‘Nöropsikolojik temelleri güçlü kurgulara ihtiyaç var’

HRİKa Çözümler Satış Müdürü Pınar Türker.

Günümüzde siber saldırıların şirketlere verdiği zarar herkesin odak noktası haline geldi. 2017’de 500 milyar dolar olan kaybın 2020’de 4 katına çıkması bekleniyor. Bilgi güvenliği yatırımlarının tüm şirketler için hayati önem taşıdığı açıkça görülüyor.

HRİKa Çözümler Satış Müdürü Pınar Türker’in verdiği bilgilere göre Türkiye’de son 5 yılda siber güvenlik için 340 milyon dolar harcama yapıldı. Küresel boyutta ise güvenlik yazılımları, BT güvenlik endüstrisinde giderek artan bir şekilde önemli bir rol oynadı ve 2016 yılında 23,6 milyar ABD doları gelir yarattı. Bilgi güvenliği teknolojisi yatırımlarının 2022 yılında 133,7 milyar dolar olacağı tahmin ediliyor.

Şirket büyüdükçe danışmanlık hizmeti alma oranının da arttığını belirten Pınar Türker, “Küçük şirketlerde danışmanlık pahalı ve lüks bir servis olarak algılanıyor ve alınacak teknik hizmetin bir parçası olarak görülmek isteniyor. Ancak güvenlik tehditleri her gün değişip çeşitleniyor, yaygınlaşıyor. Sosyal mühendislik saldırıları canlı bir organizma gibi yaşayan, değişen, büyüyen bir tehdit. Yakın gelecekte çok daha fazla şirketin danışmanlık hizmeti alması gerekecek” dedi.

Farkındalık çalışmaları ayrı bir başlıkta ele alınmalı

“Sistem altyapılarına yönelik güvenlik yatırımlarının yanında insan hatasını en aza indirmeyi hedefleyen farkındalık çalışmaları için yapılan yatırımları da ayrı bir başlık olarak ele almalıyız” bilgisini veren Pınar Türker, açıklamalarını şöyle sürdürdü:

“Farkındalık yatırımlarında esas olan, çalışanları gerekli bilince ulaştırması, teorik bir bilgi kazanımındansa kişilerde doğru davranış alışkanlıkları geliştirmesi ve uyanık olmalarının sağlanması. Doğru davranışı pekiştiren, riskli hamlelerin neye mal olduğunu gösteren, gerçek yaşam deneyimleriyle ilişkilendiren oyun tabanlı uygulamaların ve simülasyonların eğitim bütçelerinden aldığı pay artıyor. Yapılan çalışmaların detaylı raporlama özellikleri sayesinde eğitimin davranışlara etkisi ile birlikte yatırımın geri dönüşü de hesaplanabiliyor.

Öte yandan, iş verimliğini artırmak, süreçleri hızlandırmak amacıyla kullanılabilecek güvenliğinden emin olunmayan programlar büyük riskleri beraberinde getirebiliyor. Kullanılacak uygulamalara yönelik kurumsal politikalar belirlenmediği takdirde kişilerin şirketi riske atabilecek hamle yapma ihtimalleri oldukça yüksek. Olası ihtiyaçlar için gelişmiş programlar içeren bir yazılım havuzu oluşturulup; kurumsal iletişim, pazarlama iletişimi ve eğitim bölümlerinin konuya hakim olması, güncel bilgiyi takip etmesi ve iç iletişimini yapması ile bilinçlendirme sağlanabilir.”

İnsan faktörü en zayıf halka

İnsan faktörü, çok güçlü bir koruma sisteminde dahi en zayıf halka olarak görülüyor. Türker’in verdiği bilgilere göre, Türkiye’ye baktığımızda 2019’un ilk çeyreğinde 1,24 milyon kimlik avı saldırısı, 39 milyon zararlı yazılım ve 87 bin mobil zararlı yazılım vaka bilgisi çıkıyor karşımıza. Siber suçlular bir şirketin BT altyapısına erişmek istediklerinde sosyal mühendisliği kullanma eğilimindeler. Bir şirketin bilgilerini ele geçirmenin en basit yolu yeterli farkındalığa sahip olmayan bir çalışanın açacağı kapıdan içeri sızmak. Bu tartışmasız gerçek de bilgi güvenliği farkındalığı çalışmalarının önemine dikkat çekiyor.

“Şirketler kendi bilgi güvenliği ve eğitim departmanlarının veya hizmet aldıkları danışmanların yönlendirmeleriyle farkındalık kazandıracak eğitim uygulamalarına açıklar” diyen Pınar Türker, açıklamalarını şöyle sürdürdü:

“Çok çeşitli sektör ve bölgelerde faaliyet gösteren, etkin farkındalık çalışması arayışında olan şirketlerden bize gelen talepler de son dönemde oldukça arttı. Etkili farkındalığın yolu, gerçek hayattaki deneyimlerle örtüşen çalışmalar yapmaktan geçiyor. Bu bakış açısıyla insan faktörü başlığı altında, farklı tehditlere odaklanan bilgi güvenliği eğitim oyunları geliştirdik. Hedefimiz, bilinçli ve dikkatli olmanın şirket bilgilerini korumadaki büyük önemini kavratmak ve hatalardan kaynaklanan güvenlik risklerini oyun içinde yaşatarak, kalıcı öğrenme ile doğru davranış alışkanlıkları oluşturmak.

Risklerin hızla çeşitlendiği bilişim dünyasında sıkı takip halinde ve tetikte olmak gerekiyor. Kurumsal güvenlik stratejisi bütünsel bakış açısı gerektiren dinamik bir yapı üzerine inşa edilmeli. İnsanların ilgi odakları ve öğrenme biçimleri de günden güne değişiyor. Etkin eğitim için beynin algılama biçimleriyle uyumlu, nöropsikolojik temelleri güçlü kurgulara ihtiyaç var.

Çalışmalarımızın hem siber suç dünyasındaki bu hızlı değişimle aynı çizgide olmasına hem de ilgi çekici, deneyimsel ve keşif dolu olmasına dikkat ediyoruz. Yakın bir geçmişe kadar bilgi güvenliği tek bir başlık altında ele alınan bir kavramdı. Ancak gelinen noktada farklı alt başlıklar oluşmuş durumda. Genel farkındalıkla birlikte her ortam ve koşul, farklı güvenli davranış alışkanlıkları gerektiriyor.

Bu doğrultuda, bütünsel çözümlerin yanında alt başlıklara da odaklanan temiz masa politikası, seyahatte bilgi güvenliği, e-posta güvenliği, sosyal medya güvenliği, donanım ve yazılım güvenliği gibi en zayıf halka olarak görülen insan faktörüne yönelik tematik eğitim oyunları tasarlıyoruz. Çağın teknolojik gelişmeleriyle uyumlu ‘oyun değiştiren’ yöntemler oluşturarak hem kendimizi hem de ciddi oyun sektörünü geliştirmeye devam edeceğiz.”