Teknolojinin gelişimi, sadece iş yapma süreçlerimizi değil, iş güvenliği anlayışımızı da değiştirdi. Artık siber tehlikeler de en az fiziksel tehlikeler kadar risk teşkil ediyor. Peki şirketler siber güvenliği nasıl sağlayacak? Teknoloji tek başına yeterli mi?
Konuyla yakından ilgiliyseniz, ekim ayının ABD’de Ulusal Siber Güvenlik Farkındalık Ayı olduğunu duymuşsunuzdur. Aynı şekilde Avrupa Siber Güvenlik Ayı da bu döneme denk geliyor ve burada da odaklanılan konu, farkındalığın artırılması. “Neden teknolojik çözümler değil de farkındalık?” derseniz, cevabı zor değil. Sadece 2017’nin ikinci çeyreğinde çıkan haberlerdeki güvenlik ihlallerine bakıldığında bile, şirket çalışanlarının kurumlarda saldırıya açık bir mecra yaratabileceğini görmek mümkün.
Willis Towers Watson olarak 2017’nin ikinci çeyreğinde yaptığımız 2017 Siber Risk Anketi de gösteriyor ki, konu her ne kadar teknoloji olursa olsun, insan faktörü fazlasıyla önemli. ABD’de ortalama iki bin çalışan ve 100 iş verenin katıldığı ankete göre güvenlik ihlallerinin yüzde 66’sı, çalışanların ihmali ve görevlerini suistimal etmelerinden kaynaklanıyor. Kalan yüzde 18 dış tehditler, yüzde 3 sosyal mühendislik, yüzde iki ağ kesintisi, yüzde iki siber gasp ve yüzde dokuz diğer nedenlerden ileri geliyor. Sadece bu rakamlar bile teknolojinin tek başına bir çözüm olmayacağının ispatı niteliğinde.
Siber risk varsa siber strateji de olmalı
Peki şirketler bu sonuçları nasıl değerlendiriyor? Birçok şirket, veri gizliliği ve bilgi güvenliği konularında doğru yolda olduklarını düşünürken, bir kısmı da kendi bünyesinde siber bilinçlilik (siber dünyayı iyi okuyup anlayabilen) kültürünü yaratmaya çalıştığını söylüyor. Bu kültürü yaratmada birçok şirket, hâlâ yolun başında olduğunu kabul ediyor ama amaçlarına hızla ilerlediklerini de belirtiyorlar. Siber Risk Anketimize göre iş verenlerin yüzde 85’i siber güvenliğin kurumları için öncelikli konular arasında olduğunu düşünüyor. Buna rağmen bahsi geçen şirketlerin yarıdan fazlasının hâlihazırda resmi bir siber stratejileri yok. Ancak yüzde 80’i üç yıl içerisinde siber risk yönetiminin şirket kültürüne dahil edilmiş olmasını istiyor. Bu oran günümüzde yalnızca yüzde sekiz.
Siber bilinçlilik kültürünü nasıl yaratabilirsiniz?
1. Eğitim sıklığını artırın
Öncelikle kurumunuzdaki “çalışan farkındalığı” eğitimlerinin seviyesini ve sıklığını artırın. Çalışanların siber tehditleri anlamaları önemli. Örneğin e-postalardaki bağlantıları açmadan önce, bu postaların güvenilir ve tanıdık kişilerden geldiğine emin olmak gerek. Bu konu hâlâ önemli çünkü anketimize katılan çalışanların yüzde 43’ü, iş yerinde kendilerini zararlı bir bağlantıyı veya eki açmaya yönlendiren şüpheli e-postalar aldığını söylüyor. Öte yandan çalışanların yüzde 78’i, aldığı eğitimler sonrası veri gizliliği konusunda daha iyi bilgilendiğini belirtiyor.
2. Öğrenmenin şeklini değiştirin
Bu farkındalık eğitimlerini gerçekleştirmek için yenilikçi yollara başvurun. Kurumlara göre farklılık gösterse de çoğu çalışanın, çeşitli konularda artan bir eğitim yükü var. Araştırma sonuçlarımız siber risk hakkındaki bilgi seviyesinin düşük olduğunu ortaya koyuyor. Bu nedenle şirketinizde “uygulayarak öğrenme” yaklaşımını benimseyen eğitimlere yer verebilirsiniz. Bu tip bir eğitim yöntemi konunun uzun vadede daha iyi anlaşılmasını sağlayacaktır. Bunu, şirketin IT (bilgi teknolojisi) altyapısını riske atmadan gerçekleştirmenin çeşitli yolları var. Örneğin oyunlaştırma uygulamaları hazırlayabilir ya da siber güvenlik konusunu çok iyi kavrayan çalışanlar arasından “siber elçiler” seçebilirsiniz.
