Editörün notu: Aşağıdaki, Forrester’ın Baş Analisti Başkan Yardımcısı Jinan Budge’ın konuk makalesidir.
Onlarca yıldır firmalar, güvenliğin insani yönünü ele almak için güvenlik farkındalığına ve eğitime güvendiler. İnsan kaynaklı saldırılarla mücadeleye yönelik öneriler bu tek sihirli çözümle sınırlıydı.
Kuruluşların %97’si SA&T gerçekleştirdiklerini bildirmesine rağmen, iş e-postasının gizliliğinin ihlali gibi insan kaynaklı saldırılar dört katına çıktı.
CISO’lar kuruluşlarında güvenlik kültürlerini aşılamamıştır ve eğitim, öğrenciler arasında sürtüşmeye neden olmaya devam etmektedir. Bu eğitim sayesinde hangi davranışların değiştiğini kimse bilemez.
2024’te, hayal kırıklığına uğramış CISO’lar ve ekiplerinin güvenliğe ayak uydurmak için insanlara olan bağımlılığı ortadan kaldıran çözümler ve gerçek bir değişim yaratmak için SA&T’ye alternatifler aramasıyla, insan riski yönetimi fikri konseptten gerçeğe dönüştü.
SA&T satıcıları artık markalamalarında HRM’yi kullanıyor ve büyük SA&T etkinlikleri, HRM’yi içerecek şekilde yeniden adlandırıldı. İnsan risk yönetimi olgunluk modelleri ortaya çıktı ve iş tanımları, güvenlik davranışı değişikliğine, kültürüne ve insan riskinin yönetilmesine odaklanacak şekilde gelişti.
İşletmeler insan risk yönetimini aşağıdaki amaçlarla kullanmalıdır:
- İnsan güvenliği davranışlarını tespit edip ölçün ve insan riskini ölçün.
- İnsan riskine dayalı politika ve eğitim müdahalelerini başlatın.
- İş gücünü eğitin ve kendilerini ve kuruluşlarını siber saldırılara karşı korumalarını sağlayın.
- Olumlu bir güvenlik kültürü oluşturun.
HRM ile, çoğu zaman geçerliliğini yitirmiş düzenleyici gerekliliklerin (herkese uygun tek çözüm SA&T’nin geleneksel amacı) karşılanması, ikincil bir kullanım durumu haline gelir.
İnsan Kaynakları Yönetiminin dünü, bugünü ve geleceği
Forrester, SA&T’den İKY’ye geçişe bütünsel olarak bakarken aşağıdaki değişikliklerin gerçekleşeceğini öngörüyor:
Kısa vadede çoğu kuruluş hâlâ eğitime odaklanacak, ancak bu uzun sürmeyecek.
Yirmi yıl boyunca güvenlik ekipleri ve satıcılar güvenlik eğitimini yavaş yavaş ve aşamalı olarak geliştirdiler. Sonuçlara, diğer bir deyişle SA&T’ye değil, insanları eğitme yöntemlerimize odaklandılar.
Bu, güvenlik eğitimi için düzenleyici gereksinimleri karşılarken, başka pek bir şey de elde etmedi. Pek çok firma artık eğitime devam ederken İKY’ye geçişi araştırıyor.
Orta vadede güvenlik fonksiyonu odağını insan davranışına, riske ve kültüre yönlendirecek.
HRM, SA&T’nin eksikliklerini giderecek. Çalışanların güvenlik davranışlarını olumlu bir şekilde etkilemek ve bir güvenlik kültürünü aşılamak, kanıta dayalı insan risk yönetimi ile sağlanacaktır. Yenilikçiler ve ilk benimseyenler halihazırda İKY’yi kullanıyor ve çoğu firmanın dört yıl içinde bunu yapması bekleniyor.
Uzun vadede kuruluşlar, uyarlanabilir insan korumasına doğru ilerleyecek.
Bu, insanların, süreçlerin ve teknolojilerin, insani güvenlik davranışlarını tespit etmek ve tahmin etmek için birlikte çalışması anlamına gelir.
