Günümüz dünyasında çalıştığımız ya da hizmet verdiğimiz şirketlerde başımıza sıkça gelen durumlardan birisi, güvenli olmadığı gerekçesiyle taleplerimizin reddedilmesi sonrasında da işlerimizin tamamlama sürelerinin uzamasıdır. Bu yaşanan durum motivasyonumuzu zaman zaman düşürmekte iş performansımızı olumsuz etkilemektedir. Peki talebimiz neden reddedildi ? Yetki vermek bu kadar mı zor ? Beni şirket için bir tehdit olarak mı görüyorlar ?
Aslında aklınıza gelen bu düşüncelerin çok normal olmasının yanında yaşamış olduğunuz engellemelerin çoğu zaman mantıklı şekilde açıklanabilecek sebepleri söz konusu. Bu yüzden “Güvenlik mi İşlevsellik mi ?” başlığı altındaki yazımızda farklı perspektiflerden bu konuya ışık tutmaya çalışacağız.
Son yıllarda son kullanıcı hataları, eksik uygulanan güvenlik politikaları, kasti olarak çalışanlar tarafından gerçekleştirilen bilgi güvenliği vakası haberlerini sıkça görür olduk. Bu yaşanan güvenlik olayları sonrasında, belki de kişisel verisi art niyetli kişilerin eline geçen yüzbinlerce kullanıcıdan birisi de bizdik. Peki bu gerçekleşen güvenlik olayları sonrasında konunun merkezindeki şirketler neler yaşıyor ? Yaşanan bilgi güvenliği olayı sonrasında şirketlerin bağlı olduğu otoriteler tarafından yüklü miktarda cezalar uygulanmakta, haberlerde ismi geçen şirketler prestij ve müşteri kaybı yaşamakta, şirket yöneticileri istifa etmekte ya da görevlerinden uzaklaştırılmaktadırlar.
Son yıllarda yaşanan bazı güvenlik zafiyetleri ve sonrasında yaşanan krizlerden kısaca bahsedecek olursak: 2016 yılından Türkiye’de faaliyet gösteren bir bankaya gerçekleştirilen saldırı sonrasında 100 milyon doların üzerinde para kaybı yaşanmıştır. Sonrasında ekipler ve politikalarda ciddi değişikliklere gidilmiştir. ”Güvenlik mi İşlevsellik mi ?” sorusu bu yaşanan olay sonrasında eminiz ki, -önce sert şekilde güvenlik sonrasında işlevsellik- olarak yanıtlanmaktadır.
2019 Yılında WhatsApp üzerinde keşfedilen bir zafiyet sonrasında telefon kamera ve mikrofonuna ulaşarak gizliliği ihlal eden bir duruma sebep verdiği ortaya çıktı. Bu zafiyetin İsrail gizli servisi olan MOSSAD tarafından kullanılarak birçok kişinin dinlendiği iddia edilmektedir. Bu zafiyet sonrasında kullanıcılar tarafından WhatsApp’a alternatif uygulamalara yönelim başlamıştır. Uygulama prestij olarak ciddi anlamında olumsuz etkilenmiştir.
2020 yılının başlarında Microsoft’un başına gelen data sızıntısı sonrasında da 280 milyon müşteri bilgisi ve bu müşterilerin Microsoft’a bildirdikleri sorunlar internete sızdırıldı. Microsoft müşterisi olan kurumumuz verileri de muhtemelen sızdırılan veriler arasında bulunmaktadır. Microsoft prestij kaybı yaşamıştır.
Binlerce olaydan 3 tanesi bu şekilde ve belki de güvenliğe gereken özen gösterilseydi politikalar daha sıkı uygulansaydı bu haberleri duymayacaktık. Tabii ki çok sıkı güvenlik politikaları uygulanmasına ve önlemler alınmasına rağmen ilgili olayların yaşanması olasıdır. Ancak risk mümkün olduğunca minimize edilmelidir. Riskin minimize edilmesi de zaman zaman işlevselliği ciddi anlamda etkilemektedir.
İşlevselliği çok fazla etkileyen güvenlik önlemlerinin olması aslında verimliliği olumsuz etkilemektedir. Bir işin tamamlanması için harcanması gereken efor artmakta ve adam/gün olarak değerlendirildiği zaman kurumlar uzun vadede zarar etmektedir. Yani güvenlik politikaları ve süreçler ile işin akışının büyük oranda etkilenmesi de doğru bir bakış açısı değildir. Bazı kurumlar bu durumu aşabilmek adına güvenlik politikalarını mümkün olduğunca esnek şekilde uygulamaktadır. Bazı kurumlar ise hiç risk almayarak sıkı politikalar uygulamaktadır. Amaç İşlevsellik ve Güvenlik arasında bir seçim yapmak olmamalı ve iki durum arasında denge sağlanmalıdır. Bu denge sağlanırken mevcut duruma göre değerlendirme yapılmaldır. Savunma sanayide faaliyet gösteren bir kurum için İşlevsellik en alt seviyede ve güvenlik politikaları çok sıkı şekilde uygulanabilirken, tekstil sektöründe faaliyet gösteren bir firma için işlevsellik en üst seviyede güvenlik politikaları ise alt seviyede tutulabilir.
Sonuç olarak durumu başka bir pencereden örneklendirmek gerekirse günümüzde Covid-19 virüsü sebebiyle çok ciddi önlemler alınmaktadır. Kurumlar uzaktan çalışmaya ya da çalışanlarını en az performans ile çalıştırmaya başlamıştır. Bu konuda işlevsellik en alt seviyede güvenlik ise en üst seviyede tutulmuştur. Çünkü insan canı söz konusudur. Böylesine kritik bir konuda işimizi şansa bırakmamak adına sıkı güvenlik önlemleri alınmaktadır. Ancak sıradan bir grip virüsü için böyle bir önlem alınmamıştır ve çalışanlar işlerine devam etmişlerdir. İkinici örneğimizde riskin etkilerinin az olması sebebiyle işlevsellik ön plandadır.
Özetlemek gerekirse güvenlik ve işlevsellik arasında bir tercih yapmak yerine ikisinin de dengeli olarak uygulandığı en efektif yol seçilmelidir. Hem kurumun verimliliğinin etkilenmemesi hem de yaşanabilecek olası bir güvenlik olaylarının önüne geçmek adına doğru dengenin sağlanması önemlidir. Bunun sağlanması için de en büyük görev yeterli bilgi güvenliği farkındalığına sahip çalışanlara düşmektedir. Çalışanlar makul sebepler sunarak uygulanan politikalarda esneklik talep edebilir, işlevselliğin etkilendiğini belirtebilir ve bunu yaparken bilgi güvenliği çerçevesinde riskleri göz önünde bulundurmalıdır. Bu kurum için fayda üretmektedir. Aynı şekilde çok esnek bırakılmış bir süreç için politika sıkılaştırılması yapılabilir ve işlevsellik olumsuz etkilenebilir.
Hiç yorum yok:
Yorum Gönder