Güvenliği nesiller arası ayrımın ötesine taşımak

Ben Smith, RSA Konferansı 2020’de yaptığı konuşmasında, bir güvenlik stratejisi oluştururken iş yerindeki nesil farklılıklarına önem vermenin gerekliliğini ele aldı.

İş dünyasında kabul görmeyen en büyük yanlışlardan biri yaşla ilgili konuşmaktır. Ancak RSA Konferansı 2020’de, kendimi sadece bu konuya adanmış bir oturumdayken buldum.

İK hassasiyetleriniz devreye girmeden önce belirtmeliyim; konu yaş ayrımcılığı veya diğer yaygın önyargılarla ilgili değil. RSA (ABD) Saha CTO’su Ben Smith tarafından yapılan bir konuşmaydı ve günümüzde iş yerinin gerçekten iyi şekilde tanımlanmış dört nesli (gelenekçiler, baby boomer’lar, X Kuşağı ve Y Kuşağı) ve tabii ki bunun yanında “cusper” olarak adlandırılan ve her iki neslin de özelliklerine sahip kişileri nasıl bir arada barındırdığına odaklanıyordu.

Bunun iş dünyası ve özellikle güvenlik dünyası için önemli olmasının nedeni, konuşmanın varsayımsal değil, veri odaklı olmasıdır; nesiller gerçekten de teknolojiyi farklı yollarda tüketiyor.

Yani bir güvenlik programı oluştururken, tek ölçünün herkese uymadığını kabul etmelisiniz. Smith, konuşmanın tam halinde dinleyebileceğiniz daha birçok farklı teoriyi sundu.

Gördüğünüz üzere, zeminde bulunan üç, en genç, nesil bilgiye odaklanıyor ve dinamik biçimde karşıt duruyorlar. Smith, yatak odasından iş yerine kadar elektronik aletlerin bulunmasına, iş/yaşam sınırlarına, dijital medya tüketimine, sosyal ağlarda geçirilen süreye ve daha fazlasına değinerek diğer nesil farklarına işaret etti.

Bununla birlikte, ortak bir payda da bulunuyor ve bu payda güvenlik programınızın temelini oluşturmanızda size yardımcı olabilir. Aşağıdaki slaytta, iş ve güvenlik ile ilgili olarak gerçekten dikkatimi çeken şey, açma/kapama anahtarının olmaması kavramıdır. Güvenlik eğitiminiz bunu nasıl karşılamalı?

Uzaktan çalışma. Artık 9-5 çalışma gibi bir rutinin olmadığının ve insanların sürekli olarak ofisten uzakta çalıştığının bilincinde olun. Bir strateji oluştururken, şirketin politikaları dahilinde en iyi uygulamalarla nasıl çalışabileceğinizle birlikte, uzaktan çalışmaya ilişkin riskleri ele aldığınızdan emin olun. Örneğin, herkese açık kablosuz ağlarda VPN kullanımını ve hassas belgeleri genel dosya paylaşım sitelerinde depolamamayı zorunlu kılabilirsiniz ve iş cihazlarında hangi uygulamalara ve eylemlere izin verildiğini tanımlayabilirsiniz.

Sosyal mühendislik. İnsanlar, ailelerine ve sevdikleri aitmiş gibi davranan sahte sosyal ağ hesaplarının yarattığı tehditlere karşı giderek daha bilinçli hale geliyor. Bu kavram iş yerinde de önemlidir ve iş yeri farkındalık kampanyalarının bir parçası olmalıdır. Hiç kimse, CEO gibi davranan bir kişi acil bir para transferi istediği için birkaç yüz bin doları yanlış hesaba transfer eden kişi olmak istemez.

Veri paylaşımı. Bu günlerde, web sitelerinde yeni şifre oluşturmak yerine sosyal ağ giriş bilgilerinizi kullanarak giriş yapabiliyorsanız; bazıları ise buna ilişkin risklerin ya da ne tür verileri karşı tarafa verdiklerinin farkında olmayabilir. Eğitim programınıza bakarken, bunun önemli bir nokta olduğunu göz önünde bulundurun. Ayrıca, hangi site türlerinde iş e-posta adreslerini kullanmanın uygun olmadığına dair bilgileri de buna ekleyin; örneğin, tanışma, bahis ve işinizle ilgisi olmayan diğer site türlerini düşünün.

Birden çok cihaz kullanımı. Kendi cihazını getir (BYOD) trendi, son birkaç yıldır BT ve güvenlik yöneticileri açısından büyük bir sorun teşkil etmektedir. Hoşunuza gitsin ya da gitmesin, artık bununla yaşamak zorundasınız: İnsanlar telefonlarında, dizüstü bilgisayarlarında veya tabletlerinde iş yapıyor ve iş cihazlarında da kişisel görevleri yürütüyorlar. Politikalar bunu tam anlamıyla durduramaz, ancak çalışanlara en iyi uygulamalar, yapılıp yapılmaması gerekenler ve cihazlarını nasıl güvence altına alacakları konusunda eğitimler sunabilirsiniz.

Oyunlaştırma. İnterneti kullanan veya oyun oynayan herkes, tam adını bilmese dahi oyunlaştırma kavramına aşinadır: İnsanlar X görevini tamamladıklarında puan kazanır ve en yüksek skoru elde edenlere Y verilir. Güvenlik eğitiminizi planlarken, programınızın içerisinde oyunlaştırmayı dahil etmeyi ve kurum içi şampiyonları nasıl ödüllendirebileceğinizi de gözden geçirin. Güvenliğin yalnızca ceza ile sağlanması şart değildir; isterseniz ödülü de kullanabilirsiniz.

Her iş yeri birbirinden farklıdır ve ekibinizin karşılık verme şekli de diğer şirketlerden farklı olacaktır, ancak nesillerin teknolojiyle farklı şekilde etkileşime geçtiği kavramları dikkate almak, herkese fayda sağlayacak bir güvenlik planlaması konusunda size yardımcı olacaktır.

İpuçları