3. IT departmanının yeterliliğini ölçün
IT departmanınızın, oluşabilecek güvenlik tehditlerini, bugünün şartlarına uygun şekilde yönetebilecek yeterli bilgi ve beceriye sahip olup olmadığını iyi değerlendirin.
4. Kurum kültürünüzün nabzını yoklayın
Kurum kültürünüzün siber farkındalık ve eylem odaklı davranışları destekleme kapasitesini değerlendirin. Örneğin kurumunuzdaki liderler, hedeflenen davranışlar için çalışanları teşvik edip iyi birer rol model oluyor mu? Veya çalışanlar bir siber vakanın nasıl ihbar edilmesi gerektiğini gerçekten biliyor mu? Anket sonuçlarımıza göre iş verenlerin yüzde 93’ü, çalışanlara veri gizliliği ve güvenliği konularında vaka ihbarı için uygun ortamı sağladıklarını düşünüyor. Ancak çalışanların yüzde 34’ü, iş arkadaşlarının veri gizliliği ve bilgi güvenliği politikalarına aykırı davranışlar sergilediklerine şahit olurken, yüzde 15’inin bu konuda hiçbir eylemde bulunmadığı görülüyor.
Siber risk yaratan başlıca hatalar
Şirketler için risk yaratan tek davranış, kimliği belirsiz e-postaları açmak değil elbette. Çoğu şirket çalışanı için olağan sayılabilecek durumlar, siber tehlikeye davetiye çıkarıyor. Siber Risk Anketi’nin sonuçları da bu bilgiyi destekler nitelikte. Öyle ki çalışanların yüzde 82’si şirketin veri gizliliği ve bilgi güvenliği politikalarını içeren dokümanı okuyup anladığını belirtirken, yalnızca yüzde 41’i gizli şirket bilgilerine ulaşabilmek için iş bilgisayarlarını veya cep telefonlarını kullanıyor. Geriye kalanların kişisel cihazlarını kullandığını düşününce riskin büyüklüğü de ortaya çıkıyor. Anketten çıkan sonuçlara göre başlıca tehlikeler şöyle:
- Halka açık internet ağları… Çalışanların yüzde 23’ü iş bilgisayarlarında veya cep telefonlarında bu ağları kullanıyor.
- Kişisel bilgisayarları kullanma… Uzaktan çalışma yaygınlaştıkça bu sorun da büyüyor. Çalışanların yüzde 22’si, evden çalışmak için IT departmanınca onaylanmamışkişisel bilgisayarlarını kullanıyor.
- Kişisel bilgilerin paylaşımı… Çalışanların yüzde 34’ü sosyal medya sitelerindeki profillerinde doğum tarihi, şirket ismi, iş unvanı gibi kişisel bilgileri paylaşıyor.
Siber riskler geleceği de dönüştürecek
Günümüzün koşullarına yönelik alınan önlemler ve oluşturulan stratejiler, yarını da şekillendiriyor. Önümüzdeki iki yılda yapılması gereken en önemli iki konu var:
Sigorta teminatları: İlk konu siber güvenlikle ilgili sigorta teminatlarının oluşturulması veya var olanların iyileştirilmesi. Bu konuda geçen iki yılda yüzde 54’lük bir orana ulaşıldı. Yüzde 36’lık bir kesim bunu önümüzdeki iki yıl içinde gerçekleştirmeyi planlıyor.
Eğitimler:İkinci önemli konuysa kadrolu ve sözleşmeli çalışanlara konuyla ilgili eğitimler verilmesi. Bu konuda da kurumların yüzde 53’ünün geçen iki yılda kadrolu çalışanlarına siber risk konusunda kapsamlı bir eğitim verdiğini görüyoruz. Yüzde 52’si bunu önümüzdeki iki yıl içinde gerçekleştirmeyi planlıyor. Ancak bu eğitim oranı dışarıdan alınan iş gücü eğitimlerinde yüzde 24’e iniyor. Önümüzdeki iki yılda kapsamlı eğitim vermeyi düşünenlerin oranıysa yüzde 42.
