Güçlü Bir Güvenlik Kültürü Geliştirme

tarih:

 



Giriş

Pandora'nın kutusu açıldı ve tüm sektörlerdeki işletmeler artık bilgisayar verileriyle çalışıyor. Geri dönüş yok. Geçmişte ofisler dosya dolaplarıyla doluydu ve her müşteri, satıcı ve tedarikçi için etiketli klasörler mevcuttu. Bu dolaplar genellikle yangına dayanıklıydı, ancak verileri yedeklemek her zaman yapılmazdı. Çünkü bu, her sayfanın tek tek kopyalanmasını gerektirirdi.

Günümüzde işletmeler, verilerini dijital ortama taşıyor. Veriler sadece hassas müşteri bilgileri veya finansal bilgilerle sınırlı değil; güvenlik yamaları, e-postalar ve ofisteki cihazların işleyişi için gerekli olan verileri de kapsıyor. Bu nedenle, işletmelerin tüm verilerini güvende tutması hayati önem taşıyor. Aksi takdirde, bir siber suçlu ticari sırlarınızı, müşteri kredi kartı bilgilerini çalabilir, sistemlerinize dağıtılmış hizmet reddi saldırısı (DDoS) düzenleyebilir veya fidye yazılımı bulaştırabilir.

Şirketiniz, çalınan hassas verilerden dolayı doğrudan sorumlu olabilir. Ayrıca üretim sistemlerinin durması, işletmeye büyük zarar verebilir. Avrupa Birliği'nin Genel Veri Koruma Yönetmeliği (GDPR) gibi veri gizliliği ve güvenlik düzenlemelerine uymamak, ağır para cezalarına yol açabilir. Bu cezalar milyonlarca doları bulabilir.

Güvenliği artırmak için yapılan yatırımlar, uzun vadede işletmelere büyük tasarruf sağlar. Ancak, sadece para harcamak yeterli değildir; bu parayı doğru yerlere harcamak ve güvenlik süreçlerini sürekli iyileştirmek gerekir. Güvenlik bir ürün değil, bir süreçtir.

Bu kitapta, güvenliği artırmak için uygulanabilecek sekiz temel adımdan bahsedilecektir. 1'den 8'e kadar olan bölümler bu adımları ele alırken, 9. bölümde bu adımların nasıl birleştirileceği anlatılacaktır. 


Güçlü Bir Güvenlik Kültürü Oluşturun

Güvenlik, bir denetim ya da bütçeyle değil, kuruluşunuzdaki herkesin, en alt kademeden üst yönetime kadar güvenliği ciddiye almasıyla başlar. Politika önemlidir, ancak yalnızca insanların davranışlarını etkilediği sürece faydalı olur. En iyi bilgi güvenliği politikaları bile uygulanmazsa etkisiz hale gelir.

Bu bölümde, işletmenizin yeni bir girişim ya da köklü bir kuruluş olmasına bakılmaksızın, güçlü bir güvenlik kültürünü nasıl geliştirebileceğiniz ele alınacaktır. Alışkanlıklar, siber güvenlik konusunda sağlam bir temel oluşturur. Güçlü bir güvenlik kültürü, her sektörde ve her büyüklükteki işletme için 21. yüzyılda kritik öneme sahiptir.

Bu bölümde, güçlü bir güvenlik kültürünün nasıl oluşturulacağı anlatılacaktır.



İnsanlar genellikle siber güvenliğin tamamen teknolojik bir alan olduğunu ve siber tehdit aktörlerinin üst düzey bilgisayar uzmanları olması gerektiğini düşünür. Bu kişilerin bilgisayar programlama ve ağlar konusunda ileri düzeyde bilgi sahibi olduğu kabul edilir. Popüler kültürde de bu klişe sıkça yer alır; siber suçlular genellikle izole bir ortamda, teknolojik becerileriyle öne çıkan kişiler olarak gösterilir.

Ancak, siber güvenlik sadece bilgisayar bilimiyle sınırlı değildir. Bu kitabı muhtemelen şirketinizin güvenlik durumunu iyileştirmek isteyen bir iş insanı olarak elinize aldınız. Siber güvenliğin sadece teknik bir mesele olmadığına, iş süreçleri ve kültürel yaklaşımlar da dahil olmak üzere bütünsel bir yaklaşıma ihtiyaç duyulduğuna dikkat çekmek önemlidir. Bu nedenle, siber güvenliği sadece uzmanlara bırakmak yeterli değildir; organizasyon genelinde bilinçli bir güvenlik kültürü oluşturulmalıdır.


