facebook
Dijital Dönüşüm

Kurumsal siber güvenlik kültürü nasıl oluşturulur?

Yapay zeka aracı ile özetlenmiştir

Siber güvenlik kültürü oluşturmanın önemi vurgulanmaktadır. Güvenlik programı kurmanın ve güvenlik bilincini artırmanın şirket içindeki her çalışanı kapsaması gerekmektedir. Yönetici teşviki ve düzenli eğitim programlarıyla desteklenen güvenlik kültürü, fiziksel erişim konusunda da dikkate alınmalıdır. Şirketlerin siber güvenlik kültürü oluşturarak çalışanları angaje etmeleri ve sürekli iletişim halinde olmaları önemlidir.

İçindekiler

1. Tutarlı Mesaj

2. Siber güvenlik kültürünün temel unsurları

Siber güvenlik saldırılarıyla ilgili haberlerin sayısı günden güne artırken, buna paralel olarak siber güvenlik bilinci de hızla yayılıyor. Bu önemli konu şu an dünya çapındaki üretim tesislerinde bolca konuşuluyor. Artan farkındalıkla beraber bir güvenlik programı kurmak ve güvenlik üzerine şirket içinde bir kültür oluşturmak, işçi güvenliği kadar önemli bir husus. Bu yazımızda şirketinizde güvenlik kültürü oluşturmanın önceliklerini anlatıyoruz.

Güvenlik tavrı, kurumun her köşesine taşınmalı; İnsan Kaynaklarından Muhasebeye veya Mühendislik birimlerine kadar her çalışanı kapsamalıdır. Ayrıca, şirket dahilindeki her türlü girişimde olduğu gibi, yönetici teşviki kritik önem taşır.

İdari yönetim ve insan kaynakları, çalışanlar için düzenli olarak eğitim programları yürütmelidir. Çalışan eğitimine ara verilmemelidir ki siber güvenlik üzerine yaptığınız vurgu her zaman etkili ve net olarak kalsın.

Her ne kadar siber güvenlik çoğu zaman insanları, süreçleri ve teknolojileri bir araya getirerek elde edilse de, bir adım geri atmalı ve daha temel sorularla başlanmalıdır: Fiziksel erişim konusunda ne yapmalıyız? Çalışanlarımız fiziksel erişim hakkında ne biliyor? Çalışanlarımız fiziksel erişim güvenliği hakkında ne biliyor? Sosyal mühendislik içeren saldırılara karşı nasıl yeni güvenlik katmanları oluşturabiliriz? Çalışanların yeterliliğini nasıl ölçeriz?

Tutarlı Mesaj

Evet, ilk olarak eğitim ve farkındalıkla başlıyoruz ama yönetici desteğiyle başlayan bir siber güvenlik ve istikrarlı eğitim programlarıyla desteklenmiş daha yerleşik bir yaklaşıma ihtiyacımız var. Tıpkı eğitiminde olduğu gibi, yazılı zorunlu kurallar idari yönetimden insan kaynaklarına, daha sonra üst yönetime, orta yönetime ve vs. herkesi kapsamalıdır. Eğer güvenlik mesajınızı iletmede kararlı olursanız, kurumun çalışma kültürüyle nasıl entegre hale geldiğini gözlerinizle göreceksiniz.

Özellikle bir konu var; o da klavyeyi kilitlemeden yerinden ayrılanların diğer çalışanlar tarafından bu “güvenliksiz” hareketi için uyarılması. Tıpkı üretim bandında yanlış yapan bir çalışanın uyarılmasında olduğu gibi. Ya da, tesise kendi giriş kartıyla başkalarını sokanların engellenmesi ve herkesin kendi güvenlik kartını kullanması gibi.

Bir güvenlik kültürü oluşturmak, sadece eğitim ve öğretimle ulaşılabilecek bir hedef değildir. Aynı zamanda günlük antrenmanlar da düzenlenmelidir. Kritik altyapı, üretim, taşıma, uzak iletişim, finans, hastaneler, sağlık hizmetleri ve enerji kaynakları gibi bazı sanayilerde güvelik harika olmasa da iyi düzeydedir ve giderek de iyileşmektedir. Fakat küçük ve orta boy işletmelerde atılması gereken daha çok adım var.

