Kuruluşunuzu bir kale olarak düşünürseniz, bilgi güvenliği yönetim sisteminiz kale duvarlarınız, çalışanlarınız da kalenin kapılarıdır. Tüm bu kapılar yüzünden duvarlarınızın bazen ve aniden aşılabilir hale gelebilir. Kapıların kilitli kalması için çalışanlarınıza güvenlik eğitimi vermeyi ihmal etmeyin.
IT sistemleriniz ne kadar iyi veya pahalı olursa olsun ve bu duvarları güçlendirmek için veri kaybını önleme ve uç nokta koruma yazılımlarına, güvenlik duvarlarına ne kadar yatırım yaparsanız yapın, kapılarınız düzgün bir şekilde kilitlenmediği sürece kuruluşunuz her zaman tehlikede olacaktır.
Bu kadar metafor yeter. Çalışanlarınızın çalışırken güvenlik öncelikli bir zihniyetle yaşamaları ve nefes almaları gerekir çünkü kuruluşunuzun, iş ortaklarınızın ve tedarikçilerinizin hassas verilerini korumanın tek yolu budur. Bu, hazırlıksız çalışanların omuzlarına yüklenecek çok büyük bir yüktür, bu nedenle onları nasıl etkili bir şekilde eğitebileceğimize bir göz atalım.
Neden çalışanlarınızı siber güvenlik konusunda eğitmelisiniz?
Rakamlar şaşırtmıyor:
ITRC’nin 2022 1. Çeyrek Veri İhlali Analizine göre, veri ihlali olaylarının %92‘si siber saldırı sonucu gerçekleşmiş olup, kimlik avı ve fidye yazılımları veri ihlallerinin en önemli iki temel nedenidir. 2022 Verizon Veri İhlali Araştırmaları Raporu‘na göre, tüm veri ihlallerinin %82’sinin nedeni insan unsurudur.
Bunu inkar etmek mümkün değil. Çalışanlarınızı siber güvenlik konusunda eğitmeniz gerekir, çünkü bilgi güçtür. Çalışanlarınız potansiyel siber tehditlerin farkında olursa, bir saldırıyı tespit etmek ve gerçekleşmesini önlemek için daha iyi bir konumda olacağınız kesindir.
Kimlik avı ve diğer sosyal mühendislik tehditleri, bir siber suçlunun kuruluşunuza sızmaya çalışabileceği en yaygın yollardır ve sıklıkla yeterli bilgiye sahip olmadığı için şüphelenmeyecek insanları hedef alırlar. Örneğin, hassas bilgilere erişerek çalışanın e-postasını ele geçirip fon transferi talep etmek için kullanabilirler. Ya da kuruluşunuzun genellikle her türlü hassas bilgiyi içeren iş ortağı veya satıcı veri tabanına girerek yalnızca size değil, diğer ortaklarınıza da zarar verebilirler.
Çalışanlarınız bu tür saldırıların işaretlerini nasıl tanıyacaklarını bilirlerse, bunlara aldanma olasılıkları da azalır.
Uzaktan çalışmanın artması, çalışanlar arasında siber güvenlik farkındalığına odaklanmayı da daha önemli hale getirdi, çünkü kabul edelim ki kurumsal olmayan bir ortamda kurallar konusunda daha gevşek davranılıyor. Çalışanların sahip olduğu cihazlar ve kullandıkları ağlar üzerinde çok daha az kontrole sahipsiniz, bu nedenle nereden çalışıyor olurlarsa olsunlar tüm güvenlik politikalarınıza hakim olmaları gerekir.
Çalışanlara veri güvenliği nasıl açıklanır?
Çalışanlarınızın kendilerinin ve kurumun verilerine neden ve nasıl dikkat etmeleri gerektiğini anlamalarını istersiniz. İşte bunu etkili bir şekilde nasıl yapacağınıza dair birkaç ipucu:
Kişiselleştirin
Sadece e-posta göndermekle yetinmeyin, onlarla yüz yüze konuşun. Bir sunum yapın, bir video hazırlayın, olayın ciddiyetini gösterin.
Bırakın patron konuşsun
Yönetim işin içindeyse, herkes bunu daha ciddiye alacaktır. Bütün bir sunumu CEO’nun yapmasına gerek yoktur, ancak amaca dahil olduklarını gösterirlerse, sadece IT departmanının talepte bulunmasından çok daha ciddi karşılanacaktır.
