güvenlik kontrollerinin uygulanmasına veya mevcut kontrollerinin yeniden yapılandırılmasına yol açabilir.

Hataları öğrenme fırsatları olarak kullanın. Güvenlik farkındalık programınız, kendi kuruluşunuzdan alınan gerçek hayattan örnekler kullanıldığında daha etkili olacaktır. Belirli kişilerin isimlerini vermek zorunda değilsiniz, ancak ekiplerden ve sistemlerden bahsedebilir ve saldırı senaryolarını açıklayabilirsiniz.

Performansı ölçün. Bu sürecin işlediğinden ve sonuç verdiğinden emin olmak için, bilgi güvenliği ölçütlerinin yanı sıra İK ve iletişim KPI’larını da kullanmanız gerekir. Tanımlanan sorunların MTTR‘sini, çalışan raporları aracılığıyla tespit edilen sorunların yüzdesini, çalışan memnuniyet düzeylerini, tanımlanan güvenlik sorunlarının sayısını ve niteliğini ve iyileştirme önerilerinde bulunan çalışan sayısını takip edin.

Önemli istisnalar

Güvenlik kültürü veya suçsuzluk kültürü, hiç kimsenin sorumlu tutulmayacağı anlamına gelmez. Örneğin, cezai yaptırım içermeyen raporlama ile ilgili havacılık güvenliği belgeleri, önemli istisnalar içermektedir. Koruma, bir kişi kasıtlı ve kötü niyetle kurallardan saptığında geçerli değildir. Bu istisna, rakiplere veri sızdıran içeriden bir kişinin suçunu itiraf ettikten sonra tamamen cezasız kalmasını önler.

İkinci istisna, ulusal veya sektör düzenlemelerinin, olaylar ve ihlallerden bireysel çalışanların kişisel olarak sorumlu tutulmasını gerektirdiği durumlardır. Bu tür bir düzenleme olsa bile, dengeyi korumak çok önemlidir. Odak noktası suçluyu bulmak değil, süreçleri iyileştirmek ve gelecekteki olayları önlemek olmalıdır. Soruşturmalar objektif olursa ve hesap verebilirlik yalnızca gerçekten gerekli olduğunda haklı gerekçelerle uygulanırsa, güven kültürü oluşturmak hala mümkündür.