Profesyonellerin yalnızca yarısı siber güvenlik eğitimi alıyor.
Kaspersky’nin Türkiye genelindeki profesyonellerle gerçekleştirdiği “İş Yerinde Siber Güvenlik: Çalışan Bilgisi ve Davranışı” başlıklı son anket, profesyonellerin yalnızca yüzde 49’unun dijital tehditler konusunda eğitim aldığını ortaya koydu. Bu bilgi eksikliği, siber güvenlik ihlallerinin çoğunun insan hatasından kaynaklandığı göz önüne alındığında oldukça kritik bir durum teşkil ediyor. Bulgular, BT departmanlarının net yönergeler sağlamasının ve kuruluşların her seviyedeki çalışana ulaşacak yapılandırılmış, uygulamalı siber güvenlik eğitimleri sunmasının önemini bir kez daha gözler önüne seriyor.
Günümüzde birçok siber saldırı, insan psikolojisini istismar ederek dijital savunmaları aşmak amacıyla kasıtlı olarak tasarlanıyor. “Sosyal mühendislik” yöntemleri, çalışanların güvenini ve aciliyet algısını kullanarak, onları hassas bilgileri paylaşmaya veya sahte işlemler başlatmaya ikna ediyor. Ankete katılan profesyonellerin neredeyse yarısı (yüzde 34) son bir yıl içinde, organizasyonlarından, meslektaşlarından veya tedarikçilerden geliyormuş gibi görünen dolandırıcılık mesajlarıyla karşılaştığını bildirirken, yüzde 11’i bu tür yanıltıcı iletişimler sonucunda olumsuz etkiler yaşadı. İnsan faktörüyle yakından bağlantılı diğer siber güvenlik sorunları arasında şifrelerin ele geçirilmesi, hassas verilerin sızdırılması, güncellenmemiş IT sistem ve uygulamaları ile kilitlenmemiş veya şifrelenmemiş cihazlar yer alıyor.
İnsan kaynaklı siber saldırılar, uygun eğitim ve farkındalık ile önlenebilir. Katılımcıların yüzde 16’sı, siber güvenlik bilgisi eksikliği nedeniyle IT ile ilgili hatalar yaptığını kabul etti. Aynı zamanda, eğitim, IT dışı çalışanlar arasında siber güvenlik farkındalığını artırmanın en etkili yöntemi olarak öne çıktı: Profesyonellerin yüzde 65,5’i, vaka hikâyeleri (yüzde 18) ve hukuki sorumluluk hatırlatmaları (yüzde 40) gibi diğer seçeneklere kıyasla eğitimi tercih etti. Bu bulgular, siber güvenlik eğitiminin organizasyonel savunmanın temel bir katmanı olduğunu gösteriyor.
Katılımcılara belirli eğitim konularını seçme imkânı verildiğinde, çoğunluk şu başlıkları tercih ettiklerini belirtti: gizli iş verilerinin korunması (yüzde 47,3); internet ve web güvenliği (yüzde 52,8); hesap ve şifre güvenliği (yüzde 52,3); mobil cihaz güvenliği (yüzde 51,5); e-posta güvenliği (yüzde 40,5); sosyal medya ve mesajlaşma uygulamalarının güvenli kullanımı (yüzde 38,5); güvenli uzaktan çalışma (yüzde 39,0) ve chatbot gibi yapay zekâ tabanlı hizmetlerin güvenli kullanımı (yüzde 20,3). Ayrıca, katılımcıların yüzde 12,5–26’sı tüm bu eğitimleri almak istediklerini belirtti; bu durum, kapsamlı siber güvenlik eğitimine olan geniş talebi ortaya koyuyor.
Veriler, çalışanların siber güvenlik becerilerini geliştirmeye açık olduğunu gösteriyor. Ancak bu bilgilerin günlük IT rutinlerinin bir parçası haline gelmesi için eğitimlerin iyi yapılandırılmış, çalışanların rolüne ve mevcut IT becerilerine uygun, düzenli olarak güncellenen, oyunlaştırılmış ve uygulamalı olması gerekiyor. Bu yaklaşım, çalışanların katılımını ve bilgilerin kalıcılığını artırıyor. Kuruluşlar bu tür eğitime yatırım yaptığında, yalnızca bir zorunluluğu yerine getirmekle kalmıyor; aynı zamanda çalışanlar arasında “önce güvenlik” zihniyetini teşvik ediyor. Bu sayede, çalışanlar potansiyel bir zayıf halka olmaktan çıkarak, güvenlik konusunda sezgisel ve bilinçli kararlar alabilen, dikkatli birer gözetmen ağına dönüşüyor.
Kaspersky Türkiye Genel Müdürü İlkem Özar, “Siber güvenlik, yalnızca IT departmanına ait bir alan olamaz. Yönetim kademesinden staja kadar herkesin dijital riskleri anlaması şarttır. Dayanıklı bir organizasyon inşa etmek için her çalışanın dolandırıcılığı fark etme, maliyetli hatalardan kaçınma ve şirket verilerini koruma yetkinliğine sahip olması gerekir” dedi.
