Yıllar boyunca siber güvenlik sıklıkla (ve alaycı bir şekilde) “No.” Departmanı olarak anılıyordu. Şirket yöneticileri, inovasyon karşısında siber güvenlik ekiplerinin fikirleri bir kenara atacağından, projenin neden güvensiz olduğunun nedenlerini ve yapmak istedikleri şeyin neden uygulanabilir olmadığının nedenlerini sıralayacaklarından yakınıyordu. Sonra bir zihniyet değişikliği geldi. Güvenlik bütçeleri için yapılan yatırımın geri dönüşünü göstermekle görevlendirilen güvenlik liderlerinin sayısı arttıkça, güvenlik departmanları daha sık “evet” demenin yollarını bulmaya başladı.
Güvenlik liderliği ve yönetimi üzerine düzenli olarak yazılar yazan, endüstri emektarı, lider ve güvenlik araştırmacısı Rami McCarthy’ye göre, güvenliğin “Hayır Departmanı” etiketini ortadan kaldırma çabaları çok fazla ters yöne gitmiş olabilir. “Son zamanlarda her BSide [conference] Görünüşe göre ‘Hayır’dan kaçınmak ve güvenlik ekiplerini ‘Evet Departmanı’ olarak yeniden çerçevelemek konusunda bir konuşma yapıyor.” McCarthy yakın zamanda yazdı bu görüşmelerin “Hayır” demenin doğası gereği kötü olduğu ve ne pahasına olursa olsun bundan kaçınılması gerektiği yönünde yanlış bir önermenin yaratılmasına yardımcı olduğunu belirtiyor. Güvenlik, etkinleştirme ve uyum sağlama coşkusuyla çoğu zaman kasıtlı, stratejik bir “Hayır”ın değerini ve bunun kuruluşu korumak için nasıl sınırlar yaratabileceğini gözden kaçırır.
McCarthy, Dark Reading’e “‘Evet Departmanı’ konuşmaları ilham verici, ancak çoğu zaman karmaşık gerçekleri gözden kaçırıyorlar” diyor. “Ortaklık odaklı güvenlik programlarında çalışırken, zorlu konuşmalardan kaçınmanın neden olduğu zararı gördüm: gecikmiş ‘Hayır’lar teslimatı aksatıyor, teknik borçlar ve tükenmiş ekipler.”
McCarthy, güvenliğin amacının bir engel olmak değil, bir rehber olmak olduğuna inanıyor ve bazen yol göstermek, açık, düşünceli ve yapıcı bir şekilde hayır demek anlamına geliyor. Güvenlik kavramının “Hayır Dairesi” olması uzun süredir bekçiliği ve düşmanca yaklaşımı nedeniyle eleştiriliyor. Ancak güvenlik ekiplerini kolaylaştırıcılar olarak yeniden tanımlamaya çalışırken, kuruluşların aşırı düzeltme yapma ve acı gerçeklerden ziyade uyumu önceliklendirme riskiyle karşı karşıya olduğunu söylüyor.
“Hayır” demek, riski yönetmek ve uyumu sürdürmek için gerekli bir araçtır. McCarthy, bundan tamamen kaçınmanın yanlış hizalama, bunalmış ekipler ve yönetilmeyen riskler gibi zorluklar yaratabileceği konusunda uyarıyor.
“Güvenlik ekipleri, düşük yatırım getirisi risklerini azaltarak kuruluşun daha yüksek yatırım getirisi fırsatlarına odaklanmasına olanak tanıyarak en fazla değeri katabilir” diyor. “Bu, ne zaman “hayır” denileceği konusunda seçici olmak ve kararların çerçevesini iş hedefleriyle nasıl uyumlu olacaklarına göre belirlemek anlamına geliyor. İyi uygulandığında güvenlik yalnızca riski azaltmakla kalmaz, aynı zamanda şirketin daha akıllı, daha cesur riskler almasını sağlar.”
“Hayır”dan Kaçmanın Maliyeti
Davranış bilimci ve siber güvenlik uzmanı Dr. Jessica Barker, “hayır” kelimesinden kaçınmanın kademeli etkiler yaratabileceğini söylüyor. Empatiyle ifade edilen, iyi düşünülmüş bir “hayır”ın, bir engel olmaktan ziyade kuruluşa bir hizmet olabileceğini savunuyor.
