İK, siber güvenlik için tetikte

En etkili koruma, çalışanların farkındalığını artırmak, bunun sürdürülebilirliğini sağlamak da İK’ya bağlı.

Siber tehditlere karşı başarılı bir mücadele için bir İnsan Kaynakları uzmanının yardımına ihtiyacınız olduğunu biliyor muydunuz? Bu bir sürpriz mi? Hayır, olmamalı. Sunucu, bilgisayar ve yazılım düzeylerinde siber güvenlikten sorumlu teknik uzmanlar elbette mevcut. Ancak şirket güvenliği için teknik önlemler tek başına yeterli değil. Organizasyonel anlamda alınan önlemler de bir o kadar gerekli Birinin, çalışanları, siber suçlu hilelerinin farkına varma ve bunlara karşılık verme konusunda eğitmesi gerekiyor. İşte tam bu noktada, İK uzmanlarının deneyim ve becerileri devreye giriyor.

Neden teknik önlemler tek başına yeterli değil?

Bazılarının “BT ve bilgi güvenliği uzmanları bunun için var!” dediğini duyar gibiyim. Bu kısmen doğru. BT veya güvenlik birimi, saldırı riskini ve saldırının olası sonuçlarını en hafife indirmek için elinden gelen her şeyi muhtemelen yapıyor. Ancak, sadece bir kişinin hatası, bu çabaların çoğunu yok etme gücüne sahip. Aslına bakılırsa, tüm çalışanların siber güvenliğe ilişkin konuları akılların tutması gerekiyor. Çünkü herhangi biri istemeden, şirketin itibarını zedeleyebilir ve finansal açıdan bir darbeye sebep olabilir. Yapacakları tek şey, kötü amaçlı bir e-posta ekini açmak ya da bilinmeyen bir hesaba para göndermelerini isteyen “patrondan bir yeni mesaj” gibi bir şeye inanmak.

Son zamanlarda siber suçlular, her şeyden çok çalışanların hatalarına ve bu konudaki bilgi eksikliklerine bel bağlamış durumda. Kimlik avı, gizli verileri elde etmenin en popüler yolu ve sosyal mühendislik, sahte e-postalar ya da sahte internet siteleri aracılığıyla kişisel bilgilerin paylaşılmasına yönelik yapılan kandırma girişimlerinin hepsini kapsıyor. Günümüzde kurumsal güvenlik, her çalışanı ilgilendiriyor. Şirket de, her bir çalışanı güvenli çalışma kuralları hakkında tek tek bilgilendirmelidir.

İş arkadaşlarını eğitirken, BT ve Bilgi Güvenliği birimlerinin yardıma neden ihtiyacı var?

İyi oldukları tek yön, işin teknik boyutu. Diğer çalışanlara eğitim vermeyi bir yana bırakın; insanlarla çalışmak, iş tanımlarında listenin en başında yer almıyor. Yaptığınız işte iyi olmanız, bu işi nasıl yaptığınızı, özellikle de alana hakim olmayan insanlara açıklayabileceğiniz anlamına gelmiyor. Bir güvenlik uzmanının hakim olduğu bir konu hakkında, satış yöneticisinin hiçbir fikri olmayabilir. Bu yüzden, bir uzmanın açıklamalarının ve konuşmalarının anlaşılması genellikle zordur ve istenen sonuçlara ulaşmak imkansıza yakındır.

Bir de, öğrenmeyi sağlamak için en uygun formatın konferans ortamı olduğu söylemek yanıltıcı olabilir. Deneyimlerimiz ışığında, bu şekilde aktarılan bilgileri oldukça az sayıda insanın gerçek hayata yansıttığını söyleyebiliriz. Bunu yangın güvenliği eğitimine benzetebiliriz. Hayati öneme sahip, ancak çoğu insan bunun bir formalite olduğunu düşünüyor. Bir kişi, konuşmacıyı can kulağıyla dinlese bile, en iyi ihtimalle birkaç gün içinde verilen bilgilerin yaklaşık %70’ini unutur. Eğitimin, bilgi aktarımını doğru şekilde yapacak bir İK çalışanı tarafından verilmesi her zaman daha iyi sonuçlar doğurur.

BT ve Bilgi Güvenliği ekiplerinin, unutulan parolalardan güvenlik çözümleri ve her biri bir saldırıya işaret edebilecek yüzlerce bildirime kadar, rutin problemlerle ilgilenirken aşırı yoğun çalıştıklarından bahsetmeye gerek bile yok. Bu da, güvenlik farkındalığı eğitimi gibi alışılmadık stratejik görevler için yeterli kaynak olmadığı anlamına geliyor.

Şirketinizin yeni bir kahramana ihtiyacı var

Şimdiye kadar bunu zaten anladığınızdan şüphemiz yok: İnsan Kaynakları uzmanları, siber tehditlere karşı verilen mücadelede olmazsa olmazdır. Bir İK uzmanı, kurumsal eğitimin tüm ayrıntılarına hakimdir. Peki, bu görevin önemini yönetime kim daha iyi iletebilir?

Biz de kendi payımıza düşen, gerekli tüm kaynak ve araçları sağlamaya hazırız. Kaspersky Security Awareness hizmetinin bir parçası olarak, çeşitli düzeylerde ve farklı deneyim geçmişine sahip uzmanlar ve şirketler için, temel bilgilerden başlayarak belirli bir alana yönelik interaktif simülasyonlara kadar, çeşitli eğitimleri ve eğitim programlarını bir araya getirdik.

Pek kolay bir konu olmasa da, eğitim programları düzenlemek için siber güvenlik konusunda uzman olmak zorunda değilsiniz. Uzmanlarımız ihtiyacınız olan tüm bilgileri hazırlayıp sistemli bir hale getirdi. Böylece, bilgi güvenliği alanında tecrübeli olmayan bir kişi bile bu süreci rahatlıkla yönetebilir.

Blogumuz, İK uzmanlarının diğer iş arkadaşlarına eğitim verebilmeleri için, güncel siber tehditler ve bu tehditlere karşı korunma noktasında modern yaklaşımlar hakkında bilgi edinmesini sağlayacak ek bir kaynak olabilir. Arada bir, odak noktası İK profesyonelleri olan gönderiler paylaşıyoruz. Ayrıca, İK’ların yönetimi ikna edebilecekleri bir örnek olay oluşturmasına ve BT departmanından destek almasına yardımcı olabilecek ek materyaller yayınlamak da planlarımız arasında.

İpuçları