Siber Güvenlik Farkındalık Ayı 2019 için özellikle teknoloji dışı kullanıcılara yönelik günlük bir blog dizisi yayınladım.
Bu Ekim ayında güvenlik farkındalığıyla ilgili daha kısa bir dizi daha yazmayı düşünüyordum. ‘İlgili’ kelimesini bilinçli olarak kullandım çünkü bloglar bir güvenlik kültürü oluşturmaya yönelik olacak. Birazdan göreceğimiz gibi kültür, farkındalığın çok ötesine geçer.
Bu arada tarih 25 Ekim ve bu ay sonuna kadar aklımdaki farklı blogları kesinlikle bitirmeyeceğim. Ama sonunda ilk yazıyla başlamanın mutluluğunu yaşıyorum.
Ne ve neden?
Bu serideki bloglar benim gibi güvenlik kültürü oluşturma yolunda olan güvenlik profesyonellerine yöneliktir.
Kesinlikle bu alanda uzman olduğumu iddia etmiyorum, ancak bu yolda edindiğim kendi düşünce ve deneyimlerimi paylaşmak isterim. Ne işe yaradı, ne yaramadı? Daha da önemlisi neden işe yaramadı ve nasıl daha iyisini yapabiliriz?
Umarım diğer güvenlik profesyonelleri için de faydalıdır ve konu hakkında güzel tartışmalara yol açar.
En azından yeterince ilgi var gibi görünüyor, hadi gidelim!
Farkındalık
Sanırım her güvenlik uzmanına bir noktada belirli bir çözümün güvenli olup olmadığı sorulmuştur. Ne yazık ki bu soruya doğru bir şekilde cevap verilemez. Güvenlik ikili bir sistem değildir; saldırıya uğramaz veya %100 güvenli diye bir şey yoktur.
Bir ürünü veya hizmeti güvence altına almak, zincirdeki her halkayı uzlaşmaya karşı mümkün olduğunca dirençli hale getirmeye yönelik en iyi çabadır. Biz insanların en savunmasız halka olduğumuz talihsiz bir gerçek.
Şirketlerin geleneksel olarak güvenlik farkındalığına yatırım yapmalarının nedeni budur. Wikipedia’da şu şekilde tanımlanıyor:
Güvenlik farkındalığı bir kuruluşun üyelerinin, o kuruluşun fiziksel ve özellikle bilgi varlıklarının korunmasına ilişkin sahip olduğu bilgi ve tutumdur.
Birçok kuruluş, yıllık uyum eğitimleri, öğle yemeği oturumları, kimlik avı simülasyonları, koridordaki posterler vb. yoluyla çalışanlarının farkındalığını artırmaya çalışmaktadır.
Çoğu zaman aynı şeyin fazlası olur ve insanlar sıkılır ve ilgilerini kaybederler. Ulaşmak istediğinin tam tersi.
Ben de aynı hataları yaptım ve bazı şeylerin değişmesi gerektiğini anlamam biraz zaman aldı. Bu, yukarıda belirtilen etkinliklerin güvenlik kültürü programınızda yeri olamayacağı veya olmaması gerektiği anlamına gelmez, ancak elinizdeki iş için araç setinizde doğru aracı kullanmanız önemlidir.
Ayrıca kurumsal ortamlardaki belirli farkındalık faaliyetleri üzerinde sınırlı etkinizin olabileceğini unutmayın. Ancak bu, fark yaratamayacağınız anlamına gelmez.
Farkında olmam umurumda olduğu anlamına gelmiyor
Farkındalık tek başına yeterli değildir. Perry Carpenter’ın ‘Dönüşümsel Güvenlik Farkındalığı’ kitabında güvenlik farkındalığının 3 gerçekliğini tanımlaması gerçekten hoşuma gidiyor.
- Farkında olmam umurumda olduğu anlamına gelmiyor.
- Eğer insan doğasına aykırı çalışmaya çalışırsanız başarısız olursunuz.
- Çalışanlarınızın ne yaptıkları, bildiklerinden çok daha önemlidir.
Gerçekten istediğiniz şey bir güvenlik kültürüdür. Peki aslında güvenlik kültürü nedir? Öncelikle Merriam-Webster’ın kültürü nasıl tanımladığına bakalım:
Bir yerde veya kuruluşta (işletme gibi) var olan bir düşünme, davranış veya çalışma biçimi
Güvenlik kültürü, bir kuruluştaki güvenliği etkileyen kültürdür. Bir güvenlik kültürü içerisinde iyi güvenlik uygulamaları, kuruluşunuzdaki her çalışanın günlük yaşamının bir parçasıdır.
Farkındalık ve kültür arasındaki farkları görebiliyor musunuz? Farkındalık insanların ne bildiğiyle ilgiliyken, kültür insanların nasıl düşündüğü ve davrandığıyla ilgilidir.
Bir güvenlik kültürü oluşturmak tek seferlik değil, açık hedefler ve ölçümlerle sürekli ve yinelenen bir iyileştirme sürecidir. Planlamanız ve yönetmeniz gereken, farklı projelerin yer aldığı bir programdır. Bu öylece olacak bir şey değil.
Gelecek bloglarda size proje yönetimi planlarını göstermeyeceğim, ancak daha önce de yazdığım gibi, güvenlik şampiyonları (veya savunucuları), güvenliğe katılım ve iletişim gibi konular hakkında birkaçını saymak gerekirse kendi düşüncelerimi ve deneyimlerimi paylaşacağım.