Siber güvenlik, sadece bilgisayar teknolojisini anlamakla ilgili değildir; aynı zamanda insan psikolojisi ve sosyolojisiyle de örtüşür. İnsanların bilgisayarlarla nasıl etkileşime geçtiğini anlamak, siber güvenliği doğru bir şekilde kavrayabilmek için önemlidir. Bunun yanı sıra, insan gruplarının bilgisayarlarla nasıl etkileşimde bulunduğu ve bu gruplardaki bireylerin birbirlerinin davranışlarını nasıl etkilediğini de anlamak gerekir. Siber güvenlik, hem teknolojik hem de insani bir çalışma alanıdır.

Şirketinizin güvenlik duruşunu iyileştirmenin ilk adımı, güçlü bir güvenlik kültürü geliştirmektir. Güvenlik kültürü, bilgisayar donanımındaki yazılım kodlarından bağımsız olarak, insanların birbirleriyle etkileşimlerinde yarattıkları ve sürdürdükleri fikirler, tutumlar ve yaklaşımlarla ilgilidir. Şirketiniz en iyi güvenlik politikalarına ve en pahalı ağ güvenlik cihazlarına sahip olabilir; ancak, eğer şirketinizdeki insanlar güvenli bir şekilde davranmıyorsa, güvenlik duruşunuzu iyileştirmek zor olacaktır.

Bir şirketin güvenlik kültürü, bilgisayar donanımının, yazılımının, ağ yapılandırmasının, güvenlik politikalarının ve güvenlik personelinin ötesinde bir şeydir. Güçlü bir güvenlik kültürü, dayanıklı bir işletmenin temelidir ve bunun için uygun bir ortam ve yeterli destek gereklidir.


Güçlü bir güvenlik kültürünün nasıl geliştirileceğini açıklamadan önce, psikoloji ve sosyolojinin siber güvenlik üzerindeki önemini anlamak önemlidir. Bu yüzden, Kevin Mitnick'in hikayesinin kısaltılmış bir versiyonu ile aşağıda devam edilecek;


Kevin Mitnick, Olağanüstü İnsan Hacker

Kevin Mitnick, siber güvenlik dünyasında oldukça tanınan bir isimdir ve adını 1980'ler ve 1990'larda yapılan siber saldırılarla duyurmuştur. Mitnick'in iki büyük siber saldırı gerçekleştirdiği bilinmektedir. İlk büyük saldırısı, 1980'lerde Digital Equipment Corporation (DEC) adlı bilgisayar donanım ve yazılım üreticisinin ağına erişim sağlamak oldu. DEC, 1960'lardan 1990'lara kadar büyük bir bilgisayar donanımı ve yazılım geliştiricisiydi.

Mitnick, 1979'un sonunda DEC'in bilgisayar sistemine izinsiz erişim sağladı. Bu olay, 1980'lerde geniş çapta haber oldu. Mitnick, bu olayı sosyal mühendislik teknikleri kullanarak gerçekleştirdi. Sosyal mühendislik, insanları kandırarak sahip olunması yasak olan bilgilere erişim sağlamayı amaçlayan bir tekniktir. Mitnick'in kullandığı özel sosyal mühendislik türü ise "vishing" olarak bilinir; bu, telefon aracılığıyla bilgi toplama yöntemidir.

Mitnick, genç yaşta sosyal mühendisliği öğrenmiş ve uygulamıştır. 1970'lerin ortalarında, Los Angeles toplu taşıma araçlarında ücretsiz seyahat edebilmek için otobüs transfer fişlerini topladığı ve bir otobüs şoförünü kandırarak bilet zımbası aldığı bilinmektedir. Bu deneyim, sosyal mühendislik becerilerini geliştirmesine yardımcı oldu.

Mitnick, 1988'de suçlu bulunarak bir yıl hapis ve üç yıl denetimli serbestlik cezasına çarptırıldı. 1990'ların başında, Pacific Bell'in sesli mesaj sistemine izinsiz erişim sağladı. Bu olay da sosyal mühendislik tekniklerini içeriyordu.

