Etkili iç tehdit savunması adayların incelenmesiyle başlar.
Geçmiş kontrolleri ve referans çağrıları, başvuru sahibinin geçmişine ait unsurları doğrulayabilir, ancak bunlar, ileride maliyetli sorunlara dönüşebilecek daha derin riskleri nadiren ortaya çıkarır. Kimlik doğrulama, kimlik bilgilerinin doğrulanması ve dijital risk değerlendirmelerinin işe alım sürecine dahil edilmesi gerekiyor.
Yeniden kullanılmış veya değiştirilmiş fotoğraflar, minimum çevrimiçi varlık veya yeni oluşturulan sosyal medya hesapları gibi göstergeler, bir adayın göründüğü kişi olmayabileceğinin sinyalini verebilir. Benzer şekilde, sahte referanslar sağlayan, şüpheli e-posta adresleri kullanan (çok sayıda harf veya sayı içeren veya yakın zamanda kaydedilmiş alışılmadık alanlardan gelenler) veya görüşmeler sırasında videoda görünmekten kaçınan başvuru sahipleri kimliklerini gizlemeye çalışıyor olabilir.
Niteliklerin bağımsız olarak doğrulanması ve aday havuzlarındaki referansların karşılaştırılması, geleneksel İK süreçlerinin gözden kaçırabileceği kalıpların ortaya çıkarılmasına yardımcı olur. Amaç bir güvensizlik ortamı yaratmak değil, bunun yerine adayların soruşturmanın sıkı ve orantılı olduğunu bildiği tutarlı, şeffaf bir çerçeve oluşturmaktır.
Bu, çalışanlarınızı ve kuruluşunuzu güvende tutmak için güveni varsaymak ve istihdam dolandırıcılığını ve içeriden gelen tehdit riskini nasıl tespit edeceğinizi bilmekle ilgilidir. İK’nın kültürel uyum anlayışı ve adayın amacına ilişkin bağlamsal içgörü ile birleştirildiğinde bu yaklaşım, kuruluşların dolandırıcılığı bir güvenlik yükümlülüğü haline gelmeden önce filtrelemesine yardımcı olur.
Güvenlik duvarının ötesine bakın
İşe alım öncesinde istihdam risklerini incelemiş olan güvenilir bir iş gücü oluşturan şirketler, ekiplerinin bütünlüğünü korumak için yeni ve anlamlı sinyaller aramaya devam etmelidir.
Günümüzün dolandırıcıları ve içerideki kötü niyetli kişiler genellikle dijital kırıntıları geleneksel bir organizasyonun doğrudan görünürlüğünün dışında bırakıyor. İşe alma ekipleri bu kırıntıları kendi başlarına bağlayamaz ve genel aday değerlendirmesinin bir parçası olarak gizli bağlantıları, geçmiş dolandırıcılık faaliyetlerini veya ilgili davranış kalıplarını ortaya çıkarmak için güvenlik ekibiyle ortaklık kurmalıdırlar.
Örneğin, kötü niyetli bir çalışanın harici dijital ayak izi, olağandışı ağ bağlantılarını, düşmanca çevrimiçi topluluklara katılımı veya bölünmüş bağlılıkları öneren “çoklu çalışma” kalıplarını ortaya çıkarabilir. Bir çalışanın özgeçmişi harika görünebilir, ancak çevrimiçi etkinliklerin incelenmesi, örneğin bilgisayar korsanlığı kolektifleri veya bilinen nefret gruplarıyla ilişki konusunda kırmızı bayrakların ortaya çıkmasına neden olabilir.
Ayrıca, işe alım sırasında IP etkinliğinin veya cihaz geçmişlerinin çapraz kontrolü, uzak bir çalışanın iddia ettiği kişi olup olmadığını ve şirket tarafından verilen varlıkların meşru adreslere gönderilip gönderilmediğini doğrulayabilir. Örneğin, Kuzey Koreli BT çalışanlarının ABD şirketleri tarafından işe alınmak için sahte kişilikler oluşturdukları hikayelerinden başka yere bakmamıza gerek yok.
