Siber Güvenlikte İnsan Faktörü
Günümüzde birçok kuruluş, siber güvenlik alanında iki on yılı aşkın süredir geliştirilmiş olgun ve karmaşık mimarilerle karşı karşıya kalmaktadır. Ancak bu süreçte, organizasyonlar zor bir gerçekle yüzleşmek zorunda kalıyorlar: Tek başına teknolojik araçlar ve altyapılar siber riskleri azaltmak için yeterli değil. Daha karmaşık hale gelen teknik yığınlar, siber saldırganların ilgisini değiştirmiştir. Artık saldırılar daha çok altyapı zayıflıkları yerine insan davranışları üzerinden gerçekleştirilmekte.
Birçok modern siber güvenlik ihlali, başlangıçta bir sıfır gün açık teknolojisi kullanmak yerine, insanların zayıf noktalarını hedef almaktadır. Verizon’un 2024 yılı için yayınladığı Veri İhlal Soruşturma Raporu, insan riskinin dünya genelindeki ihlalleri tetikleyen en büyük faktör olduğunu ortaya koymaktadır. Bu raporda, ihlallerin neredeyse %60’ının bir insan unsuru içerdiği belirtilmiştir. Ancak burada yanlış anlaşılmalara da dikkat etmek gerekmektedir. “İnsanlar en zayıf halkadır” ifadesi, ihlaller ortaya çıktığında çalışanların suçlu olduğu anlamına gelmemektedir. Çoğu durumda, kullanıcılar güvenlikte başarısız olmamakta, aksine güvenlik ortamı onları zor durumda bırakmaktadır.
Siber güvenlik stratejileri, güvenliği daha karmaşık hale getirdiğinde veya politikalarda aşırı teknik bir dil kullanıldığında, çalışanlar bu durumdan olumsuz etkilenmektedir. Güvenlikte ihtiyaç duyulan değişiklikler yalnızca daha fazla teknoloji benimsemek ya da mevcut politikalara sıkı sıkıya bağlı kalmakla sağlanamaz. Daha çok, güçlü bir organizasyonel güvenlik kültürü oluşturmak, insan riskinin etkilerini azaltmak için gerekmektedir.
Güvenlik Kültürünün Tanımı
Her organizasyonun, en azından yüzeyde bir güvenlik kültürü bulunmaktadır. Ancak, bu kültür gerçekten istenen bir kültür mü? Güvenlik kültürü, organizasyon genelinde siber güvenliğe dair paylaşılan algılar, inançlar ve tutumlar bütünüdür. Çalışanlar güvenliğin önemine inanıyor mu? Kendilerini korumakla yükümlü hissediyorlar mı? Hedef olduklarını düşünüyorlar mı? Eğer bu inançlar güçlü bir şekilde var ise, güvenlik davranışları da buna paralel olarak gelişir.
Bu bağlamda, güvenlik kültürünü güçlendirmek için odaklanılması gereken temel alanlar şunlardır:
Liderlik Mesajları: Kültür üst yönetimden başlar. Güvenlik, bütçelendirme, ikramiyelere bağlılık veya CISO’nun organizasyon şemasındaki konumu ile önceliklendirilirse, bu, güçlü bir mesaj verir. Aksi takdirde, basit söylemler bile güvenlik algısını değiştiremeyecektir.
Güvenlik Ekibinin Katılımı: Güvenlik kültürünü yalnızca üst düzey yöneticiler şekillendirmez. Çalışanların güvenlik ekibi ile günlük deneyimleri de bu kültürü belirler. Ekibin tutumu, yardımcı mı yoksa düşmanca mı oldukları, güvenilir bir güvenlik ortamı oluşturmak açısından kritik öneme sahiptir.
Politika Tasarımı: Politikalar, sürekli etkileşimde bulundukları bir noktadır. Aşırı teknik veya zor anlaşılır politikalar, çalışanların güvenliğe olan inancını zayıflatabilir. Basit ve sezgisel politikalar ise, güvenliğin ulaşılabilir olduğunu pekiştirir.
Güvenlik Eğitimi: Eğitim, en görünür program parçasıdır; ancak en çok yanlış anlaşılandır. Eğer eğitimler sıkıcı ve güncel değilse, güvenlik gerçekten de umursanmadığı izlenimini yaratır. Uygun ve ilgi çekici eğitimler, davranış değişikliğini tetikler.
Bu dört alan, güvenlik kültürünüzü ölçmek için bir çerçeve sağlar. Çalışanlarınıza liderlik, güvenlik ekibi, politikalar ve eğitim konusundaki görüşlerini sorun. Bu yanıtlar, kültürünüzün işe yarayıp yaramadığını gösterecektir.
Güvenlik Kültürü Dört Unsurunu Birleştirmek
Üst düzey destek, tonu belirlese de güvenlik kültürü, çalışanların günlük karşılaştıkları durumlarla tanımlanır. Eğer bu deneyimler, liderliğin mesajlarıyla tutarsızsa, güven kırılabilir. Güvenlik öncelikli bir konu olarak duyurulmuş olsa bile, belirsiz politikalar, kopuk eğitimler ve yaklaşılmaz güvenlik ekipleri güven duygusunu hızla zayıflatır.
Bu nedenle, liderlik, güvenlik ekibinin katılımı, politika ve eğitim olmak üzere dört kültürel unsur arasında uyum sağlamak kritik önem taşır. Eğer liderlik, güvenliğe yönelik kaynak ve hesap verilebilirlik ile bunu önceliklendirirse, stratejik önemi vurgulanır. Ancak bu mesaj, güvenlik ekibinin çalışanlarla etkileşim şekli ile de pekiştirilmelidir. Çalışanlar, hataları nedeniyle cezalandırıldıklarını hissederlerse ya da destek almakta zorluk çekerlerse, organizasyonu savunma konusunda daha az istekli olurlar.
Politika tasarımı aşırı teknik ve pratikten uzak olduğunda, çalışanlar risk oluşturan kaçınılmaz davranışlara yönelebilirler. Politikalar sade ve anlaşılır olduğunda, güvenli davranmak daha kolay hale gelir. Aynı ilke eğitim için de geçerlidir; güncel ve rol odaklı eğitimler, güvenliği işin bir parçası olarak tanımlarken, sıradan bir gereklilik olmaktan uzak tutar.
Güvenlik Kültürünü Operasyonelleştirmeye Hazır Mısınız?
Siber güvenliğin temel unsurlarını anladığınızda, herhangi bir kuruluşta güvenlik kültürünün inşası kritik bir hale gelir. Etkili bir güvenlik kültürü oluşturmak, sadece teknolojinin ötesine geçerek, insan faktörünü ve organizasyonel yapıyı anlamayı gerektirir.
Özellikle son yıllarda, çalışanların güvenlik kültürü ve insan faktörünün önemi daha da fazla önem kazanmıştır. Güvenli bir çalışma ortamı oluşturmak, aynı zamanda çalışan bağlılığı ve moral desteği sağlamakta da büyük yarar sağlar.