Son olarak, Mitnick, bilgisayar bilimi alanında ünlü bir isim olan Tsutomu Shimomura'yı hedef aldı. Shimomura, San Diego Süper Bilgisayar Merkezi'nde çalışıyordu ve Mitnick'in faaliyetlerini araştırmasına yardımcı oldu. Mitnick, 1995 yılında FBI tarafından tutuklandı ve 2000 yılına kadar hapiste kaldı.

Serbest kaldıktan sonra, Mitnick, siber güvenlik konusundaki deneyimlerini paylaştı ve Mitnick Security danışmanlık firmasını kurdu. Ayrıca, siber güvenlik üzerine kitaplar yazdı.




Güçlü Güvenlik Kültürünün Önemi

Siber tehditler, Mitnick gibi ünlü dolandırıcılar veya Shimomura gibi yetenekli bilgisayar bilimcileri tarafından gerçekleştirilebilir. Çoğu siber saldırı, bir noktada sosyal mühendislik tekniklerini içerir. Güçlü bir güvenlik kültürü, çalışanlarınızı, müteahhitlerinizi ve yöneticilerinizi bu tür sosyal mühendislik saldırılarına karşı daha dirençli hale getirir.

Bu kültür, çalışanlarınızı bilgisayar teknolojisini kullanırken iyi alışkanlıklar geliştirmeye teşvik eder ve böylece değerli veri varlıklarınız daha iyi korunur. Güçlü bir güvenlik kültürü, yalnızca BT departmanıyla sınırlı kalmamalıdır; kapıcılardan CEO'ya kadar tüm çalışanların bu kültüre dahil olması gerekir, çünkü bilgisayar sistemleri sadece BT sertifikalarına sahip kişiler tarafından kullanılmaz. Yetkili bir kişi bile bilgisayar ağlarınıza risk oluşturabilir.

Şirketinizin hızla gelişen siber tehdit ortamında başarılı olabilmesi için güçlü bir güvenlik kültürü oluşturmak ve sürdürmek, yapabileceğiniz en önemli adımlardan biridir. Bu adımın gerçekleştirilmesi, kitabın diğer yedi adımının uygulanmasını mümkün kılacaktır. Siber güvenli bir işletme oluşturmak için, insanların davranış ve tutumlarıyla başlamalısınız. Hacker teriminin gizemini çözerek başlayabiliriz.


Kötü Adamlar Hackerlar, Değil mi?

Hacker kelimesi genellikle siber suçlularla ilişkilendirilir ve bu yanlış anlam, Hollywood filmlerinde, haberlerde ve diğer medya kaynaklarında pekiştirilir. Ancak, hackerlar sadece kötü adamlar değildir. Gerçek hackerlar, bilgisayar teknolojilerini yenilikçi yollarla kullanan kişilerdir.

Steven Levy'nin Hackers adlı kitabı, bilgisayar korsanlarının tarihini ve onların teknolojiye katkılarını anlatan önemli bir kaynaktır. Kitap, ilk bilgisayar korsanları ve bilgisayar teknolojilerinin gelişimi hakkında bilgi verir. Steve Wozniak, Steve Jobs, Bill Gates ve Mark Zuckerberg gibi teknoloji liderleri, kariyerlerine hacker olarak başlamışlardır. Facebook'un Menlo Park, California'daki genel merkezinin adresi "1 Hacker Way"dir, bu da hacker kültürünün teknoloji dünyasındaki olumlu etkilerini gösterir.

Bilgisayar korsanları, modern internetin TCP/IP omurgasını, Android sistemlerinin Linux çekirdeklerini ve birçok açık kaynak kodunu geliştirmişlerdir. Ancak, hacking aynı zamanda zararlı amaçlar için de kullanılabilir. Halk genellikle hacker kelimesinin olumsuz anlamına odaklanmaktadır.

Birçok bilgisayar programcısı, siber güvenlik uzmanı ve yazılım mühendisi, kelimenin orijinal anlamına uygun olarak kendilerini hacker olarak tanımlar. Bilgisayar teknolojisiyle yenilik yapanlar, bu terimi olumlu bir şekilde kullanabilirler.

Hacking Is Not a Crime adlı organizasyon, hacker kelimesinin olumlu anlamını teşvik etmektedir. Bu organizasyonun savunucusu olan Bryan McAninch, Chloe Messdaghi ve Phillip Wylie, hacker topluluğunun sıkı bir şekilde örüldüğünü ve birbirini tanıma eğiliminde olduklarını vurgular.

