Yazar

Hüsnü TAVLAŞ

 

 

Şubat 2019

 

Siber Güvenlik Çalışanlarınızla Başlıyor

 

Şirketlerde veya kurumlarda, siber güvenlik araç ve tekniklerinin uygulanması ve sorumluluğu BT departmanı veya yönetimde olabilir. Günümüzde her birey bir teknoloji kullanıcısıdır ve bu yüzden siber riskler karşısında sorumludur. Bu sebeple, tüm çalışanları siber güvenlik bilincine sahip bir organizasyona dahil etmek önemlidir.

 

2019’un ilk günlerinde İnternet Güvenliği Uzmanı Troy Hunt binlerce farklı kaynaktan elde edilen 773 Milyon e-posta adresinin şifreleriyle birlikte sızdığını açığa çıkartarak herkesi dehşete düşürdü.

Şirket bilgilerini, müşterileriniz ve çalışanlarınız hakkındaki bilgileri gizli tutsanız da siber suçlular değerli bilgileri, en güncel ve gelişmiş teknolojiye sahip pahalı yatırımlarla elde edilmiş güvenlik çözümlerini atlatarak çalmaya çalışırlar.

Siber saldırılara karşı korunmada ilk akla gelen teknolojiyi dönüştürmek olabilir. Güvenlik duvarları, end point çözümleri, mail security ürünleri saldırı tespit ve önleme sistemleri ki gelişmelere rağmen ilk savunma hattınız aslında şirket kültürünüzdür. Şirketin girişinde gelenleri karşılayan ön büro asistanından CEO’ya kadar bir kuruluşun, şirket verilerini güvende tutmak için her çalışanını siber güvenlik konusunda eğitmesi gerekir.

Şirketlerde veya kurumlarda, siber güvenlik araç ve tekniklerinin uygulanması ve sorumluluğu BT departmanı veya yönetimde olabilir. Günümüzde her birey bir teknoloji kullanıcısıdır ve bu yüzden siber riskler karşısında sorumludur. Bu sebeple, tüm çalışanları siber güvenlik bilincine sahip bir organizasyona dahil etmek önemlidir. Çalışanların siber güvenliği önemsemesi ve güvenlik bilincine sahip bir organizasyona dahil edilebilmesi için birkaç ipucu;

  1. Farkındalık Yaratın: Her çalışanın tehditlerin farkında olmasını sağlamak için işe alım sürecinde çalışanlara siber güvenlik farkındalığı eğitimi verin. Düzenli olarak tazeleme kurslarıyla çalışanlar için bilgi güvenliği eğitimleri düzenleyin.
  2. Siber Saldırı Tatbikatı: Bir siber saldırı ile karşı karşıya kalınması durumunda tüm organizasyonun hangi rollerde görev ve sorumluluklarını yerine getireceğini simüle edin. Bu simülasyon, çalışanların daha iyi öğrenmelerine yardımcı olur ve olası bir siber saldırı karşısında hazırlıklı olmalarını sağlar.
  3. Politika Oluşturun: Günümüzde işlerin nerdeyse çoğu mekân bağımsızdır. Dizüstü bilgisayarlarını eve taşıyan veya ofis dışında herhangi bir yerden şirket verilerine uzaktan erişen çalışanlarımız var. Organizasyonda oluşturulan bir siber güvenlik politikası, hangi cihazların hangi güvenlik düzeyinde kullanılabileceği gibi çalışanların kullanım kısıtlamalarını ve davranışlarını düzenler. Periyodik sistem kontrolleri yoluyla çalışanların politikaya uymasını sağlayın.
  4. Güvenlik Kültürü Oluşturun: Çalışanları sistemlerindeki en küçük anomalileri bile rapor etmeleri için teşvik edin. Her departmanda bilgi güvenliğinden sorumlu bir personel belirleyin ve kötü niyetli güvenlik ihlallerini bildirenleri takdir ederek diğer çalışanları da teşvik edin.
  5. Kişisel Yaşamlarıyla Bağdaştırın: Çalışanlar, profesyonel yaşamlarında olduğu gibi kişisel yaşamlarında da siber risklerle karşı karşıyadır. Çalışanların siber güvenliği içselleştirmesi ve önemsemesi için, siber risklerin kişisel yaşamlarında kendilerini ve ailelerini nasıl etkileyebileceğini vurgulayın, onlara kendi yaşamlarında da ne yapabileceklerini anlatın. Bu bilgiyi sevdikleriyle paylaşabilir onlarda da farkındalık yaratabilirler.
  6. Rol Model: Organizasyondaki yöneticilerin siber güvenlik politikalarını öncelikli olarak uygulamaları ve rol model olarak davranmaları gerekir. Ancak o zaman çalışanlar siber güvenliğin ciddiye alındığına inanırlar.
  7. Sürekli Öğrenme: Siber güvenlik araçları sürekli olarak gelişmektedir, bu nedenle çalışanların güncel kalmasına yardımcı olmak önemlidir. Çalışanlar arasında sürekli bir öğrenme kültürü geliştirin.
  8. Empati: Herkes çoğu zaman bilmeden ve farkında olmadan bir siber suçun kurbanı olabilir. Yöneticiler, hata yapanlarla empati kurmalı, onları öğrenmeleri ve kendilerini geliştirmeleri için teşvik etmelidir. Örneğin, çalışanlar günde yüzlerce e-posta gönderir ve alır, bu nedenle arada gelen zararlı e-postayı fark etmeleri zor olabilir.