Harvard Business School’dan Lakshmi Ramarajan’ın kaleme aldığı makaleden yola çıkarak “Siber Güvenlik Sadece Teknik Bir Problem Değil” konusu paylaştım.
Siber Güvenlik denince ilk akla gelen bilgisayarlar/cihazlar ve onların güvenliğidir ancak bu doğru değil, siber güvenlik sadece cihazlar ve onları teknik olarak güvenli olması anlamına gelmiyor ayrıca sadece BT ekibinin işi de değil, herkesin bu noktada görevleri vardır. Aslında siber güvenlik tümüyle iletişim ve çalışma platformlarının güvenliği anlamını taşır ve bu konuda sorumluluk yalnızca teknik ekibin değil tüm çalışanların da sorumluluğudur.
Lakshmi Ramarajan’ın ilgili makalesini aşağıda paylaşıyorum, teşekkürler.
Siber Güvenlik Sadece Teknik Bir Problem Değil
Organizasyonlar, uzaktan çalışma yeni normalin büyük bir parçası olmaya devam ederken güvenlik ortamlarının önemli ölçüde değiştiğini fark ediyor. Uzaktan çalışmayı güvence altına almak sadece BT ekibinin görevi değil, aynı zamanda güven duymayı da gerekiyor. Kıdemli liderlerin, ekiplerinin uzaktan çalışma için sistemlerini güvence altına aldığına en başından güvenebilmesi gerekir. Müşterilerin verilerinin korunduğuna güvenmesi gerekir. Çalışanların kendilerini destekleyecek mevcut sistemlerin olduğuna güvenmesi gerekir.
Şirketlerin bunu doğru bir şekilde yapabilmesi için ekosistemlerinin tamamına güven aşılamaları ve güvenliği her iş tanımının bir parçası haline getirmeleri gerekiyor. Box’ta küresel güvenlik direktörlüğü görevim sürecinde iş ve teknoloji liderlerinin, uzaktan çalışmayı güvence altına almaya katkıda bulunan insanlar, süreçler ve platformlar arasındaki güveni artırması için faydalanabileceği dört adım belirledim.
Empati yoluyla yönetin.
Mükemmel olmayan bir dünyada yaşıyoruz. Ve aslında güven tamamen insanlarla ilgili bir konu. Ekosisteminizin tamamında güveni artırmak için en etkili yol, her zaman devam etmekte olan bir çalışma olduğunu kabul etmektir.Tecrübelerime dayanarak güven oluşturmanın en etkili yolunun dinlemek, öğrenmek ve empati yoluyla yönetmek olduğunu söyleyebilirim. İnsanlar size güvenlik protokollerini takip etmenin zor olduğunu söylediğinde onlara ders vermeyin, sadece onları anlamaya çalışın ve kabul edilebilir çözümler bulun. İnsanları hataları açıkça belirtmeleri için teşvik edin ve proaktif davranışı ödüllendirin. Bir organizasyon içinde güven cömert ve akıllıca bir şekilde verildiğinde ve insanlar sesinin duyulduğunu hissettiğinde çoğalacaktır.
Çalışanlara etkili kararlar almaları için yetki verin.
Maalesef güvenlik uygulamalarının bazı özellikleri, iyi niyetli BT ekipleri insanlar ve görevlerini yerine getirmek için gerekli bilgiler arasında bir bariyer ören güvenlik çözümleri yürürlüğe koyduğunda yıllar içinde kötü bir itibar edindi. Gerçek şu ki, insanlar iş ihtiyaçlarıyla örtüşmeyen güvenlik önlemleriyle çalışmanın bir yolunu bulacaktır. Son kullanıcılar güvenliği önlerine geçen bir kavram olarak gördüğü sürece her zaman gerekli olmayan risklerle karşı olacağız. Etkili güvenlik, uygulamaya koyması ve izlemesi kolay araçlara ve çözümlere sahip olmaktan geçer.Benim felsefem en iyi güvenlik çözümlerinin dışarıdan alınmayıp içeride oluşturulmasıdır. Bu da çalışanlara performanslarının önüne geçmeden ve başarmaları konusunda güvenerek karar almalarına olanak tanımak için işaretler vermek anlamına gelir. Güvenlik sınıflandırmalarını farklı veri türlerine otomatik olarak uygulayabilen yapay zeka etkin araçlar kullanmak gibi teknolojiler, bu hedefe ulaşmak konusunda yardımcı olabilir. Fakat hedef araçtan daha büyüktür: Önemli olan, güvenliği yeni engeller ortaya çıkarmadan iş akışı süreçlerine sorunsuz bir şekilde dahil etmektir.
