YORUM
“‘İnsan hatası’ ile ilgili her basit ve bariz hikayenin altında, organizasyon hakkında daha derin, daha karmaşık bir hikaye vardır.”
— Sidney Dekker, İnsan Hatasını Anlamaya Yönelik Saha Rehberi
Deneyimlerime göre, sağlam siber savunmalar oluştururken ve sürdürürken kültür, stratejinin önüne geçiyor. Siber güvenlikte tüm yolların insanlara çıktığı apaçık bir gerçektir. Güvenlik özünde bir insan sorunudur ve insan merkezli bir çözüme ihtiyaç duyar. Kültürü bu kadar önemli kılan da budur.
Bizi tanımlayan şeyin durum değil, nasıl tepki verdiğimiz olduğu sıklıkla söylenir. En kötüsü gerçekleşirse ve şirketiniz bir ihlale maruz kalırsa, güvenlik kültürünüz küresel sahnede olacaktır. Tüm paydaşlarla nasıl iletişim kuracağınızı, etkileşim kuracağınızı ve onlara nasıl yanıt vereceğinizi yönlendiren kuzey yıldızınız olacaktır. Eğer senin kültür eksik, uzun vadeli siber olgunluğunuzu engelleyecek ve güvenilir ilişkilerinizi bozacaktır. Güven ve güvenlik hassas bir denge içindedir ve kültür onları birbirine bağlayan yapıştırıcıdır.
Kariyerim boyunca eğitimin temel direkleri hakkında değerli dersler öğrendim. güvenlik kültürü ve sadece iyi bir tane yaratmakla kalmayıp onu nasıl besleyeceğimizi de.
1. Doğru Zihniyeti Oluşturun
Öncelikle zihniyet önemli. Bir çalışanın yapamayacağı veya yapmaması gereken her şeye odaklanılan organizasyonlarla çalıştım. Dürüst olalım: Bu, en iyi niyetlerle bile insanların hatırlamayacağı veya iş günlerine pratik olarak entegre edemeyecekleri çok büyük bir liste. Bunun yerine senaryoyu tersine çevirmeyi öneriyorum; insanların yapabileceği ve yapması gereken olumlu eylemler nelerdir?
Örneğin, Secureworks’teki bir kişi hakkında emin olmadığı bir e-posta alırsa, bunu incelenmek üzere belirlenen tehdit ekibimize gönderebilir. Tehdit ekibi daha sonra takım arkadaşımıza durumun sorun olup olmadığını bildirmek için geri gelir. Ne olursa olsun, tehdit ekibi yanıtlarına her zaman aynı iki kelimeyle başlıyor: “teşekkür ederim.” Siber güvenlik bir takım sporudur ve her birimiz bir rol oynuyoruz. Bunu tüm biçimleriyle tanımak önemlidir. Bu “teşekkür ederim” aynı zamanda meraklı ve tetikte kalma konusunda da cesaret sağlar.
2. Empati Yapın
Üretken ve kapsayıcı bir güvenlik kültürü, suçlamayı reddeden bir kültürdür. Suçlama kültürü ters etki yapar ve takım arkadaşlarınızın kendilerini güçsüz hissetmelerine neden olur; sizin hissetmelerini istediğinizin tam tersi. Birisi yapmaması gereken bir şeyi tıklarsa, tararsa veya etkileşimde bulunursa bunu mümkün olan en kısa sürede bilmeniz gerekir. Eğer kültürünüz insanları suçluyorsa ve insanları utandırıyorsa, muhtemelen ya size söylemeyi ertelerler ya da hiç söylemezler ve bunu ilk öğreneceğiniz şey kırmızı ışıkların yanıp sönmeye başladığı zamandır. Siber suçlular insanlardan faydalanır; bu nedenle mağduru utandırarak veya kişiyi örnek göstererek etkiyi ikiye katlamayın. Bunun yerine, olaydan kolektif olarak neler öğrenebileceğinize odaklanın. siber stratejinizi zenginleştirin Gelecek için.
3. İletişim Kurun, İletişim Kurun, İletişim Kurun
Siber güvenlik söz konusu olduğunda çok fazla iletişim diye bir şey yoktur. Sırf bir e-posta göndermiş olmanız veya bir şirket toplantısında bir şeyden bahsetmeniz, mesajın iletildiği anlamına gelmez. İnsanların işlerinde ve yaşamlarında çok şey oluyor. İnsanlarla bulundukları yerde tanışın ve çok daha iyi sonuçlara sahip olacaksınız.
