08/12/2019
En zayıf halka: İnsan.
Bir kurum, maliyetine bakmaksızın paranın alabileceği en ileri güvenlik teknolojilerini kul-lanabilir, sistemleri tasarlayabilir ve adeta kendisini bir güvenlik çemberinden geçirebilir. Bu şekilde sadece en son teknolojiyi kullanarak üst seviyede güvenlik önlemleri alabilen bir kurumda bilgi güvenliğinin tamamen sağlanmış olduğundan söz edilemez.
Güvenlik teknolojileri geliştirildikçe, olası teknik açıkları kullanmak zorlaşacağı için saldırganlar insan unsurunun zayıflıklarından faydalanma yoluna yönelmişlerdir. Bundan dolayı kurumlarda güvenliğin en zayıf halkasını insan unsuru oluşturmaktadır.
Güvenlik; teknolojiden önce insana yatırım yapılmasıyla, kurum çalışanların/bireylerin en tepeden en alt çalışanına, hatta bilgi alış verişinde yaptığı varsa tedarikçileri, müşteri ve ziyaretçilerini bilgilendirmesi, onlar üzerinde bir bilgi güvenlik farkındalığı oluşturması, kendini geliştirmesi, bilgi güvenlik faaliyetle-rinin benimsenmesi, önemsenmesi ve desteklemesi ile anlamlı hale gelebilir.
Bilgi güvenliği risklerinden korunmanın en iyi yolu bilgi teknolojilerine çok para harcamak ve korunma amaçlı teknolojileri daha çok kullanmaktan önce insanların bilinçlenmesi ve ihtiyaç duyulan güvenlik teknolojisinin doğru yer ve zamanda kullanmakla mümkün olabilir.
İnsan faktörüne bağlı bilgi güvenlik riskleri hiçbir zaman tamamen ortadan kaldırmak mümkün olmasada iyi planlanmış bir farkındalık faaliyeti ile güvenlik risklerinin kabul edilebilir bir seviyeye çekilmesini sağlanabilir.
Peki Bilgi Güvenliği Farkındalığı Oluşturmak için neler yapabiliriz?
Bilgi güvenliği farkındalığını oluşturmanın ana yolu kurumda en üst seviyedeki yönetimden en alt seviyedeki çalışana, tedarikçilere hatta müşterilere kadar çalışanların görev ve pozisyonları da dikkate alınarak ihtiyaç ve beklentilere göre farklı eğitim ve farkındalık programları hazırlanmalı ve eğitimler düzenlenmelidir.
Bu eğitimler bir çalışan ise başladığında verilen oryantasyon eğitimlerinin ayrılmaz bir parçası olarak düşünülmeli ve mutlaka her çalışana en az bir kez verilmelidir. Daha sonraki dönemlerde ise çalışana planlamış varsa alması gereken diğer eğitimler düzenli olarak verilmedir.
Kurumlarda çalışanlar/bireyler üzerinde farkındalık oluşturmada sınıf içi eğitimler yanında pek çok farklı yöntemler de bulunmaktadır. Bunlar;
İnternet tabanlı interaktif sanal eğitimleri verilebilir.
E-Learning eğitimleri; zorunlu bilgi güvenliği eğitimleri ya da pozisyona göre özel interaktif sanal eğitimler hazırlanabilir.
Çalışanlara yönelik masaüstü bilgi güvenliği el kitabı kitapçığı ve renkli broşürler, posterler hazırlanabilir.
Kurumdaki birimler bazında aylık etkinlikler düzenlenip, ilgili birimlerin güvenlik konusundaki eksiklikleri ve dikkat edilmesi gereken güvenlik unsurları açıklanarak, bir farkındalık oluşturulabilir.
Çeşitli animasyonlar veya film gösterileri (Multimedya) hazırlanabilir.
Bilgi güvenliği bülteni hazırlanabilir.
Ekran koruyucu ile mesajlar iletilebilir. Bu mesajlar bilgisayar güvenliği ve kurumun bilgi güvenliği politikasını yansıtacak şekilde parola güvenliği, e-posta güvenliği vs. gibi konuları içerebilir.
Bilgi Güvenliği konusunda oyunlar hazırlanabilir. Son kullanıcının seviyesine göre simülasyonlar hazırlanabilir. Bu oyunlarda kullanıcıya güvenlik açıklarının bulunması yönünde bir strateji ile farkındalık oluşturulabilir.
Belirli aralıklarla kurumda çalışanlara yönelik yazılar ya da yukarıda ifade edilen şekilde sunular hazırlanıp, yayınlanabilir.
Çalışanlara güvenlikle ilgili sesli e-posta ve video görüntüleri gönderilebilir veya bir portal üzerinden yayınlanabilir.
Çalışanların güvenlik hassasiyetleri değerlendirilip ödüllendirme yoluna gidilebilir.
Güvenlik kuralları; bilgiyi korumak amacıyla, çalışan davranışları için yön gösterici bir rehberdir ve güvenlik tehditlerini bertaraf edebilmek içinde etkili kontrol geliştirilmesinin temel yapı taşıdır. Etkili güvenlik önlemleri ise iyi düzenlenmiş kurallar ve süreçlerle çalışanları eğitmekle mümkün olacaktır. Bu da ancak etkili bir çerçevede hazlanmış farkındalık programları ile olabilecektir.
İyi tasarlanmış ve kurgulanmış farkındalık programı güvenlik çemberinin en zayıf halka- sının güçlenmesini sağlayacaktır.
En önemli ve en etkili güvenlik önlemi kurum çalışanlarını mutlaka ama mutlaka eğitmesi ve bilinçlendirmesinden geçmektedir. En basit bir ciddiyetsizlik, dikkatsizlik, sorumsuzluk bilginin yetkisiz kişilerin eline geçmesine ve kurum için maddi manevi çok büyük belki telafisi mümkün olmayabilecek kayıplara sebep olabileceği hiçbir zaman unutmamalıdır.
Bu tür bir bilinçlendirme çalışmalarında üst yönetimin desteği ve çalışanların yeterli bilince sahip olması çok önemlidir. Tüm bu farkındalık çalışmaları ya da teknolojik önlemlerin alınması, uygulanması ve bunlardan etkin beklenen sonuçların elde edilmesinde ancak kurum üst yönetimi başta olmak üzere tüm çalışanların aktif katılımları ve destekleri ile mümkün olabilir.
