Şirketlerdeki IT uzmanlarının veri güvenliğini sağlamak adına şirket çalışanlarından uymalarını beklediği kurallar, genelde ağır bir yük olarak görülüyor. Dtex’in açıkladığı 2018 İç Tehdit Raporu’na göre çalışanların %60’ı şirketin güvenlik politikalarını aşmak için işlemlerini gizleyecek tarayıcılar veya VPN bağlantılarını kullanıyor. Nedenleri çalışanlarca anlaşılamayan ağır siber güvenlik politikalarının yeterince faydalı olamadığını vurgulayan lider güvenlik duvarı ve UTM sağlayıcısı WatchGuard’ın Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez, çalışanların güvenlik kurallarına uymasında daha etkili olacak 3 yol öneriyor.
Şirket çalışanlarına uygulanan ağır siber güvenlik politikalarının yeterince faydalı sonuçlar vermediğini ortaya koyan Dtex’in oluşturduğu 2018 İç Tehdit Raporu’na göre, çalışanların çoğu bu tür kuralları bir yük olarak görüyor. Araştırmaya katılanların %60’ı güvenlik politikalarına uymamak için işlemlerini gizlilik özelliği açık tarayıcılar veya VPN’ler üzerinden gerçekleştirirken, %91’i de iş için kendi kişisel mail adreslerini kullanmaktan vazgeçmeyerek oltalama saldırıları gibi vakalar ile şirket güvenliğini riske atıyor. En iyi güvenlik kurallarının bile gerçekçi olmadıkça ve çalışanlar tarafından benimsenmedikçe işlevsiz olduğunun altını çizen lider güvenlik duvarı ve UTM sağlayıcısı WatchGuard’ın Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez, çalışanların güvenlik kurallarına uymasında daha etkili olacak 3 yol öneriyor.
Çalışanların Güvenlik Kurallarına Uymasını Sağlamak İçin 3 Etkili Yol
Şirketlerdeki çok sayıda ve detaylı siber güvenlik kuralını zor ve sıkıcı bulan çalışanlar, VPN’ler veya gizlilik özellikleri açık internet tarayıcıları gibi araçlarla şirketlerinin kontrolünden kolayca sıyrılıyor. Dolayısıyla bir tutum yerine daha gerçekçi kurallar koymak ve kuralların arkasındaki nedenleri anlatmak çalışanlardan sadece kurallara uymalarını talep etmekten daha etkili oluyor. WatchGuard’ın Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez’in, şirket yöneticilerinin ve IT uzmanlarının bu kuralları nasıl belirleyebileceklerine ve hangi şekilde uygulayabileceklerine dair altın değerindeki 3 önerisi şöyle:
1. Güvenlik kurallarını daha esnek hale getirin. Güvenlik personellerinin en güçlü siber güvenliği sağlamaya çalışması oldukça anlaşılabilir bir durumdur. Ancak çalışanların karmaşık, 24 karakterden fazla uzunlukta şifreleri seçmeleri, e-postalarda gelen şüpheli dosya eklerine sürekli temkinli yaklaşmaları ve sadece işleri için gerekli uzmanlarca belirlenmiş bir site listesinin dışına çıkmamaları gibi beklentilere sahip olmak gerçekçi bir yaklaşım olmuyor ve çalışanları bezdiriyor. Diğer taraftan, en azından bazı kuralları mantık çerçevesi dahilinde esnek hale getirmek, daha fazla kabul edilmelerini sağlayabiliyor. Örneğin, erişimi engellenen web site sayısını bir parça azaltmak, kullanıcıların yasakladığınız sitelere girmek için şirketinizin güvenliğini proxy ya da VPN ile aşmaya çalışmasına engel olabilir. Daha az karmaşık ama yine de güvenli sayılabilecek şifrelerle de aynı şifrelerin tekrar tekrar kullanılmasının ya da şifre değiştirme zamanı geldiğinde sadece tek bir rakamın değiştirilmesinin önüne geçebilirsiniz.
2. Eğitimlerle çalışanların ilgisini çekin. Bir şirkette veri sızıntısının ortaya çıkması için bir çalışanın sadece tek bir kez mailindeki zararlı bir bağlantıya tıklayarak oltalama saldırısı kurbanı olması ne yazık ki yeterli olabiliyor. Çalışanları eğitmek her güvenlik planının kritik bir parçasıdır ancak bu eğitimlerin ilgi çekici hale getirilerek verilmesi daha da önemlidir. Bu nedenle etkileyici, değişik ve oyunlaştırılmış eğitimler hazırlayarak çalışanları bilinçlendirmeye çalışmak ve çeşitli teşvikler sunmak hayati rol oynuyor. Örneğin, "Oltayı bul" konulu bir oyun üretilerek bunun etrafında bir sunum hazırlamak çalışanların içerikle iletişime geçmesini ve hedefe odaklanmalarını sağlar. Bir puan tablosu hazırlamak ve en uyumlu çalışanlara ödüller vermek gibi uygulamalar onları öğrenmeleri gereken bilgilere ve uygulamaları gereken kurallara dair heveslerini artırır.
3. Güvenlik kurallarının nedenini anlatın. Güvenlik uzmanları, arkasındaki nedenleri anlamadığı için güvenlik kurallarını göz ardı eden çalışanlarla çok karşılaşıyor. Çalışanlarınızın sizinle iş birliği yapması için onlara politikalarınızın amaçlarını açıklamanız şart. Örneğin, Gmail ya da Hotmail gibi kişisel e-mail hesaplarına erişimi engellemek yerine çalışanlara oltalamaya karşı koruma adına yapılan bu yasaklar aşıldığında tehdit risklerinin nasıl arttığını anlatabilir, şifrelerin ele geçirilmesinin neden çok kolay olduğunu açıklayarak daha uzun şifrelerin hayati olduğunu gösterebilir ya da fidye yazılımların etkilerini karşılıklı tartışarak çalışanlara, ağ yedekleme mekanizmalarını kullanmalarını tembihlemekten daha öteye geçebilirsiniz.