Güvenlik duvarı dışı kontroller, yüz yüze doğrulamanın sınırlı olduğu uzak veya hibrit çalışma ortamlarında özellikle önemlidir. Pratik çıkarım, şirketlerin görünürlüklerini genişletmeleri gerektiğidir: Geleneksel İK süreçlerini harici dijital risk sinyalleriyle ne kadar çok birleştirirseniz ve dahili ekipler arasında işbirliği yaparsanız, dolandırıcı bir adayın şirketinizde tespit edilmeden çalışması o kadar zorlaşır.
Davranış göstergelerini tanıma
Sıkı işe alım uygulamalarında bile içeriden öğrenilenlerin riski statik değildir. İnsanların motivasyonları ve koşulları değişebilir ve bazen potansiyel tehlike işaretlerinin iyi niyetli açıklamaları olabilir. Bununla birlikte, riskin arttığına işaret eden herhangi bir davranış değişikliği olmadığından emin olmak için kuruluşların bir aday işe alındıktan sonra bile dikkatli olmaları gerekir.
Kırmızı bayraklar yalnızca içeriden gelen tehdit riskini belirtmekten daha fazlasını yapar; genellikle yardıma ihtiyacı olabilecek veya dış etki veya kontrolün hedefi olabilecek çalışanlara ilişkin dışarıdan belirtiler sağlar. Ancak, tek bir kırmızı bayrağın birini içeriden risk olarak etiketlemek için yeterli olmadığını unutmamak önemlidir; gerçek bir soruna işaret eden birkaç kırmızı bayrağın birikmesidir.
Ekibinizin düzenli olarak izlemesi gereken kırmızı bayraklar şunları içerir:
- Çalışma saatlerinde açıklanamayan değişiklikler, özellikle gece geç saatlerde veya hafta sonu faaliyetlerinde artış.
- Sık sık politika ihlalleri veya zorunlu eğitimlere uyulmaması, şirket protokollerinin göz ardı edildiğini gösteriyor.
- İş arama sitelerine artan ziyaretler veya rakiplere e-posta gönderilmesi; bu durum, ayrılmaya veya ayrılma hazırlığına işaret edebilir.
- Potansiyel çıkar çatışmalarını düşündüren rakipler veya yüklenicilerle gizli ilişkiler.
- Tartışmalı sosyal medya faaliyetleri veya yönetimle ilgili sık sık yapılan şikayetler, memnuniyetsizliğin yıkıcı davranışlara doğru tırmandığına işaret edebilir.
Bu sinyaller tek başına kötü niyetli niyeti doğrulamaz. Ancak bir çalışanın normal davranış kalıplarından bir sapma gösterdiklerinde bu, müdahalenin veya en azından daha yakından izlemenin gerekli olduğuna dair bir erken uyarıdır.
Teknik kırmızı bayrakları arayın
Davranışsal göstergeler denklemin yalnızca bir parçasıdır. Teknik ve organizasyonel işaretler aynı zamanda güvenlik ekiplerine bireyleri daha derinlemesine incelemelerini gerektiren ipuçları da sağlar. Aşırı büyük indirmeler, yetkisiz cihazların kullanımı ve günlük tutma girişimleri veya güvenlik özelliklerini devre dışı bırakma işlemlerinin tümü, kontrollerin kasıtlı olarak atlatıldığına işaret eder. Benzer şekilde, kişinin rolü dışındaki sistemlere erişmesi veya hassas dosyaları kişisel hesaplara göndermesi, potansiyel sızmanın doğrudan işaretleridir.