Barker, “Empati insanları memnun etmez. Bu, talepte bulunan kişi veya ekibin bakış açısını anlamak, bu anlayışı yansıtmak ve isteklerinin neden mümkün olmadığını veya bir alternatifin neden daha iyi bir seçenek olduğunu açıklamakla ilgilidir” diyor.
Ancak güvenliğin evet deme ihtiyacının önemi üzerine yazan etik hacker ve siber güvenlik danışmanı Tom Van de Wiele, çok sık “hayır” deme risklerinin de bulunduğunu söylüyor. İnsanlara “hayır” demenin tuzaklarının çoğu zaman incinmiş duyguların ötesine geçtiğini söylüyor.
“En büyük risk, insanların güvenlik konusunda hep birlikte çalışmalarıdır. Bu gerçekleştiğinde, veriler kontrolsüz ortamlara girebilir ve kuruluş kimin neyi kullandığına, bilginin nerede yaşadığına ve nasıl korunduğuna dair görünürlüğü kaybeder.”
Kaçınma, gölge BT’ye, teknik borca ve kalıcı hale gelen geçici geçici çözümlere yol açarak önemli güvenlik açıkları yaratabilir.
Etkili Bir Şekilde “Hayır” Nasıl Denir?
Peki güvenlik liderleri, işi mümkün kılmak için evet deme ihtiyacını ve aynı zamanda gerektiğinde “hayır” demeyi nasıl iyi bir şekilde dengeleyebilir? Her zaman basit değildir. Kötü bir şekilde ele alınan bir “hayır” vermek, güveni zedeleyebilir ve organizasyonel süreçleri bozabilir. McCarthy, bağlam olmadan “hayır” cevabı vermekten, bunu çok geç söylemekten veya tutarsız bir şekilde yapmaktan kaçınmanın önemli olduğunu söylüyor. Güveni artırmak ve paydaşların güvenliğin rolünü anlamasını sağlamak için kararları iş hedefleriyle uyumlu hale getirme ihtiyacını vurguluyor.
Barker, yapıcı iletişimin kritik öneme sahip olduğunu vurguluyor. “İnsanlar genellikle her şeyden çok seslerinin duyulmasını ve saygı duyulmasını isterler” diyor. “İletişimin nasıl alınıp iletildiği büyük bir fark yaratıyor.”
Güvenlik ekipleri, güvenlik kararlarını iş hedefleriyle uyumlu hale getirerek ve bunları ortak öncelikler olarak sunarak güven ve işbirliği oluşturabilir.
Van de Wiele, açık iletişimin önemini vurguluyor ve bir ortaklık kültürünü geliştirmek için “bana her şeyi sor” oturumları ve düzenli stand-up toplantıları gibi girişimler öneriyor.
“Çalışanlar, güvenlik ekibinin gerçekten işlerini kolaylaştırmak istediğini gördüklerinde, onaylanmış süreçleri takip etme ve rehberlik arama olasılıkları daha yüksek” diyor.
Daha İyi Hayırlar İçin Bir Çerçeve
McCarthy, iş hedefleriyle uyumlu ve güven inşa eden yapıcı bir “hayır” yanıtı vermek için çeşitli stratejiler öneriyor:
-
İş Sonuçlarına Uyum Sağlayın: Karar vermeden önce tüm paydaşların ortak öncelikler ve organizasyonel hedefler üzerinde anlaşmaya varmasını sağlayın.
-
Bağlam Sağlayın: İlgili riskler ve bunların önceliklere nasıl uyum sağladığı da dahil olmak üzere, kararların gerekçelerini açıkça iletin.
-
Tutarlı olun: Paydaşların ne bekleyeceklerini bilmeleri için net politikalar ve standartlar sağlayarak güven oluşturun.
-
Ortaklığı Gösterin: Mümkün olduğunda ilerleme için güvenli yollar veya zaman çizelgeleri sağlayarak iş hedefleriyle uyumu güçlendirin.
-
Kritik Kararlara Öncelik Verin: Kesin kararları önemli risklere veya yüksek öncelikli durumlara saklayarak, ne zaman “hayır” diyeceğiniz konusunda seçici olun.
McCarthy, “En etkili strateji, işi mümkün kılmaya odaklandığınızı söylemek değil, göstermektir” diyor. “Güvenliği gelir getirici çabalarla uyumlu hale getirme fırsatlarını arayın. Bu uyumu güçlendirin ve diğer ekiplerle güven inşa edin.”