Acımasız siber saldırılar ve artan düzenleyici baskıların ortasında, güvenlik kültürü ön plana çıktı. Genellikle hafife alınan güvenlik kültürünün kuruluşlar üzerinde derin etkileri vardır. Güvenlik kültürünü, bir kuruluşun zorluklara dayanma yeteneğini doğrudan belirleyen tutumlar, inançlar, bilgiler ve değerlerin ortak bir dokusu olarak tanımak çok önemlidir. Suçlama kültürünü geliştirmek kolay olsa da bireyleri güçlendirerek dayanıklılığı artırmak çok daha zorlu bir görevdir.
Şu soruyu düşünün: Kuruluşunuzda bireyler, kurumsal düzeydeki potansiyel siber kaygıları açıkça tartışmak ve gündeme getirmekten çekinmiyor mu? Çoğunluk için cevap kocaman bir hayır. Bu kuruluşlarda korkular utandırmaya, güveni kaybetmeye ve hatta iş güvenliğine kadar uzanmaktadır.
Ancak zayıf bir güvenlik kültürünün rolleri karmaşıklaştırdığı ve kuruluşa zarar verme riski taşıdığı açıkça ortadadır. Üst düzey yöneticiler arasında görev süresi en kısa olan baş bilgi güvenliği görevlilerini (CISO’lar) yalnızca iki yılda ele alalım. CISO’lar göz korkutucu engellerle karşı karşıyadır – bunun çarpıcı bir örneği, ters etki yapan “tek boğazdan boğulmak” fikridir. Satıcı ilişkilerinde yaygın olan bu ifade aynı zamanda CISO’lara bir kuruluşun üstlenmesi gereken sorumlulukların haksız şekilde yüklenmesinde de kullanım alanı bulur. Artan baskı inkar edilemez bir şekilde CISO’lara zarar veriyor, iş gücü zorluklarını daha da artırıyor ve saldırı yüzeyi büyürken ve yapay zeka destekli siber suçlar ilerleme kaydederken kuruluşların korunmasını daha da kötüleştiriyor.
İnsanlara Öncelik Vermek
Güvenlik kültürünüz çok yaygın olan “İşler sorunsuz gittiğinde her şey yolundadır, ancak bir ihlal belirtisi olduğunda kaos ortaya çıkar” ikilisine mi düşüyor? Eğer öyleyse, güvenlik kültürünüze dikkatle bakmanız zorunludur. Liderler havacılık güvenliğinden ilham alabilir ve “adil kültür” yaklaşımını benimsemeyi düşünebilir. Suçu başka yere kaydırmaktan çok uzak olan “adil kültür”, suçu vurgulamadan hesap verebilirlik ve sorumluluk verir.
Zıt değerleri aşılamak çok kolaydır. Utanç yaratan zayıf siber güvenlik eğitimi alın. İyi niyetli çalışanlar, kötü niyetli içerikle etkileşime geçmeye teşvik etmek üzere tasarlanmış yanıltıcı e-postalarla hedef alındığında geri tepmeler meydana gelebilir. Başarısızlıklar daha sonra ileri eğitimi haklı çıkarmak için kullanılır. Diğer durumlarda çalışanlar şüpheli politikalara uyumu amaçlayan monoton rejimlere katlanabilirler. Daha da kötüsü, çoğu zaman eğitim çabaları mevcut tehditlere ayak uydurmakta başarısız oluyor ve güvenlik yorgunluğunu besliyor. Liderlerin, risk eğitiminde aşılanan değerlere çok dikkat etmeleri ve bunun kendi kültürleriyle uyumlu olmasını sağlamaları iyi olacaktır.
Liderlik İçin Yeni Bir Yol: Uyum ve Sorumluluk
Güvenlik kültürünü doğru bir şekilde oluşturmak için bir kuruluşun liderliğinin, kaynakları önceliklendirerek ve şeffaf uygulamaları ve hesap verebilirliği savunarak siber güvenliğe bağlılık göstermesi gerekir. Sorumluluk devredilebilirken, sorumluluğun yukarıya doğru aktığını unutmayın.
Siber güvenlikte açık bir sorumluluk olmadığında, küçük sorunlar artarak ciddi ihlallerin temeli haline gelebilir ve maliyetli kurtarma çabalarını, davaları ve devletin düzenleyici eylemlerini tetikleyebilir. Yeni SEC siber güvenlik kurallarının hesap verebilirlik ve risk yönetimini nasıl ele aldığını düşünün.
Kuruluşlar işbirliği, eğitim ve ortak sorumluluk kültürünü geliştirmek için çalışmalıdır. Bu, liderliği gelişen tehdit ortamı hakkında eğitmeyi, siber güvenlik için net raporlama yapıları oluşturmayı, güvenlik hedeflerini genel iş hedefleriyle uyumlu hale getirmeyi ve siber güvenliğin tutarlı bir şekilde karar alma süreçlerine entegre edilmesini sağlamayı içerir.
Liderlik uyumu sorunları, genellikle yöneticilerin kurumsal risk konusunda tutarlı bir vizyon ve kararlılığı paylaşmadığı durumlarda ortaya çıkma eğilimindedir. Ve vizyonlar krizlerde derinlemesine test edilir. En göze çarpan sorunların arasında iş birimleri veya liderler arasındaki yetersiz iletişim, en çok ihtiyaç duyulan zamanda bilgi alışverişinin engellenmesi yer alıyor. Tutarsız yönetim aynı zamanda siber güvenlik politikaları, rolleri ve sorumlulukları konusunda daha fazla kafa karışıklığına da yol açabilir. (Profesyonel ipucu: NIST’in yeni Siber Güvenlik Çerçevesi 2.0 artık “Yönetim” kategorisini de içeriyor.)
Kültür ve liderlik farkındalığındaki değişiklikler zor kazanılır. Liderler mevcut operasyonları aksatacağı düşünülen yeni önlemleri uygulamaya direnebilir. Kayalıklardan uzaklaşmak zorunlu olsa da, liderler uzun vadeli dayanıklılık yerine kısa vadeli finansal kazanımlara öncelik verebilir, artan iyileştirmeler sunan ağ görünürlüğü gibi siber güvenlik yatırımlarını kaçırabilir. Genellikle bu tür endişeler, daha iyi, sade bir dille bilgi paylaşımı veya ihlallerin sonuçlarını veya siber güvenlik için kaynak gerekliliğini ele alan masa üstü uygulamalarla giderilir.
Kıdemli liderler en iyi uygulamaları takip ederek siber güvenliğe olan bağlılıklarını gösterebilirler. Biyoteknoloji firması Evotec’in bir siber saldırıya uğradığını öğrendikten sonra ofisine koşan CEO Werner Lanthaler’in örneğini düşünün. Lanthaler iyileştirme çalışmaları sırasında paydaşlarla, çalışanlarla ve medyayla konuşarak önden liderlik etti. Kuruluşunuzun liderliği de aynısını yapmaya hazır mıdır?
Riskler göz önüne alındığında, insanlara ve güvenlik kültürüne öncelik vererek siber evrenin koruyucuları olmanın zamanı geldi. İster yapay zeka destekli otomasyon, sorunların proaktif tespiti ve çözümü, ister risk yönetimi sorumluluklarının adil dağıtımı yoluyla elde edilsin, hedef dayanıklılık olmalıdır. Kuruluşunuzun geleceğinden daha az bir şey tehlikede değil.