Yönetişim ve Risk Yönetimi, İçeriden Tehdit
İş piyasasındaki son ayaklanmalar, güvenlik odaklı bir kültüre duyulan ihtiyacı vurgulamaktadır
Brandy Harris •
26 Şubat 2025
İçerideki risk programınızı desteklemek için en iyi zaman ne zaman? Birçok şirket ve ABD federal hükümeti için o zaman şu anda. Bugün.
Ayrıca bakınız: Uygun bir BYOD politikası için kapsamlı kılavuz
Kurumsal Amerika’daki son büyük ölçekli işten çıkarmalar ve son derece görünür maliyet düşüren federal programlar – yaklaşmakta olan işten çıkarma tehdidi ile – çalışanlara güven krizi yaratıyor. Bu iş güvenliği korkuları, içeriden veri hırsızlığına, hassas bilgilerin sızıntılarına ve açık sabotaja dönüşebilir.
Siber güvenlik ekipleri, veri kaybı koruması ve veri güvenliği duruş yönetimi gibi teknik kontroller açısından düşünmektedir. Veri yönetişimi politikaları ve eğitimi de güçlü bir içeriden gelen risk programının önemli bileşenleridir, ancak bu gibi zamanlarda başarının gerçek anahtarı kuruluşunuzun kültüründe yatmaktadır. Çalışanlarınız değerli hissediyor mu? Kuruluşun güvenliğine ve müşterilerinizin gizliliğine değer veriyorlar mı? Cevap hayır ise, içeriden gelen tehdit seviyeniz grafiklerden çıkabilir.
İnsan merkezli bir zihniyet oluşturmak
Nereden başlıyorsun? Her kuruluşun en büyük varlığının çalışanları olduğunu ve bunun güvenliği korumadaki rollerini içerdiğini hatırlayalım. Katkılarından dolayı güvenilir ve tanınmış hisseden çalışanların, hassas verilerin korunması konusunda sahip olma olasılığı daha yüksektir. Bu yaklaşım, siber güvenliği tamamen teknik bir alandan kuruluş genelinde yankılanan ortak bir sorumluluğa kaydırır. Endüstri terimi “içeriden tehdit” iken, bu günlerde çoğu kuruluş çalışanlarla “içeriden risk” hakkında konuşuyor. Çalışanları tehdit olarak etiketlemek yerine, yönetim, dikkatsiz veya kötü niyetli davranışların tüm kuruluşa yöneltme risklerini vurgulamalıdır.
Çalışanlar yönetimin refahlarına öncelik verdiğini düşündüklerinde, özellikle istikrarsız ekonomik iklimlerde, daha uyanık hale gelirler ve şüpheli olayları veya anomalileri bildirmeye istekli olurlar. Yaklaşan işten çıkarmalar veya otomasyon hakkındaki artan korkular, çalışanların genellikle değersiz hissettirmesini sağlar, bu da hayal kırıklığının veri kötüye kullanımında ortaya çıkma riskini artırır. Örgütler, empati, sadakat ve şeffaflığa dayanan insan merkezli bir zihniyeti teşvik ederek, korku iklimi yaratmadan içeriden gelen riski azaltabilir.
Devam eden güvenlik eğitimine öncelik vermek
Kültürünüzü değiştirmek için çalışanlar sırasında güvenlik bilinci eğitimi veya yılda bir kez çevrimiçi bir kursta bir oturumdan daha fazlasını gerektirir. Siber teller sürekli gelişir ve farkındalık bu değişikliklere ayak uydurmalıdır. Yeni saldırı vektörlerine, sosyal mühendislik taktiklerine ve ilgili vaka çalışmalarına hitap eden düzenli atölyeler veya çevrimiçi modüller, çalışanları bilgilendirmeye teşvik eder. Çalışanlar bu tehditlerin kendi rolleriyle nasıl kesiştiğini görebildiklerinde, günlük görevlerde güvenli davranışlar uygulama olasılıkları daha yüksektir.