Bir keresinde tanıdığımız bir arkadaşımız, çalıştığı şirketin veri tabanıyla alakalı olarak bir fidye yazılımı saldırısına uğradı. Probleme çözümsel açıdan baktığımızda, veriyi geri yüklemenin boşa harcanacak bir çaba olacağını anlamamız uzun sürmedi. Çünkü fidye yazılımı aynı zamanda ana veri tabanını da etkilemekle kalmamış; yedekleme veri tabanlarını, operasyonları, finansı, muhasebeyi ve insan kaynaklarını da rehin almıştı. Herkesin aklının köşesinde bir yerde güvenlik algısını tuttuğu bir çalışma ortamı yaratılmamıştı. Gerisi ise çorap söküğü gibi geldi ve şirketi tam bir siber güvenlik kabusuyla yüz yüze bıraktı.

Siber güvenlik kültürünün temel unsurları

Güçlü bir siber güvenlik kültürü oluşturmak insanlarla başlar ve tutarlı ölçüde gayret ve zaman ister. Aşağıda sağlıklı bir siber güvenlik kültürünün gerektirdiği başlıca unsurları bulacaksınız:

1. İdari destek – Bunun anlamı gerçek bir destek, sadece destekten bahsetmek değil. Yani şirket liderleri; bütçe ayırma, belli başlı kurumsal roller oluşturma, herkese açık destek iletişimi kurma ve hedeflere ulaşmayla gerçekten siber güvenlik için etkin bir seviyede olmalıdırlar.

2. Kurallar ve prosedürler – Bu genelde insan kaynaklarıyla ilgilidir ve bu alandaki iyi şirketler, siber güvenlik üzerine çalışanları için net kurallar ve alışkanlıklar yürütürler. Yani, fiziki güvenlikten USB çubuklarının kullanımına kadar her şeyin “Yapılacakları ve Yapılmayacakları” çıkarılır.

3. Eğitim – Bir kurallar kılavuzu hazırlayıp duvardaki rafa tozlanmaya bırakmak yermez; şirketler bünyelerine çalışan eğitimi ve farkındalık programları eklemelidir. Bunlar içinde video gösterimleri, sınıf eğitimleri, Web tabanlı veya diğer eğitimler de olabilir. Burada önemli olan şey, vazifenin işlevine göre uygun eğitimler verilmeli ve bu eğitimler en az yılda bir kere yenilenmelidir. Ayrıca çalışan katılımı gözlenerek, içeriğin çalışanlara ulaştığından emin olunmalıdır.

4. Sınama – Çalışan özverisini ölçtüğünüz sınavlar ve testler ciddi bir siber güvenlik kültürü yaratılabilir. Bu testler içinde ‘phishing’ egzersizleri ve diğer dahili sınavlar yer alabilir. Mesajı almada çalışan özverisini takip ederek eğitimi ve katılımı gözlemleyebilirsiniz. Ödüller, cezalar ve diğer bilgilendirmelerle çalışanları angaje edebilir ve hatta bunu eğlenceli bir şekilde bile başarabilirsiniz.

5. İletişim – Siber güvenlik sürekli biçimce şirketin konu başlıklarında biri olarak kalmalıdır. Dahili duyurular, posterler, hikayeler ve diğer bilgilendirmeler, sağlıklı bir kültürün yeşermesinde yardımcı olacaktır.

Siber güvenlik cephesinin ilk ve en önemli unsuru insanlardır. Bu konuda herkesi ortak bir paydada toplamak ve rollerini anlamalarına yardım etmekle risk düzeyini düşürecek ve şirketin büyümesine ve güçlenmesine katkı sağlayacak yeni fikirlerin özgürce gelişmesine yardımcı olacaksınız.

02.11.2018
Detaylı bilgi için Sizi Arayalım.
Telefonunuza doğrulama kodu gönderilecektir.

Aydınlatma Metni’ni okudum, onaylıyorum.

Bu internet sitesinde yer alan tüm içerikler, ziyaretçilere bilgi verilmesi amacıyla hazırlanmış olup tavsiye amacı taşımaz. Logo sitede yer alan bilgilerin doğruluğu, güncelliği ve kullanılması konusunda herhangi bir güvence sunmaz. İlgili bilgiler kullanılmadan önce ilgili konu hakkında bir profesyonelle ile görüşülmesi tavsiye edilir. Logo bu sitede yer alan içerikler sebebiyle doğabilecek zararlar bakımından sorumluluk kabul etmez. Lütfen siteyi ve sitedeki bilgileri kullanmadan önce Kullanım Koşulları’nı okuduğunuzdan emin olunuz.

Logo Yazılım hakkındaki sorularınız ve talepleriniz için

Ürünler hakkında bilgi isteyebilir, demo talebinde bulunabilirsiniz. Uzmanlarımız sizi ihtiyacınıza göre en doğru çözüme yönlendirecektir.


Bize yazın size biz ulaşalım
Telefonunuza doğrulama kodu gönderilecektir.

Aydınlatma Metni’ni okudum, onaylıyorum.