Sorunsuz güvenlik çözümlerine yatırım yapmak, kullanıcılar arasında oluşturdukları ve paylaştıkları içerik için bir sahiplik algısı yaratır. Bu algı bireylerin bir şirkette görevlerinden daha büyük bir konumda olduklarını fark etmelerine yardımcı olur ve böylece güven ekosistemi büyür.
Neyin en önemli olduğunu belirleyin.
Her güvenilir ilişkinin bir parçası neyin önemli olduğunu bilmektir. Bir organizasyonda her şey bir banka kasası kadar güvenli olmak zorunda değildir. Güvenlik konusunda her duruma uyumlu bir yaklaşım ele almak, Covid-19 çalışma ortamlarımızı değiştirmeden öncesi de dahil hiçbir zaman ekonomik veya anlamlı olmamıştır.Her organizasyonda farklı türde veriler çeşitli seviyelerde güvenlik önemi taşır. Bu veri ister finansal bir bilgi ister sağlık kayıtları olsun, liderlerin eğer gizliliği ihlal edilmişse hangi verinin organizasyonlarına zarar vereceğine dair açık bir görüşe sahip olması gerekir. Bu önemli veriler için uygun güvenlik kontrolleri belirlenmelidir ve açık bir izlenebilirlikle iş akışlarına entegre edilmelidir. Böylece veri hem etrafındaki insanlardan hem de teknolojiden korunmuş olur.
Liderler neyin kritik olup neyin olmadığını ayırarak organizasyonlarındaki güveni geri alınamaz biçimde zedeleyebilecek problemleri önceden aşıp güvenlik yatırımlarının getirisini başarılı bir şekilde en üst düzeye çıkarabilir.
Dikkat dağınıklıklarına saygı gösterin.
Güven iki tarafı olan bir yoldur. Güvenlik profesyonelleri, son kullanıcı davranışının hâlâ güvenlik için en büyük risklerden biri olduğunu biliyor ama ben aynı zamanda doğru yaklaşımı benimseyerek son kullanıcıların en büyük güvenlik koruyucuları olabileceğine inanıyorum. Kullanıcıları güvenlik tehditleri ve en iyi uygulamalarla ilgili eğitmek genellikle bir kriz ortaya çıktığında unutulan “olması güzel” bir yöntem olarak görülür. Aslında bu zaman güvenlik eğitimine en çok ihtiyaç duyulan zamandır. Sosyal dikkat dağınıklığı uzun zamandır temel bir tehdit olmuştur ve saldırıların başarı oranı herkesin dikkati başka bir yere çevrildiğinde en yüksek seviyeye çıkar.Aslında bu pandemi döneminde birçok çalışanın geçici bir önlem olarak evden çalışması, ailelerinin ve evcil hayvanlarının etrafında olması, belki mutfak ve yatak odası gibi çok amaçlı ortamlarda bulunmasıyla birlikte çalışanların dikkati hiç olmadığı kadar dağınık. Yine de aynı insanlar hâlâ doğru kararlar almak istiyor ve doğru desteği alırlarsa bunu yapmaları konusunda güvenilebilirler. Güvenilir cihazlar konusunda açık politikalar geliştirmek ve iletmek ve düzenli olarak değişen tehdit ortamına dair bilgi paylaşımı yapmak, değişim yaşayan bir çevrede bile güçlü bir güvenlik kültürünü oluşturmaya ve pekiştirmeye yardımcı olacaktır.
Halihazırda güçlü eğitim programlarına sahip olmayan organizasyonlar bu problemi tek başına ele almak zorunda değil. Bir organizasyon içindeki öğrenme kültürüne organik olarak uyan şekillerde onları desteklemesi için bu alandaki liderlere bakabilirler.
Uzaktan çalışmayı güvence altına alırken bunu yapmak neden önem taşır? Çünkü bunu yapmak şirketin başarısına katkı sağladığını hisseden yetki sahibi insanlarla dolu bir çalışma ortamı yaratır. Böylece paranın satın alamayacağı güven temelli bir güvenlik duruşu elde edersiniz.
Harvard Business Review