Stres altındaki veya iş güvensizliğiyle karşı karşıya kalan çalışanlar, ihmal veya kötü niyet nedeniyle suiistimallere daha yatkın hale gelebilir. Performans değerlendirmelerinde düşüş yaşayanlar, disiplin cezasıyla karşı karşıya kalanlar veya güvenlik yükseltmelerine direnç gösterenler daha yakından incelenmeye değer. İstifa bildiriminde bulunan çalışanlar izinsiz faaliyetlere karşı dikkatle izlenmelidir.
Daha önce de belirtildiği gibi, önemli olan bu olayları tek başına ele almamaktır. Tek bir kötü inceleme bile bir güvenlik endişesi olmayabilir, ancak aşağılayıcı gönderiler, alışılmadık sistem erişimi ve gece geç saatlerde yapılan veri aktarımlarıyla birleştiğinde, içeriden öğrenilen riskin arttığına dair güçlü bir sinyal sağlayabilir. Riskin gerçekleşmesini beklerseniz genellikle çok geç olur.
Dolandırıcılık olasılığını göz önünde bulundurun
İstihdam dolandırıcılığı başka bir karmaşıklık katmanı ekler. Sahtekar adaylar, sahte kimlik bilgileri veya yanlış beyan edilen kimlikler kullanarak, sahte beyanlarla giriş hakkı kazanabilirler. İçeri girdikten sonra hassas verilere erişimden faydalanabilir, işlerini dış kaynaklardan temin edebilir veya politikayı ihlal ederek birden fazla işi dengeleyebilirler.
Dolandırıcı adayların/çalışanların uyarı işaretleri şunları içerir:
- Röportaj iddialarıyla karşılaştırıldığında tutarsız performans.
- Uzak ayarlarda videonun önlenmesi.
- Yeni veya yapay görünümlü çevrimiçi profiller.
- Özgeçmişlerde veya LinkedIn hesaplarında yeniden kullanılan stok görseller.
- Uzaktan erişim yazılımının izinsiz kullanılması.
Bu modeller giderek daha yaygın hale geliyor ve bir soruşturma üzerinde İK, güvenlik ve hukuk birimlerinin işbirliği yapmasını gerektiriyor. Gelişmiş başvuru sahibi taraması, çoklu referans kontrolleri ve güçlü sanal kimlik doğrulama gibi güvenli işe alım uygulamaları temel korumalardır.
Çalışan yaşam döngüsüne entegre edin
İçeriden gelen tehdidin tanımı değişiyor. Bir zamanlar odak noktası kazara yanlış yapılandırmalar veya ihmallerdi, bugün giderek artan şekilde kötü niyetli eylemler, dolandırıcılık ve memnuniyetsizliğin veya kişisel baskıların riskli davranışlara yol açtığı hibrit vakalar yer alıyor.
Riskli adayları belirlemek artık yalnızca bir kerelik dolandırıcılığı önlemekle ilgili değil, aynı zamanda çalışanların tüm yaşam döngüsü boyunca insan riskini sürekli olarak değerlendirmekle de ilgili.
Yaşam döngüsü yaklaşımı üç prensibi birleştirir:
- İşe alım noktasında proaktif inceleme. Sahtekar adayları kapınıza sokmayın.
- Davranışsal, teknik ve organizasyonel göstergelerin sürekli izlenmesi. Değişiklikleri yükselmeden önce tespit edin.
- İK, hukuk ve güvenlik arasındaki işbirliği. İçgörülerin paylaşıldığından ve ardından hızla harekete geçildiğinden emin olun.
Kuruluşların, içeriden gelen tehditleri ortaya çıkarmak ve önlemek konusunda yenilik yapması gerekir. Kuruluşlar, kutuyu işaretlemenin ötesine geçerek, güvenlik duvarı dışındaki görünürlüğü genişleterek ve davranışsal, teknik ve organizasyonel sinyaller arasındaki etkileşimi tanıyarak etkili bir “erken uyarı sistemi” kurabilir ve sağlam, güvenilir bir iş gücü oluşturabilir.