Yarın şirketteki son günüydü. 7 yılı aşkın bir süredir çalıştığı bu şirketten, hızla büyüyen bir rakip şirkete Bölüm Müdürü olarak geçiyordu. Güzel bir teklif almıştı, hem terfi, hem de iyi bir maaş paketi. Yeni görevi onu hem heyecanlandırıyor, hem de üzerinde biraz stres yaratıyordu. Bu şirketteki 7 yılı, kariyerinin şu ana kadarki en başarılı dönemiydi: İş sonuçları, müşteri ve iş arkadaşları ile ilişkileri, yurtdışındaki merkez ofisle bağlantıları iyi gitmiş, hep sevilen bir çalışan olmuştu. Bu yeni görevde de karşısına çıkacak zorluklarla başedebilmeyi istiyordu; yeni bir ortam, yeni iş arkadaşları, yeni yöneticiler. Sektörü iyi biliyor olması bir avantajdı tabii.
Masasını hafta başında toplamış, özel eşyalarını küçük bir kutuya koymuştu. Posta kutusundaki eski e-postalarına baktı, gereksiz olanları sildi; bazılarını kısa notlar yazarak ekibindeki birkaç kişiye yönlendirdi. Son güne vedalar, küçük bir pasta, eski iş arkadaşlarına yazılacak yeni iletişim bilgileri mesajını bırakmıştı. Derin bir nefes aldı, işi neredeyse bitiyordu artık. Bilgisayarına bir USB taktı, tüm dosyalarını kopyaladı, yeni işinde ihtiyacı olacaktı. Şirketin paylaşım ağına girdi ardından, oradaki klasörlerden işine yarayacak dosyaları da USB’ye kaydetti. Müşteri listelerini, iş planlarını, örnek anlaşmaları aldı. Artık hazırdı.
*
Yukarıda anlattığım senaryo şirketlerde her gün yaşanıyor. Kapıdan çıkan dosyalara, listelere, bilgilere ne olduğunu ne yazık ki bilmiyoruz; daha kötüsü nereye gittiklerini de.
Kapıdan çıkan dosyaların başka versiyonları da var: Çalışanların bilerek ya da bilmeyerek dışarıya gönderdikleri, kazayla silinenler, virüslü bir bağlantıya tıklanıp yokolanlar, işten çıkarılmalarda öfkeye kurban gidenler, dışarıya sızdırılanlar, şirket sistemlerine dışarıdan girilerek başka yerlere aktarılanlar, çalınan şifrelerle başka ellere geçenler.
*
Yaşadığımız çağa damgasını vuran tek bir şey var: BİLGİ. Bilgi çağımızın en büyük gücü. Çalışanlarının kişisel bilgi ve deneyimleri de dahil olmak üzere, bilgi bir şirketin en önemli varlığı. Öyle ki, endüstriyel konular başta olmak üzere, şirketlerin rekabette en büyük tehditlerden bir tanesi bilgi casusluğu. Bilgi güvenliği ise, günümüz iş dünyasının en karmaşık sorunlarından çünkü bilgi güvenliği konusunda verilecek bir açık, direkt olarak şirket güvenliğindeki açık haline geliyor ve şirketin işini, repütasyonunu ve kredibilitesini tehdit ediyor.
Birçok konuda olduğu gibi, burada da sorunun tam ortasında İNSAN oturuyor: Uluslararası Bilgi Sistemleri Güvenliği Sertifikasyonu Konsorsiyumu ISC2’nin yayımladığı bir araştırmaya göre, şirketlerdeki bilgi güvenliği sorunlarının %42’si insan kaynaklı sorunlar. Dahası var: The Ponemon Institute’ün 2011 yılında 2400 bilgi güvenliği uzmanı ile yaptığı bir araştırmaya göre, yayınlanan tüm politika ve prosedürlere rağmen, şirketlerin %50’si çalışanlarının veri güvenliği ve şirketlerinde uygulanan güvenlik kuralları konusunda yeterli bilgiye sahip olmadığını düşünüyor.
*
Peki risk nerede başlıyor? Bir çalışan ne zaman risk haline geliyor?
Öncelikle genel duruma bir bakalım: Ortalama bir çalışanın bilgi güvenliği bilinci oldukça düşük. Şirketin ticari sırlarını korumak ve bu bilgilerin gerçekte şirkete ait bilgiler olduğunu bilmek konusunda çalışanların büyük çoğunluğunun ne yazık ki belirgin bir farkındalığı yok. Bunun yanı sıra, çalışanlar bilişim risklerine de son derece açıklar. Öyle ki, bilgi güvenliğinin birinci basamağı olan şifreleme konusunda bile durum evlere şenlik: Düşünün ki, bilgisayar kullanıcılarının en popüler şifreleri 123456, password, doğum tarihleri ve iloveu.
Oysa ki, bir çalışanın önüne, şirketteki konumuna ve yaptığı işe bağlı olarak, hergün şirkete ait yazılı ve sözlü yüzlerce bilgi geliyor. Çalışanlar şirketin paylaşım ağındaki birçok yere serbestçe ulaşabiliyor, bilgilere erişebiliyor ve bilgilerde değişiklik yapabiliyor. Şirketler, insan kaynaklı bilgi risklerine son derece açık şekilde hayatlarını sürdürüyorlar. Her ne kadar şirketlerin %67’si bir bilgi güvenliği prosedürünün var olduğunu söylüyor ve bu konuda çalışanlarını bilinçlendirdiğini ifade ediyorsa da, çalışanlar şirketlerin bilgi güvenliğindeki en zayıf halka olmayı sürdürüyorlar.