Bilgisayar teknolojisini zararlı amaçlarla kullanan kişilere genellikle siber saldırganlar, siber suçlular veya siber tehdit aktörleri denir. Bu ayrım, siber güvenlik ve hacker kültürleri arasındaki farkı anlamak açısından önemlidir ve güçlü bir güvenlik kültürü geliştirmede yardımcı olabilir.



Güvenlik Kültürü Nedir?

Tim Ferriss’in “Kültür, insanlar kendi hallerine bırakıldıklarında olanlardır” sözü, kültürün bir topluluğun temel özelliklerini ve davranışlarını yansıttığını belirtir. Kültür, etnik, ulusal, alt kültürel ve birçok diğer biçiminde toplumsal yapının önemli bir parçasıdır. Kişiler birden fazla kültüre sahip olabilir; örneğin, gotik kültür, hacker kültürü, siber güvenlik kültürü gibi çeşitli topluluklara ait olabiliriz.

İş dünyasında, kurum kültürü, şirket içindeki insanların davranış biçimleri, duyguları ve şirketin yaygın olarak benimsediği tutumları ifade eder. Bu kültür, çalışan moralini etkileyebilir ve dolayısıyla şirketin kârlılığını doğrudan etkiler.

Güçlü bir güvenlik kültürü, şirket içindeki bireyleri siber saldırılara karşı daha dirençli hale getirir ve değerli verilerin korunmasını sağlar. Cisco Systems'ın Duo Güvenlik danışmanlığı cISO'su J. Wolfgang Goerlich’e göre, güvenlik kültürü, güvenlik savunucuları ve şampiyonları arasındaki ortaklıktan gelir. Güvenlik savunucuları, uygulamaları işgücüne entegre etmeye odaklanan güvenlik ekibinin üyeleridir. Güvenlik şampiyonları ise, en iyi uygulamalar konusunda güvenlik ekibiyle işbirliği yapan işletme üyeleridir. İyi yönetilen bir güvenlik uygulamasında, bu işbirliği sayesinde güvenlik kontrolleri etkin bir şekilde uygulanır ve benimsenir.

Güvenlik kontrolleri göz ardı edilirse etkisiz hale gelir. İyi güvenlik, kullanılabilir ve benimsenmiş güvenlik demektir. Bu nedenle, güvenlik kültürünün oluşturulması, savunmaya yönelik empati ve nezaket ile başlar.

Daniel Chromek, eSet için cISO’dur ve güvenlik alışkanlıklarının tüm çalışanlar tarafından benimsenmesi gerektiğini vurgular. Güvenlik şirketlerinde, güvenlik yönetiminin önemi daha iyi anlaşılır çünkü marka bilincinin ve güvenlik yönetiminin önemini şirketin her bireyi kavrar.

Güvenlik kültürü, farkındalık eğitiminin bir parçası olarak merkezileştirilmez. Bir kişi kimlik avı hedefi olduğunda, aynı odadaki bir meslektaşıyla konuşabilir ve BT biletleme sistemi yerine onlardan yardım isteyebilir. Güvenlik bilincine sahip kişiler, şüpheli durumları hızlıca tespit edebilir, bu nedenle güvenlik ekibinin iletişiminin basit ve anlaşılır olması gerekir.

Güvenlik kültürü, güvenlik kontrollerinin yerini tutmaz, ancak bu kontrollerin etkinliğini artırır. Güçlü bir güvenlik kültürü oluşturmak ve sürdürmek, sürekli ve günlük bir süreçtir. Bruce Schneier’in söylediği gibi, "Güvenlik bir süreçtir, bir ürün değil." Bu, güvenlik kültürünün sürekli olarak inşa edilmesi ve korunması gereken bir süreç olduğunu ifade eder.


Güçlü Bir Güvenlik Kültürü Nasıl Teşvik Edilir?

Güçlü bir güvenlik kültürü, yalnızca BT departmanında değil, tüm organizasyonda uygulanmalıdır. Bu kültür, şirketinizdeki her bireyin siber güvenliğe katkıda bulunmasını ve bu konuda sorumluluk hissetmesini gerektirir.

  1. Her Kademede Katılım Sağlayın: Güvenlik kültürü, şirketin her seviyesindeki çalışanları kapsamalıdır. Çalışanlar, yükleniciler ve yöneticiler dâhil herkesin siber güvenlik konusundaki farkındalığı artırılmalıdır.