Bu aynı zamanda politikaları, eğitimleri ve teknolojileri, insanları çok az çaba gerektirecek veya hiç çaba gerektirmeyecek şekilde koruyacak şekilde ayarlamak anlamına da gelir.
Bu gelecek, çoğu kişi için gerçekçi olarak yıllar (muhtemelen beş ila sekiz yıl) geleceğe işaret ediyor.
Güvenlik liderleri geleceği kucaklamalı
İnsan Kaynakları Yönetimi’ni ilk benimseyenler, insan kaynaklı ihlaller sorununa yeni bir şekilde yaklaşmayla ilgili zihniyet, strateji, süreç ve teknolojide önemli bir değişiklik göstermektedir. Bu geleceğe doğru ilerlemek için güvenlik liderleri şunları yapmalıdır:
SA&T’nizin amacını, kapsamını ve terminolojisini değiştirin ve iyileştirin.
Programı tanımlamak için kullandığınız dili hedefi yansıtacak şekilde değiştirin. Bu, niyetinizi gösterecek şekilde ekibinizin ve program adlarınızın değiştirilmesi anlamına gelir; dijital kullanıcı davranışı ekipleri, insan risk yönetimi programları veya siber etki ve katılım için yönetici rolleri oluşturan CISO’ların liderliğini üstlenmek.
Davranış değişikliğini yalnızca tahmin etmeyin, ölçün.
E-posta, sosyal mühendislik ve uç nokta gibi tanıdık güvenlik araçlarıyla entegre olarak güvenlik kategorileri yelpazesindeki güvenlik davranışlarını ölçmeye çalışın.
Mevcut davranışları temel alın ve bu davranışların eğitim nedeniyle nasıl değiştiğini ölçün.
İnsan riskini kapsamlı ve doğru bir şekilde ölçün.
Sınav puanları ve katılım oranları, geçmiş bir döneme ait ölçümlerdir.
İnsan riskini ölçmek için dört temel noktayı dikkate alan kapsamlı ve doğru bir metodoloji kullanın: bireylerin gerçek davranışları, kimliği, kişisel saldırıya maruz kalma durumu ve güvenlik bilgisi ve duyarlılığı.
Sonuçlara ve etkililiğe odaklanın.
Eğitimi tamamlama oranları ve katılım puanları aktiviteyi ölçer ancak eğitiminizin ne kadar etkili olduğunu size söylemez. İKY ölçümleri davranış değişikliğini, risk azalmasını veya genel güvenlik duruşunda bir iyileşmeyi göstermelidir.
Doğru zamanda ve doğru yerde müdahaleler ve uygulanabilir rehberlik sağlayın.
Kişinin veya ekibin risk puanına ve davranışlarına göre riskli davranış noktasında müdahale edin.
Müdahaleler, ayrıcalıkların engellenmesi gibi politikaya dayalı veya riskli bir eylem noktasında kullanıcıları dürtmek, yönlendirmek veya bilgilendirmek gibi eğitime dayalı olabilir.
Bu adım, herkese uyan tek boyutlu eğitimin neden olduğu sürtüşmeleri ve üretkenlik sorunlarını ortadan kaldırır.
Doğru satıcıyla iş ortaklığı yapın.
Bunu tek başınıza yapmayın; yukarıdakileri yapabilecek kapasiteyi geliştirmek maliyetli ve karmaşıktır. SA&T satıcınız muhtemelen çözümünü HRM’ye kaydırmış veya bunu yapma sürecindedir.
Ancak dikkatli olun; çoğu SA&T tedarikçisi kesinti ihtiyacını anlayıp zihniyetlerini, stratejilerini, teknolojilerini ve terminolojilerini değiştirirken, geçişe farklı düzeylerde aciliyet ve netlikle yaklaşıyorlar.
HRM yeteneklerini siz sormadan çok önce geliştiren satıcıları arayın, çünkü onlar bunun yapılması gereken doğru şey olduğunu biliyorlardı ve bu yolculukta sizi yönlendirecek doğru satış, müşteri başarısı ve yol haritası mekanizmalarıyla kurulmuşlardı.