Pek çok çalışan, bilgiyi riske atan bir karar vermesi gerektiğinde kendi kişisel yargılarını kullanıyor ve doğru bildiğini yapıyor. Paylaştığı bilginin, girdiği şifrenin, ekranında beliren sorunun içeriğine çok da odaklanmadan hareket ediyor. Şirketten ayrılırken, tüm dosyalarını alarak gitmenin son derece normal olduğunu, bunu bir sonraki işyerinde kullanmanın da kendi kişisel hakkı olduğunu düşünüyor. Bunu bir güvenlik sorunu veya bir etik konusu olarak gören insanların sayısı maalesef yok denecek kadar az.
*
Eğer şirketinizde bilgi güvenliği konusunda ciddi bir çalışma yapılmamışsa, buraya kadar anlattıklarım sizi biraz huzursuz etmiş olmalı. Gerçekten de bilgi güvenliği, A’dan Z’ye şirketin tüm çalışanlarının şirketin markaları veya satış rakamları kadar sahiplenmesi gereken bir olgu. Ürünlerinizi, hizmetlerinizi, ticari sırlarınızı en iyi şekilde korumak, şirketinizin başarısı ve bütünlüğü için şart. Ancak bunu tam anlamıyla yapabilmek, prosedür yayınlamanın çok ötesinde bir yönetim anlayışı gerektiriyor çünkü bu konuyu gerçekten sahiplenmek için çalışanlarınız bilgi güvenliğinin temel prensiplerini tam olarak anlamak zorundalar.
Peki bunu nasıl yapacağız? Madem ki konunun temeli insana ilişkin demiştik, bilgi güvenliğinin insan kaynakları tarafına yönelik birkaç öneriyi sizlerle paylaşmak isterim:
- – Çalışanlarınıza net bir resim çizin: Bilgi güvenliği’nin ABC’sinden başlayarak çalışanlarınıza net bir resim çizin. E-mail güvenliği, internet güvenliği, veri güvenliği, şirket varlıklarının güvenliği kavramlarını ayrı ayrı ve bir bütün olarak anlamalarını sağlayın.
- – Şirket bilgilerine erişimi çalışanlarınızın ihtiyaçlarına göre düzenleyin: Herkesin herşeye erişebiliyor olması kolay olmakla beraber, riskli bir çözüm. Şirketinizde kimin nereye erişimi olması gerektiğini düşünün, erişim haklarını iyi yönetin. İhtiyacı olan çalışanın, sadece ihtiyacı olan bilgiye erişmesini sağlayın. Özel erişim ihtiyaçlarını belirleyin, bunlara ait onay mekanizmaları kurun.
- – Prosedürlerinizi yazın ve uygulayın: Bilgi güvenliği standartlarınız olsun, bir Bilgi Güvenliği Prosedürü oluşturun. Oyunun kurallarını net olarak belirleyin. Bu arada, unutmayın: Bir prosedürü aktarmanın en kötü yolu onu yayınlamaktır. Prosedürlerinizi çalışanlarınıza anlatın, anlamalarını, soru sormalarını ve benimsemelerini sağlayın.
- – Çalışanlarınızı bilgi güvenliği konusunda eğitin ve iyi alışkanlıklar kazandırın: Bilgi güvenliği bütçenizle sadece sistem yatırımı yapmayın. Eğitimi için de kaynak ayırın ve çalışanlarınızı düzenli olarak eğitin. Çalışanlarınızın bilinçlenme kasını geliştirin; bu isabetle kararlar vermelerini ve farkındalıklarının artmasını sağlayacaktır.
- – En iyi uygulamalarınızı paylaşın: En iyi öğrenme gerçek hikayeler dinleyerek olur. Çalışanlarınıza konuyu ve önemini gerçek hayat örnekleri ile anlatın.
- – Konunun ciddiyetini göz ardı etmeyin: Paralel olarak, onaylı, yazılı, altında imzaları olan süreçleri de geliştirin. Bilgi güvenliğinin ciddi bir konu olduğu mesajını tüm çalışanlarınıza net olarak verin.
- – Çalışanlarınızın katılımını sağlayın: Bir monolog yerine, diyalog ortamını seçin. Çalışanlarınızın bilgi güvenliği süreçlerine aktif olarak katılmalarını sağlayın. Yasaklamak, sınırlamak veya kısıtlamak yerine fikirlerini alın, yorumlarını dinleyin. Bilgi güvenliği sadece Bilgi Teknolojileri, İnsan Kaynakları veya yönetimin konusu değildir.
*
Burada daha çok insan boyutu ile ele aldığım “bilgi güvenliği” insandan sisteme, hukuktan etiğe uzanan son derece geniş bir konu. Ancak şunu söylemek mümkün: Gelecekte bilgi daha da güç kazandıkça, bilgi güvenliği de günümüz iş dünyasında giderek daha büyük önem kazanacak. Konu çok boyutlu olsa da, kapıdan çıkan dosyaları durdurmak ancak ve ancak merkezinde insanın olduğu bir bilgi güvenliği yönetim modeli yaratırsanız mümkün.
Pınar Akkaya