Sürekli eğitim ayrıca, her çalışanı güvenliğe proaktif bir katkı olarak konumlandırarak örgütsel değişiklikler veya gelişmekte olan teknolojiler hakkındaki kaygıyı hafifletmeye yardımcı olur. Kuruluşlar, hem ilgi çekici hem de farklı rollere uyarlanabilir kaynaklar sunarak, içeriden gelen riske karşı genel esnekliği destekleyen sürekli öğrenme kültürü yaratırlar. Örneğin, eğitim yoluyla gevşek veri yönetimi uygulamalarına dikkat çekmek hoşnutsuz bir içeriden hassas verilere veya sistemlere erişmesini engelleyebilir.
Personelin yalnızca ihtiyaç duydukları verilere erişebildiği en az ayrıcalık ilkesinin uygulanması, yanlışlıkla verilere maruz kalma veya kasıtlı kötüye kullanım fırsatlarını azaltmaya yardımcı olur. Etkinlik izleme, tekrarlanan başarısız giriş girişimleri veya anormal dosya transferleri gibi olağandışı davranışları tespit edebilir, ancak amacını herkesin yararına bir koruma olarak açıklayan şeffaf bir şekilde yapılmalıdır.
İş güvensizliğinin artan stres veya dürtüsel karar almaya yol açabileceği bir iklimde, izleme önlemleri hakkında açık ve şefkatli iletişim, polislik duygularını azaltabilir. Çalışanlar, gözetimin mikro yönetim ile değil, şirketin kolektif çıkarlarının proaktif korunması ile ilgili olduğunu anladıklarında daha alıcıdır. Bu dengeli yaklaşım, bir şüphe ortamından ziyade ortak bir sorumluluk duygusunu teşvik eder.
İşbirliği geliştirmek
Güvenlik asla tek bir departmanın alanı olarak görülmemelidir. Güvenlik hususlarını günlük operasyonlara dokunarak, her ekip içeriden gelen riskleri azaltmada aktif bir katılımcı haline gelir. İnsan kaynakları, dışarıya kadar tutarlı politikaların yer almasını sağlamak için BT ve departman yöneticileri ile yakın bir şekilde koordine edebilirken, liderlik güçlü bir savunma duruşunu sürdürmede işin farklı alanlarını birleştiren çapraz fonksiyonel eğitime sponsor olabilir.
Şirket liderliği tonu belirlemekten sorumludur ve büyük işten çıkarmalar ve teknolojik belirsizlik ile işaretlenmiş bir dönemde açıklık ve desteğin göstermek çok önemlidir. Personelinizin sizin için önemli olduğunu bildirin ve potansiyel risklerle ilgili fikirleri veya endişeleri paylaşmaya teşvik edin. Bu işbirlikçi model, her çalışanın pazarlama, satış, finans veya ürün geliştirmede çalışsalar da veri ihlallerini önlemek de dahil olmak üzere şirket hedeflerine katkıda bulunduğu ve şirket hedeflerine katkıda bulunduğu karşılıklı anlayışını güçlendirir. Birbirine bağlı güvenlik ve iş operasyonları ne kadar çok olursa, potansiyel içeriden risklerin fark edilmeden geçmesi daha az olasıdır.
Güvenliği organizasyonel DNA’nıza yerleştirme
İçeriden risk her zaman bir gerçeklik olacaktır, ancak pozitif, güvenlik odaklı bir kültürü şekillendiren işverenler, sorunları erken tespit edip etkisiz hale getirebilir. Teknik önlemler gereklidir, ancak katılımlı ve bilgilendirilmiş çalışanlar tarafından desteklendiğinde katlanarak daha etkili olabilirler.
Güven, sürekli eğitim ve bölümler arası işbirliğine öncelik vererek, kuruluşunuz güvenliği DNA’sına yerleştirebilir. Bu yaklaşım sadece hassas verileri korumakla kalmaz, aynı zamanda çalışanların moralini güçlendirir ve toplu sorumluluk duygusunu teşvik eder. İş piyasasındaki büyük değişimlerin ortasında, istikrar ve saygı ortamını sürdüren liderler, içeriden öğrenen daha az olay ve daha büyük bir birlik duygusu yaşayacak ve bu da kuruluşun ortaya çıktıkça güvenlik zorluklarına güvenle uyum sağlamasını sağlayacaklardır.