  2. Eğitim ve Bilinçlendirme: Güvenlik eğitimi bir kez yapılacak bir şey değildir; düzenli olarak güncellenmeli ve tekrarlanmalıdır. Çalışanlara kimlik avı, sosyal mühendislik ve diğer siber tehditlerle ilgili bilgi verilmelidir. Eğitimlerde, siber saldırganların genellikle güvendikleri kişiler gibi davranabileceği vurgulanmalıdır.

  3. İyi Güvenlik Davranışlarını Ödüllendirin: Güvenlik bilincini teşvik etmek için çalışanları iyi güvenlik alışkanlıkları için ödüllendirin. Kötü davranışlar için cezalandırmaktan ziyade, olumlu davranışları teşvik ederek motivasyonu artırın.

  4. Eğitimleri Eğlenceli ve İlgi Çekici Hale Getirin: Güvenlik eğitimi ve hatırlatıcıları sıkıcı olmaktan çıkararak daha çekici hale getirin. Örneğin, güvenlik konularını eğlenceli bir şekilde sunmak için yarışmalar veya ilginç materyaller kullanabilirsiniz.

  5. Pratik Uygulamalar Sağlayın: Çalışanlara, güvenlik konularını uygulamaları ve günlük işlerinde nasıl kullanacaklarına dair pratik bilgiler verin. Sosyal mühendislik girişimlerine karşı nasıl korunacaklarını öğrenmelerine yardımcı olun.

  6. Motive Edici Ödüller Kullanın: Güvenlik bilincini artırmak için finansal ödüller gibi motive edici araçlar kullanın. Basit bir nakit ödül, çalışanların güvenlik eğitimlerini daha ciddiye almasını sağlayabilir.

  7. Sürekli İyileştirme: Güvenlik kültürü, sürekli bir süreçtir ve zaman içinde geliştirilmelidir. Eğitimleri ve politikaları düzenli olarak gözden geçirin ve güncelleyin.

Helen Patton ve Chris Romeo gibi uzmanlar, bu yaklaşımların etkili olduğunu vurguluyor. Patton, güvenlik bilincinin sadece şirket verileriyle sınırlı olmaması gerektiğini ve iyi güvenlik davranışlarının ödüllendirilmesi gerektiğini belirtir. Romeo ise finansal ödüllerin etkili bir motivasyon aracı olduğunu ifade eder.

Sonuç olarak, güçlü bir güvenlik kültürü oluşturmak ve sürdürmek, sadece teknik önlemler değil, aynı zamanda organizasyonel kültürün bir parçası olmalıdır. Çalışanlarınızı sürekli olarak eğitmek, motive etmek ve güvenlik konularında bilinçli olmalarını sağlamak, uzun vadede güçlü bir güvenlik kültürünün temel taşlarını oluşturur.


Güvenlik Kültüründe Güvenlik Liderlerinin Rolü

Güvenlik liderleri, güçlü bir güvenlik kültürü oluşturulmasında kritik bir rol oynar. Farklı güvenlik liderlerinin önerileri, genel olarak ilişkilerin geliştirilmesi ve güvenlik kültürünün güçlendirilmesine odaklanır. İşte bu liderlerin bazı düşünceleri:

  1. Görünürlük ve Yardımseverlik: Carnegie Mellon Üniversitesi'nden Andrew Gish-Johnson, güvenlik liderlerinin görünür olmalarının ve yardım etmeye istekli olmalarının önemini vurgular. Güvenlik liderleri, kuruluşun diğer üyeleri tarafından tanınmalı ve rolü hakkında bilgi sahibi olmalıdır. Böylece, çalışanlar güvenlik konularında yardıma ihtiyaç duyduklarında başvurabilecekleri kişileri bilirler.

  2. Farkındalık ve Eğitim: Victoria Üniversitesi'nin CISO'su Nav Bassi, güvenlik kültürünü güçlendirmek için farkındalık ve eğitim üzerinde durur. Eğitimlerin sürekli ve etkili bir şekilde yapılması, çalışanların güvenlik konularında bilgi sahibi olmalarını ve güvenlik kültürüne katkıda bulunmalarını sağlar.

  3. Eğitim Materyallerinin Oyunlaştırılması: Güvenlik lideri Larry, oyunlaştırmanın (video oyunu gibi eğitim materyallerinin) faydalı olabileceğini belirtir. Eğlenceli ve etkileşimli eğitim materyalleri, çalışanların güvenlik konularını daha iyi anlamalarına ve bu bilgileri günlük işlerine entegre etmelerine yardımcı olabilir.

