Son birkaç yılda yaşanan olaylar siber güvenlik zafiyetlerine sadece BT altyapılarının değil, insanların bireysel uygulamalarının da yol açtığını ortaya koydu. Risk, emeklilik ve sağlık konularında veri ve analizlerden faydalanarak profesyonel hizmetler sunan Aon da bu gerçekten yola çıkarak, İK liderlerinin siber güvenlikte daha aktif rol üstlenmelerine yardımcı olacak bir kılavuz hazırladı.
COVID-19, siber suçlularla mücadelede güvenlik ve teknoloji profesyonellerinin bir araya gelmesine yardımcı olurken insan kaynakları liderlerine de bu mücadelede önemli roller yükledi. Çünkü sadece güvenlik duvarları, veri şifreleme ve diğer güvenlik kontrollerinden oluşan sağlam bir BT altyapısı bir şirketi en kritik güvenlik açıklarından biri olan çalışanlarına karşı korumak için yeterli olmayabilir. Öyle ki 2021’de yapılan bir araştırmaya göre tüm ihlallerin yüzde 82’sinin insan hatasından kaynaklandığı tahmin ediliyor.1 Başka bir araştırmaya göre ise siber güvenlik ekiplerinin yüzde 80’i hibrit veya uzaktan çalışmanın şirketlerinin siber saldırılara karşı savunmalarını zayıflattığına inanıyor.
Siber güvenliğin bir BT ve risk yönetimi sorunu olduğu varsayımı yaygın olsa da son birkaç yılda yaşanan olaylar siber güvenliğin özünde bir insan sorunu olduğunu netleştirdi.3 Siber saldırı riski tüm zamanların en yüksek seviyesinde olduğundan, koordineli bir ekip çalışmasına duyulan ihtiyaç her zamankinden daha fazla önem taşıyor. Risk, emeklilik ve sağlık konularında veri ve analizlerden faydalanarak profesyonel hizmetler sunan Aon da İK liderlerinin, şirketlerin karşı karşıya olduğu bu riskleri azaltmaya yardımcı olabilecek önemli roller üstlenmeleri gerektiğine dikkat çekiyor.
Konuyla ilgili açıklama yapan Aon Türkiye Eş-CEO’su Selda Oknas Tanbay, “21. yüzyılın değişen çalışma ortamları nedeniyle artık insan kaynakları liderlerinden de siber risklerle mücadelede aktif bir rol üstlenmeleri bekleniyor. Siber güvenlik bilincine sahip İK uzmanlarının gizlilik ve bilgi güvenliğinin öneminin ve mevzuatlara uyumun anlaşıldığı bir iş yeri kültürü oluşturmakla görevli olduğuna inanıyoruz. BT ekibi siber risklerin belirlenmesi ve azaltılmasında merkezi oyuncular olsa da İK liderlerinin de bu sürece dahil olması önemli. Hazırlanan bu kılavuz ile siber güvenlik alanında insan kaynakları liderlerine yol göstermek amaçlanıyor” dedi.
Aon’un konuyla ilgili insan kaynakları liderleri için yayımladığı kılavuzda üç ana tehdit alanı hakkında bilgi veriliyor.
Uzaktan Çalışma: Çalışanların Eğitimi ve Hesap Verebilirliği
Hibrit çalışma ortamının, uzaktan bağlanabilirlikten kaynaklanan siber saldırı riskini artırdığına dikkat çekilen kılavuzda, şirketlerin operasyonel esnekliklerini ve üretkenliklerini kısıtlamadan siber riskleri azaltmaları gerektiği belirtiliyor. Bu kapsamda İK liderlerine şu tavsiyelerde bulunuluyor:
· Siber güvenlik riskleri ve çalışanların uzaktan veya hibrit çalışma ortamlarında kendilerini nasıl koruyabilecekleri konusunda eğitim programlarının finanse edilmesi ve uygulanması amacıyla BT ile iş birliği yapın. Gerçek zamanlı tehdit istihbaratı güncellemelerini içeren üç aylık eğitim modüllerini değerlendirin ve kurum dışından uzmanları konuşmacı olarak davet edin. BT veya üçüncü taraf bir tedarikçi tarafından tasarlanmış hazır eğitimleri sunmak yerine eğitim stratejisine, müfredatına ve sunumuna katkıda bulunduğunuz bir eğitim modeline geçin, çalışanların siber risklerle ilgili bilgilerini ve gelişimlerini her yıl artırın.
· 2022 yılında mobil cihazlara yönelik saldırılarda yüzde 50’lik bir artış olduğunu4 dikkate alarak, çalışanların kişisel cihazları ile ilişkili BYOD (kendi cihazını getir) politikalarının farkında olduğundan emin olun.
