Veri sızıntıları çalışanlar için ne gibi sonuçlar doğurur? Bu soruyu cevaplamak için, bu tür vakaların, deneyimlerimize göre sık sık özensizlik, çalışanın sorumsuzluğu veya etkisiz yönetimden kaynaklanan nedenlerini inceleyerek başlıyoruz. Başka bir deyişle, neresinden bakarsanız bakın, sorunun merkezinde insan faktörü yatıyor.
Çalışanlar sorumluluk alamadığında
Çalışanlara, iş akışlarında hangi değişikliklerin üretkenliklerini ve işten duydukları memnuniyet düzeylerini artırmalarına yardımcı olacağını sormayı deneyin. İnsanlar genellikle herhangi bir müdahale olmaksızın kendilerine en uygun şekilde çalışmak isterler. Örneğin bilgisayarlarındaki yönetici haklarını, herhangi bir yazılım yükleme hakkına sahip olabilecek, ekibinin verilerine ve sistemlerine kendi takdirlerine bağlı olarak erişim hakkına sahip olacak şekilde verilmesini isterler. Konuklarını ofise davet etmek isterler. Bu tür şeyler.
Bununla birlikte neredeyse hiç kimse, istediklerinin veya uygun bulduklarının sorumluluğunu üstlenmeye gerçekten hazır değildir. Birçok çalışan, ve bazen yöneticileri, halinden memnundur; bir şekilde korunduklarına ve ne yaparlarsa yapsınlar bir takım sihirbazların günü kurtarmak için beklediğine inanırlar. Tabii ki, kurumsal siber güvenlik uzmanları olarak kullanıcıları korumak için her zaman elimizden geleni yapıyoruz, ancak her şeye gücümüz yetmiyor.
Kötü yönetim kararları
En ciddi vakaların ikinci nedeni, genel anlamda bilgi güvenliği ve BT personelinin eylemlerini veya eylemsizliğini de kapsayan etkisiz iş süreci yönetimidir. Siber güvenlik konusunda ciddi olan bir şirket, çalışanlardan biri virüslü bir dosya içeren bir USB flash sürücü taktığı veya kötü amaçlı bir eki veya kötü URL’i olan bir e-postayı açtığı için büyük zarar görmez. Her bir vaka için doğru kombinasyonda bir hata zinciri oluşmalıdır:
- İş süreci, bu tür bir hataya izin verecek şekilde düzenlenmiştir;
- Birisi hata yapmış veya bilgi güvenliği politikalarını ihlal etmiştir;
- Bilgi sistemleri veya altyapı hizmetleri tespit edilmemiş veya yamanmamış güvenlik açıkları içeriyordur;
- Sistemler çok karmaşıktır ve güvenli yapılandırma, zamanında yama yönetimi ve güvenlik önlemlerinin uygulanmasını sağlamak için gerekli kaynakların eksik kalmasına neden oluyordur.
- Güvenlik departmanı (beceri veya fırsat eksikliği nedeniyle) hasara yol açmadan önce olayı tespit edememiştir.
Bu faktörlerin her biri, bir kararın sonucudur. Bununla birlikte, vakanın genel nedeni, tüm bu faktörlerin bir kombinasyonudur. Vakanın çalışan motivasyonunu nasıl etkilediği büyük ölçüde yönetimin tepkisine bağlıdır ve bazen bir şirketin bu tür olayların tekrarını önlemek için aldığı önlemler, olayın kendisinden çok daha fazla zarar verebilir.
Gerçek dünyadan bir örnek verelim. Bir banka, arka arkaya hem dış saldırılardan hem de çalışan hatalarından kaynaklanan vakalar yaşıyordu. Sonuç olarak, bankanın sistemleri bir süreliğine çöktü. Sorumlu personeli motive etmeye ve hatalı olanları cezalandırmaya çalışan yönetim, BT ve bilgi güvenliği çalışanlarını birkaç defa işten çıkardı. Bununla birlikte yönetim, otomatik bankacılık sisteminin mimari güvenlik açıklarına sahip olduğunu bilmesine rağmen yeni bir sistem oluşturmak veya eskisini düzeltmek için bütçe ayırmadı. Deneyimli çalışanlar, bir gün birisinin hata yapabileceğini ve şirketin altta yatan sorunu düzeltmek yerine yeni insanlar işe almayı tercih edeceğini fark ettiler; bu yüzden kısa süre içinde başka yerlerde iş buldular. Yeni çalışanlar ise şirket içinde geliştirilen şirketin sistemini iyi bilmiyordu. Bunun sonucunda daha fazla hata yaptılar ve temel bilgiden yoksun oldukları için sistemleri korumak için daha fazla zaman harcadılar. Sonuç olarak, müşteriler bankayı terk etti ve banka ilk 50’deki pozisyondan 200. sıraya düştü.
Ne yapılmalı
Bence, çalışanlarınızın motivasyonunu kırmamak önemli. Bunun yerine, sorumluluklarını, şirketin değerlerini ve iş arkadaşlarının katkılarının önemini anlamalarına yardımcı olun. Tüm bunları maddi destek, karşılıklı saygı ve net kurallar aracılığıyla gösterebilirsiniz.
Kurumsal bilgi güvenliği kurallarının, gizlilik ve mahremiyet de dahil olmak üzere, bir siber kaza durumunda personelin ne yapması ve neye izin verileceğini basit ve spesifik olarak açıklaması gerekir. Takım lideri, astlara bilgi vermelidir ve bir siber kaza sırasında ve sonrasında; sorunu ve cezaları da içerebilecek sonuçları açıklamalıdır. Bunu yapmak, sağlıklı bir ekip atmosferinin korunmasını sağlar ve şirketin aynı hataları tekrar etmekten kaçınmasına yardımcı olabilir.
Ekip motivasyonu ve siber saldırı etkisini azaltmaya odaklanmak için şu bilgi güvenliği yol haritasını kullanabilirsiniz:
Sadece hatalardan kaçınmak için değil, aynı zamanda insanlara neyin hata olabileceğini öğretmek için personel eğitimi verin;
- Şirkette net bilgi güvenliği kuralları ve bu kuralların uygulanıp uygulanmadığını takip etmek için önlemler oluşturun;
- Çalışanları motive edin;
- Vaka tespit ve müdahale araçlarını kullanın;
- Hatalara, aptalca veya özensiz davranışlara ve içeriden gelebilecek kötü niyetli eylemlere karşı koruma sistemleri uygulayın
- Birinin aynı hatayı iki kez yapma olasılığını azaltmak için yukarıdaki önlemleri periyodik olarak gözden geçirin.
Siber güvenlik vakalarında insan faktörü hakkında daha fazla bilgi edinmek için, “Kurumsal güvenliğe ve çalışanların gizliliğine özen gösterme” başlıklı son raporumuza göz atın.