Güvenlik liderlerinin bu önerileri, güvenlik kültürünü güçlendirmek için ilişkileri ve eğitim yöntemlerini nasıl geliştirebileceğinize dair değerli ipuçları sunar. Görünürlük, sürekli eğitim ve eğlenceli eğitim yöntemleri kullanmak, güvenlik kültürünün organizasyon genelinde yaygınlaşmasına katkıda bulunur.


Bir CISO'yu İyi Yapan Nedir?

Baş Bilgi Güvenliği Görevlisi (CISO), bir kuruluşun siber güvenlik stratejilerini geliştiren ve uygulayan kilit bir yöneticidir. CISO'nun etkili olabilmesi için gerekli bazı temel özellikler şunlardır:

  1. İnsan Becerileri: CISO'lar, teknik olmayan iş liderleri ile BT departmanı arasındaki köprüyü kurar. Diğer yöneticilere güvenlik bütçesinin gerekliliğini ve yatırımın getirisini açıklama yeteneği, insan becerilerinin önemini gösterir. Siber güvenliğe yapılan yatırımların şirkete nasıl tasarruf sağlayacağını net bir şekilde anlatabilmelidirler.

  2. Krizi Yönetme Yeteneği: Güvenlik mimarı Andreas Bogk, CISO'nun kriz anlarında sakin kalabilme yeteneğine sahip olması gerektiğini vurgular. Bu, büyük bir siber saldırı veya güvenlik ihlali durumunda soğukkanlılıkla hareket edebilmek için kritik bir özelliktir.

  3. Merak ve Esneklik: Nav Bassi, bir CISO'nun meraklı ve esnek olması gerektiğini belirtir. Siber güvenlik sürekli değişen bir alandır, bu nedenle yeni tehditler ve teknolojiler hakkında bilgi sahibi olmak ve stratejilerini buna göre uyarlamak önemlidir.

  4. Takım Yönetimi ve Güçlendirme: Virginia Tech'in CISO'su Randy Marchany, güçlü bir ekibin önemini vurgular. Bir CISO, ekibinin büyümesini desteklemeli, onları savunmalı ve gelişmelerine yardımcı olmalıdır. Takım üyelerinin yeteneklerini geliştirmek ve onları motive etmek, etkili bir güvenlik kültürü oluşturmanın anahtarlarındandır.

Bu özellikler, CISO'nun sadece teknik bilgi değil, aynı zamanda liderlik, kriz yönetimi ve insan yönetimi becerilerine de sahip olması gerektiğini gösterir. Güvenlik stratejilerinin etkin bir şekilde uygulanması ve sürdürülmesi, bu yeteneklerle doğrudan ilişkilidir.



İşletmelerin Siber Güvenlik Konusunda Yaptığı En Büyük Hatalar

Siber güvenlik liderleri, kurumların siber güvenlik konusunda sıkça yaptığı hataları belirlemiştir. Bu hatalar genellikle strateji eksiklikleri, kaynak yetersizlikleri ve yanlış varsayımlar üzerine odaklanır. Indiana Üniversitesi Health'in CISO'su Mitch Parker'ın belirttiği başlıca hatalar şunlardır:

  1. BT'nin Tüm Sorunları Çözebileceğini Varsaymak: BT maliyetlerinin batık maliyetler olarak görülmesi ve BT'nin tüm sorunları minimum çaba ile çözebileceği yanlış inancı.

  2. Risk Değerlendirmesi Yapmamak: Risk değerlendirmelerini yapmamak veya mevcut riskleri görmezden gelmek, güvenlik stratejisinin eksik kalmasına neden olur.

  3. Risk Yönetim Planı Geliştirmemek: Riskleri ele alacak kapsamlı bir risk yönetim planının olmaması.

  4. İç Süreçlerin Geliştirilmemesi: Riskleri değerlendirmek ve yönetmek için etkili iç süreçlerin geliştirilmemesi.

  5. Yetersiz Kaynak Sağlama: Siber güvenlik girişimlerine finansman, ekip üyeleri veya her ikisi açısından yetersiz kaynak ayrılması.

  6. Siber Sigortanın Yeterli Olduğunu Varsaymak: Siber sigortanın tüm riskleri karşılayacağını düşünmek; büyük siber sigorta şirketlerinin, yüksek riskli müşteri politikalarını reddetme eğiliminde olduğunu göz ardı etmek.