Öncelikle işletmenizin sahip olduğu iletişim kanallarını (intranet, Viva Engage, Slack, Teams, e-posta, ekip ve şirket toplantıları vb.) denetleyin ve bir iletişim stratejisi geliştirin. Hangi mesajlar hangi kanallarda en iyi şekilde yankı buluyor? Stratejik bir girişimle ilgili bir güncelleme yapıyorsanız, şirkette herkesin katılımıyla 10 dakikalık bir zaman dilimi uygun bir forum olabilir. Ancak aktif bir QR kimlik avı e-posta kampanyasından haberdarsanız, muhtemelen mümkün olan en kısa sürede tüm çalışanlara ulaşmak istersiniz, bu nedenle e-posta ve dahili mesaj panolarını bir arada kullanabilirsiniz.
Önemli olan sadece doğru mesajı doğru kanalla eşleştirmek değil, aynı zamanda kişiyi de eşleştirmek. Secureworks ekip arkadaşlarımızla siber güvenlik konusunda konuşan tek kişi ben olsaydım, beni dışlamak kolay olurdu. Bu yüzden herkese güç veriyoruz Liderler güvenlik hakkında konuşacak ekip toplantılarında CEO’muzun neden şirket toplantılarında bu alandaki yatırımlarımıza vurgu yaptığını anlattık. Farklı insanlar farklı bakış açıları getirir ve bu, siber güvenliğin öneminin aktarılması açısından çok önemlidir.
4. Ayaklarınızın üzerinde kalın
Yeni ve gelişen teknolojiler fırsatları ve zorlukları beraberinde getiriyor. Örneğin üretken yapay zeka (AI), ekip arkadaşlarına üretkenlik artışı sağlayabilir. Ancak onlar için güvenli bir oyun alanı yaratmazsanız, bu araçlara erişim ve onlarla etkileşime geçmek için kendi yollarını geliştireceklerdir. Bu yine insanlarla bulundukları yerde tanışmaya geliyor. Oluşturduğumuz güvenli bir ortamda yapay zekayla etkileşim kurmayı ve yapay zekayı kullanmayı kolaylaştırdık. Bu bir kazan-kazan durumu.
Tehdit ortamı hızla gelişiyor. Örneğin Deepfake’ler giderek daha da gelişiyor ve bu nedenle hasara neden olma potansiyeli taşıyor. Tipik olarak, insanları büyük miktarda para transferi gibi eylemlere yönlendirerek paniğe sevk etmeyi amaçlayan sahte bir aciliyet duygusu geliştirirler. Siber suçlular, taklit ettikleri yönetici ile çalışan arasındaki dinamiği manipüle etmeye çalışıyor. Bu nedenle insanları durumu sorgulamaya teşvik etmemiz ve onlara, konuştukları kişinin kimliğini doğrulamalarına olanak tanıyan basit araçlara erişmelerini sağlamamız çok önemli.
Siber Güvenlik Bir Takım Sporudur
Yukarıda özetlediğim şeyler tek başına gerçekleşmez. İK ve iletişimden hukuk ve ötesine kadar işletme içindeki birçok farklı fonksiyonda çalışmanız gerekir. Bu ekiplerle ortak hedefiniz konusunda net olun: neden onların desteğini istiyorsunuz ve birlikte çalışmanın yaratacağına inandığınız etki. Planlarınızı paylaşın ve onlara ekiplerinin neden planın başarısı açısından bu kadar önemli olduğunu gösterin. Ortak bir hedef tüm işi harekete geçirir.
Ve böylece kendimizi güven ve emniyetle başlangıçta buluyoruz. İyi bir siber güvenlik kültürü, ekip arkadaşlarının iyi kararlar almasına güvenir ve onları güçlendirir. Bu güven de siber güvenlik ile işletme arasında daha verimli bir ilişkiyi körüklüyor. Kültür sürekli beslenmesi gereken canlı bir varlıktır. İhtiyaç duyduğu özveriyi gösterin, sonuç olarak işletmeniz daha güvenli olacaktır.