Şirketlerde güvenlik kültürü oluşturmanın yolları
26 May 2020
3 dk okuma süresi
Kurumlara dönük siber güvenlik saldırılarla ilgili haberlerin sayısı günden güne artarken, buna paralel olarak siber güvenlik bilinci de hızla yayılıyor. Her ölçekte ve sektörde şirketin oluşturması gereken güvenlik kültürüyle ilgili detayları blog yazımızda paylaşıyoruz.
Son yıllarda tüm kullanıcılar için dijital güvenlik standart bir uygulama haline geldi. Bireysel kullanıcılar bu konuda çok daha bilinçli durumda ve cihazlarının güvenliğine daha fazla önem veriyor. Fakat yine de kurumlar için güvenlik politikaları geliştirmek ve siber güvenlik kültürü oluşturmak hâlâ çok önemli bir görev kalemi.
Güvenlik kültürünün geliştirilmesi şirketlerin köşesine taşınmalı: İnsan kaynaklarından muhasebeye, sahada çalışan satış görevlisinden yönetim kademesine kadar tüm birimlerin her çalışanı kapsam dahilinde olmalı. Bu noktada, şirket yöneticilerini teşviki büyük önem kazanıyor. İdari yönetim ve insan kaynakları, çalışanlar için düzenli olarak eğitim programları yürütmeli. Çalışan eğitimine sürekli olarak devam edilmeli ve siber güvenlik üzerine net ve etkili vurgu yapılmalı.
Her ne kadar siber güvenlik çoğu zaman insanları, süreçleri ve teknolojileri bir araya getirerek elde edilse de, bir adım geri atmalı ve daha temel sorularla başlanmalı: Fiziksel erişim konusunda ne yapmalıyız? Çalışanlarımız fiziksel erişim hakkında ne biliyor? Çalışanlarımız fiziksel erişim güvenliği hakkında ne biliyor? Sosyal mühendislik içeren saldırılara karşı nasıl yeni güvenlik katmanları oluşturabiliriz? Çalışanların yeterliliğini nasıl ölçeriz?
Evet, ilk olarak eğitim ve farkındalıkla başlıyoruz ama yönetici desteğiyle başlayan bir siber güvenlik ve istikrarlı eğitim programlarıyla desteklenmiş daha yerleşik bir yaklaşıma ihtiyacımız var. Tıpkı eğitiminde olduğu gibi, yazılı zorunlu kurallar idari yönetimden insan kaynaklarına, daha sonra üst yönetime, orta yönetime ve vs. herkesi kapsamalıdır. Eğer güvenlik mesajınızı iletmede kararlı olursanız, kurumun çalışma kültürüyle nasıl entegre hale geldiğini gözlerinizle göreceksiniz.
Çok temel bazı alışkanlıkların bile güvenlikle ilgili büyük bir gelişme anlamına geleceği unutulmamalı. Örneğin çalışanların bilgisayar başından kalkarken kilit ekranı açmaları hem kişisel veri, hem de şirket gizliğili açısından önemli bir tedbir olacaktır. Bu konuda kişilerin birbirlerini uyarmaları ve hatırlatma alışkanlığı edinmeleri de söylenmeli. Tıpkı üretim bandında yanlış yapan bir çalışanın uyarılmasında olduğu gibi. Ya da, tesise kendi giriş kartıyla başkalarını sokanların engellenmesi ve herkesin kendi güvenlik kartını kullanması gibi.
Bir güvenlik kültürü oluşturmak, sadece eğitim ve öğretimle ulaşılabilecek bir hedef değil. Aynı zamanda günlük bazı rutinle de düzenlenmeli. Kritik altyapı, üretim, taşıma, uzak iletişim, finans, hastaneler, sağlık hizmetleri ve enerji kaynakları gibi bazı sanayilerde güvelik çok daha önem kazanıyor. Fakat küçük ve orta boy işletmelerde de atılması gereken daha çok adım var.
Güçlü bir siber güvenlik kültürü oluşturmak insanlarla başlar ve tutarlı ölçüde gayret ve zaman ister. Sağlıklı bir siber güvenlik kültürünün gerektirdiği başlıca unsurları şöyle sıralayabiliriz:
1. Yönetim desteği - Şirket yöntemlerinin güvenlik kültürü oluşturmada en etkili kişiler olduğunu söyleyebiliriz. Konu elbette sadece gerekli bütçenin ayrılması değil. Kurumsal rollerin oluşturulması, bireysel olarak güvenlik kurallarını harfiyen uygulama ve motive edici olma en temel yönetim destekleri arasında sayılabilir.
2. Kurallar ve prosedürler - İnsan kaynakları ve bilgi işlem departmanlarının önderliğinde en doğru kurallar ve prosedürler belirlenmeli. Siber güvenlik danışmanlığı alınıyorsa, onlardan pek çok bilgi edinmek mümkün. Fiziksel güvenlikten iş bilgisayarında USB bellek kullanmaya kadar pek çok yapılacaklar ve yapılmayacaklar maddesi hazırlanmalı.
3. Eğitim çalışmaları - Bir kurallar kılavuzu hazırlayıp duvardaki rafa tozlanmaya bırakmak yermez; şirketler bünyelerine çalışan eğitimi ve farkındalık programları eklemeli. Bunlar içinde video paylaşımları, webinar’lar ve web tabanlı eğitimler kullanılabilir. Burada önemli olan şey, vazifenin işlevine göre uygun eğitimler verilmeli ve bu eğitimler en az yılda bir kere yenilenmeli. Ayrıca çalışan katılımı gözlenerek, içeriğin çalışanlara ulaştığından emin olunmalı.
4. Performans testleri - Çalışan özverisini ölçtüğünüz sınavlar ve testler ciddi bir siber güvenlik kültürü yaratılabilir. Bu testler içinde “phishing” egzersizleri ve diğer dahili sınavlar yer alabilir. Mesajı almada çalışan özverisini takip ederek eğitimi ve katılımı gözlemleyebilirsiniz. Ödüller, cezalar ve diğer bilgilendirmelerle çalışanları angaje edebilir ve hatta bunu eğlenceli bir şekilde bile başarabilirsiniz.
5. Sürekli iletişim- Siber güvenlik kültürü geçici bir süre için değil, sürekli olarak şirketlerin gündeminde olmalı. İntranet duyuruları, e-bültenler ve blog üzerinden bilgilendirmeler, panolar ve diğer iletişim araçları bu anlamda kesintisiz biçimde kullanılmalı.
Şirketleri siber tehditlere karşı korumak adına İnnova tarafından sunulan Bilgi Güvenliği Danışmanlık Hizmeti'nin yanı sıra Ağ Güvenliği Çözümleri'den de bu noktada bahsetmekte fayda var. Alanında en iyi ürünler ve en iyi uzmanlarla çalışmak için İnnova'nın ilgili sayfaları üzerinden bizlerle iletişime geçebilirsiniz.
İlgili Postlar
Güçlü Şifre Nasıl Oluşturulur?
17 Eki 2022
Güvenlik