İlişkilendirilebilir hale getirin
İnsanlar kendileri için anlamlı olan kurallara uymaya daha isteklidir. Tanınmış şirketlerdeki veri ihlalleri hikayeleri gibi gerçek hayattan örnekler, ne hakkında konuştuğunuzu gösterir ve herkesi teknik dille sıkmak yerine güncel bir dille insanca konuşmak, amacınızı gerçekleştirmenize yardımcı olacaktır.
Pratik yapmak mükemmelleştirir
Pratik, tekrar anlamına gelir. Siber saldırılar sürekli gelişmektedir, bu nedenle çalışanlarınızın güncel bilgilere sahip olduğundan emin olmanız gerekir. Kısa veri güvenliği güncellemeleri gönderin, düzenli ekip toplantılarında siber haberlerden bahsedin veya veri güvenliğini her zaman çalışanlarınızın aklında ön planda tutmanın başka yollarını bulun.
Kısa ve basit tutun
Kısa ve basit tutun. Gerçek şu ki, insanların dikkat süresi bir Japon balığınınki kadardır, bu yüzden onları bir kez kaybederseniz, giderler. Çalışanlara en kısa sürede olabildiğince çok bilgi vermeye çalışın. Eğlenceli hale getirmeye çalışın.
İşe yarayan güvenlik politikaları
Diyelim ki ilgi çekici, hatta eğlenceli bir veri güvenliği toplantısı düzenlediniz ve kuruluşunuzun güvenlik politikalarını özetleyen bir e-posta göndermeye hazırlanıyorsunuz. Çalışanlarınız kurumun siber güvenliği konusunda kendi paylarına düşen sorumluluğu üstlenmek için hevesli ve istekli…
Ama henüz tepeyi aşmış değilsiniz! Politikalarınız uygun değilse, daha siz veri ihlali demeden çalışanların ilgisini kaybedersiniz:
- Kolay anlaşılır. Teknik jargon değil, basit bir dil kullanın.
- Uygulaması kolay. Üretkenliği engelleyecek kurallar uygulamaya çalışmayın.
- Hatırlaması kolay. Adım adım veya yazdırılabilir bir kılavuz, kuralları gözden geçirmeyi kolaylaştırır.
Ayrıca, çalışanlarınızın politikalardan herhangi birini açıklamak veya uygulamak için yardıma ihtiyaç duymaları halinde kiminle konuşabileceklerini açıkça belirtmeniz gerekecektir.
Çalışanların veri kaybını önlemeye yönelik en iyi uygulamalarına ilişkin politikaların yanı sıra, bir tehditle karşılaştıklarında nasıl tepki vermeleri gerektiği ve tehditleri kurum içinde kime ve nasıl bildirmeleri gerektiği konularını da ele almalısınız.
Güvenlik eğitimi için önerilerimiz
Online kurslar iyi birer başlangıç olmalarına rağmen, yılda bir kez online kurs almak tüm önlemleri hatırlamak için yeterli olmaz. Güvenlik Farkındalığı programınıza ekleyebileceğiniz daha fazla şey var:
- E-posta kampanyası: Her iki haftada bir bir güvenlik kurallarını açıklayan kısa ve basit bir e-posta gönderin.
- Posterler ve LED görseller: güvenlik mesajlarını ofisin dört bir yanına yayın.
- Güvenlik broşürleri: Mevcut meslektaşlarınıza ve yeni gelenlere temel bilgileri açıklayan broşürler dağıtın.
- Giriş ekranı duvar kağıtları: çalışanların dizüstü bilgisayarlarında güvenlik mesajlarını gösterin.
- Güvenlik Şampiyonları: Her departmandan güvenlik konusunda önderlik yapabilecek birkaç güvenlik lideri belirleyin.
Güvenlik politikaları mevzuat açısından önemlidir. Ancak şirketler çalışanlarının bu politikalara uymasını istiyorsa, işi fazla karmaşıklaştırmamak gerekir. Veri güvenliği söz konusu olduğunda doğru dengeyi bulmak oldukça önemlidir.
İlgili yazılar:
- Casus yazılım: Tanıyın ve siber şantaja maruz kalmayın
- Dijital hayatınızda bahar temizliği yapma zamanı
- Sahte WhatsApp ve Telegram kripto para peşinde