· Çalışanları gizli verilerin, müşteri bilgilerinin ve kurumu tehlikeye atabilecek veya müşterileri ya da hissedar değerini olumsuz etkileyebilecek bilgilerin kullanımıyla ilgili sorumlulukları konusunda eğitin.
Hibrit Bir İşyeri: Yeniden Eğitim ve Krize Hazırlık
İş gücünün bir kısmı muhtemelen öngörülebilir gelecekte hibrit bir model ile çalışmaya devam edecek. Hibrit çalışanlar, iş yerlerine evde kullandıkları dizüstü bilgisayarlar, mobil cihazlar ve çeşitli ekipmanlar da getirebiliyor. Kılavuzda hibrit çalışma modeli uygulayan İK liderlerine siber güvenlikle ilgili şu adımları atmaları tavsiye ediliyor:
· Şirketin fiziksel ve dijital güvenliğini korumak için güvenlik ekipleriyle birlikte çalışın. Örneğin, çalışanların şirket sistemlerine ve ağlarına doğrudan yeniden bağlanmadan önce cihazların taranması ve test edilmesi konusunda bilinçli ve hazırlıklı olmalarını sağlayın.
· İşe alım sürecinin bir parçası olarak işe yeni alınan herkese siber güvenlik farkındalık eğitimi verin. Çeşitli uzaktan çalışma ortamları hakkında bilgi edinin. Yeni ve mevcut çalışanların hibrit çalışma politikaları ve prosedürleri hakkında bilgilenmelerine yardımcı olun.
· Kurum içi ekiplerin olası bir olumsuz olaya karşı hazırlıklı olmasını sağlayın. Bir siber saldırı için olaya hazırlık planlamasının yanı sıra tamamen uzaktan çalışmaya hızlı bir şekilde geri dönmeyi gerektirebilecek kesintiler için de bir hazırlık planınız olsun.
Çalışanların işten ayrılması ve şartların değişmesi
Ekonomik olarak ayakta kalabilmek için birçok şirket iş gücünü küçültmek, ücretleri azaltmak veya çalışanlara sağlanan diğer faydaları sınırlamak zorunda kalabiliyor. İşten çıkarmalar, tazminat ve sosyal yardımların azalması ve yaygın ekonomik belirsizlik ortamında, bazı çalışanların yeni düzenlemelere tepki olarak kötü niyetli davranması (fikri mülkiyet hırsızlığı vb.) riski söz konusu olabilir. Aon; işten ayrılma, tazminat ve sosyal yardım değişiklikleri gibi dalgalarla karşı karşıya kalan İK liderleri için ise şu tavsiyelerde bulunuyor:
· Veri ihlallerinin, fikri mülkiyet zararlarının ve siber saldırıların önemli bir bölümünü oluşturan şirket içi tehditleri belirlemek amacıyla aktif olarak çalışın. Buna ek olarak, çalışanların korku ve hayal kırıklıklarını gidermeye yardımcı olmak için açık iletişim, çalışanlara güven vermenin etkili bir yolu olabilir. Kötü niyetli çalışanların tespit edilmesi için yöneticiler eğitilebilir, davranış ve iletişim teknolojileri kullanılabilir ve yetenek değerlendirme araçlarından faydalanmak için firmalar ile çalışılabilir. Ayrıca, şirket içi yolsuzlukların tespiti için bağımsız bir ihbar hattı oluşturulabilir.
· Kötü bir şekilde işten ayrılanların şirketin verilerini ve güvenliğini tehlikeye atabilecek niyetlerine karşı hazırlıklı olun. Fikri mülkiyet, pazara giriş planları veya müşteri listelerini çalma girişimlerini engellemek veya en aza indirmek ve virüs yerleştirme veya şirketin ağını rehin alma girişimlerini engellemek için cihazlarda, hesaplarda ve kurumsal ağda izlenebilirliği artırın ve kayıt tutun. İşten çıkarılmış çalışanların tüm sistemlere erişiminin tamamen devre dışı bırakıldığından emin olmak için mevcut prosedürleri gözden geçirin.
· İşe alım, öğrenme ve gelişim de dahil olmak üzere tüm insan kaynakları uzmanlık alanlarında kurum genelinde yukarıdan aşağıya bir uyum kültürü oluşturun. Çalışanların şirketin güvenliğini ciddiye aldıklarından, uyum ve güvenlik protokollerinin ihlaline karşı sıfır tolerans politikasının uygulandığı bildiklerinden emin olun.