  7. Güvenlik Kontrollerini Atlamak: Yüksek bir ihlal olasılığına rağmen güvenlik kontrollerinin ve risklerin göz ardı edilmesi.

  8. Güvenlik Olaylarını İhmal Etmek: Güvenlik olaylarının herhangi bir şekilde meydana gelmeyeceğini varsaymak.

  9. Güvenlik ve BT Maliyetlerini Projelerden Çıkarmak: Yatırım getirisi hesaplamalarında güvenlik ve BT maliyetlerinin göz ardı edilmesi.

  10. Yönetimin Destek Eksikliği: Liderliğin, güvenlik ve bilgi risk yönetimini gerekli bir iş fonksiyonu olarak desteklememesi.

  11. Aşırı Güven: Şişirilmiş beklentilere ve az analiz yapılmış güvenlik ihtiyaçlarını karşılamak için araçlara veya hizmetlere aşırı güvenme.

Bu hatalardan kaçınmak, işletmenizin siber güvenlik programını güçlendirmek için kritik öneme sahiptir. Başkalarının yaptığı hatalardan öğrenmek, sizin kendi hatalarınızı yapmaktan daha verimli bir yol olabilir.



Bir Siber Güvenlik Uzmanının Psikolojik Aşamaları

Siber güvenlik uzmanlarının psikolojik süreçleri, güvenlik kültürünü geliştirmek ve güvenlik açıklarını minimize etmek için önemlidir. Uzmanların bu süreçleri anlaması, etkili bir güvenlik stratejisi oluşturma konusunda kritik bir adımdır. İşte bu sürecin genel aşamaları:

  1. Başlangıç Aşaması: Siber güvenlik uzmanları genellikle ilk başta tüm bilgisayar yazılımı ve donanımının yüzde 100 güvenli hale getirilebileceğini düşünürler. Bu aşamada, uzmanlar güvenlik açıklarını tamamen ortadan kaldırma umuduyla hareket ederler. Ancak, bu idealizmin gerçekçi olmadığını zamanla öğrenirler.

  2. Karmaşıklık Farkındalığı: Eğitim sürecinin ilerlemesiyle, uzmanlar bilgisayar sistemlerinin karmaşıklığını ve bu karmaşıklığın güvenlik açıklarını nasıl artırdığını fark ederler. Örneğin, eski video oyunları gibi basit programlardan günümüzün karmaşık oyunlarına geçiş, sistemlerdeki hata ayıklamanın ne kadar zor olduğunu gösterir. Bu karmaşıklık, modern bilgisayar ağları ve yazılımları için de geçerlidir.

  3. Güvenlik ve Kullanılabilirlik Dengesi: Güvenlik ve kullanılabilirlik arasında bir denge kurma gerekliliği ortaya çıkar. Tamamen güvenli sistemler, genellikle kullanım açısından pratik olmayan çözümler sunar. Bu nedenle, güvenlik uzmanları, sistemlerin kullanılabilirliğini de göz önünde bulundurarak uygun güvenlik önlemlerini seçmelidirler.

  4. Aşırı Güven: Uzmanlar, hiçbir şeyin tamamen güvenli olmadığını anladıklarında, bazen aşırı güven aşamasına geçebilirler. Bu aşamada, bazı uzmanlar kullanıcıların güvenlik alışkanlıklarını eleştirir ve kendi güvenlik becerilerini abartabilirler. Bu tutum, güvenlik kültürünü zedeleyebilir ve gerçek güvenlik tehditlerini göz ardı edebilir.

  5. Empati ve Alçakgönüllülük: Son olarak, etkili bir siber güvenlik uzmanı, hem kullanıcıların hem de kendisinin insan doğasının sınırlamalarını kabul etmeli ve empati göstermelidir. Kullanıcıları "aptal" olarak görmek yerine, onları daha iyi güvenlik alışkanlıkları geliştirmeye teşvik etmek ve sistemlerin daha iyi tasarlanmasını sağlamak daha etkili bir yaklaşımdır. Kendi güvenlik alışkanlıklarını gözden geçirmek ve alçakgönüllülükle yaklaşmak da önemlidir.

Bu aşamaları anlamak, siber güvenlik uzmanlarının hem kendi güvenlik anlayışlarını hem de organizasyonların güvenlik kültürlerini güçlendirmelerine yardımcı olabilir.