Kurumsal Siber Güvenlik Nasıl Oluşturulur?
Kurumsal Siber Güvenlik oluşturmak söz konusu olduğunda güvenlik tavrı, kurumun her köşesine taşınmalı. İnsan Kaynaklarından muhasebeye veya mühendislik birimlerine kadar her çalışanı kapsamalıdır. Ayrıca, yönetici teşviki kritik önem taşır.
Siber güvenlik çoğu zaman insanları, süreçleri ve teknolojileri bir araya getirerek elde edilir. Fakat bir adım geri atmalı ve daha temel sorularla başlanmalıdır. Fiziksel erişim konusunda ne yapmalıyız? Çalışanlarımız fiziksel erişim hakkında ne biliyor? Çalışanlarımız fiziksel erişim güvenliği hakkında ne biliyor? Sosyal mühendislik içeren saldırılara karşı nasıl yeni güvenlik katmanları oluşturabiliriz? Çalışanların yeterliliğini nasıl ölçeriz? Benzeri sorular iyi bir başlangıçtır.
Kurumsal Siber Güvenlik Kültürünün Temel Unsurları
Güçlü bir siber güvenlik kültürü oluşturmak insanlarla başlar ve tutarlı ölçüde gayret ve zaman ister. Aşağıda sağlıklı bir siber güvenlik kültürünün gerektirdiği başlıca unsurları bulacaksınız:
1. İdari destek. Bunun anlamı gerçek bir destek, sadece destekten bahsetmek değil. Yani şirket liderleri; bütçe ayırma, belli başlı kurumsal roller oluşturma, herkese açık destek iletişimi kurma ve hedeflere ulaşmayla gerçekten siber güvenlik için etkin bir seviyede olmalıdırlar.
2. Kurallar ve prosedürler. Bu genelde insan kaynaklarıyla ilgilidir ve bu alandaki iyi şirketler, siber güvenlik üzerine çalışanları için net kurallar ve alışkanlıklar yürütürler. Yani, fiziki güvenlikten USB çubuklarının kullanımına kadar her şeyin ?Yapılacakları ve Yapılmayacakları? çıkarılır.
3. Eğitim. Bir kurallar kılavuzu hazırlayıp duvardaki rafa tozlanmaya bırakmak yermez; şirketler bünyelerine çalışan eğitimi ve farkındalık programları eklemelidir. Bunlar içinde video gösterimleri, sınıf eğitimleri, Web tabanlı veya diğer eğitimler de olabilir. Burada önemli olan şey, vazifenin işlevine göre uygun eğitimler verilmeli ve bu eğitimler en az yılda bir kere yenilenmelidir. Ayrıca çalışan katılımı gözlenerek, içeriğin çalışanlara ulaştığından emin olunmalıdır.
4. Sınama. Çalışan özverisini ölçtüğünüz sınavlar ve testler ciddi bir siber güvenlik kültürü yaratılabilir. Bu testler içinde ?phishing? egzersizleri ve diğer dahili sınavlar yer alabilir. Mesajı almada çalışan özverisini takip ederek eğitimi ve katılımı gözlemleyebilirsiniz. Ödüller, cezalar ve diğer bilgilendirmelerle çalışanları angaje edebilir ve hatta bunu eğlenceli bir şekilde bile başarabilirsiniz.
5. İletişim. Siber güvenlik sürekli biçimce şirketin konu başlıklarında biri olarak kalmalıdır. Dahili duyurular, posterler, hikayeler ve diğer bilgilendirmeler, sağlıklı bir kültürün yeşermesinde yardımcı olacaktır.
Siber güvenlik cephesinin ilk ve en önemli unsuru insanlardır. Bu konuda herkesi ortak bir paydada toplamak ve rollerini anlamalarına yardım etmekle risk düzeyini düşürebiliriz. Şirketin büyüyüp güçlenmesine katkı sağlayarak yeni fikirlerin de özgürce gelişmesine yardımcı olabiliriz.