Siber suç’lara karşı yürütülen savaşta, insan kaynakları profesyonellerinin ön cephede “zemindeki botlar” olarak şirketlerinin siber saldırılarına katılmaları isteniyor. Nedeni: Siber suçluların gün içinde hedeflediği değerli kişisel ve kurumsal verilere, sistemlere ve süreçlere İK’nın ev sahipliği yapması…
IT ve diğer teknoloji uzmanları, günümüzün siber risk yüklü dünyasında, kurumsal ağları koruma düşüncesiyle günlük olarak çalışırken, sınırlı teknik uzmanlıklarına rağmen İK profesyonelleri, hassas verileri korumak için çalışmalı ve yetkin siber suçlu saldırılarının potansiyelini azaltacak şekilde çalışmalıdır.
Bulut tabanlı İK sistemleri, minimal donanım maliyetleri, uygun fiyatlı abonelik oranları ve ölçeklenebilirlik nedeniyle, büyük şirketlerin yanı sıra küçük ila orta pazar işletmeleri tarafından yaygın olarak kullanılıyor. Fayda yönetimi, zaman ve katılım gibi temel arka ofis İK fonksiyonlarının birçoğu, kağıt tabanlı elektronik tablolardan şirket içi yazılımlara geçtikten sonra buluta hızlı bir şekilde geçti.
Vormetric tarafından gerçekleştirilen 1100 üst düzey IT güvenlik yöneticisinin dünya çapında yaptığı son bir ankette, yüzde 85’i hassas verileri bulutta tuttuğunu ve yüzde 70’inin bu ortamdaki verilerin güvenliği konusunda çok endişeli olduklarını itiraf etti.
Bu ankette, katılımcıların yüzde 70’inin bulut hizmet sağlayıcısında güvenlik ihlalleri ve saldırılardan endişe duyduğu, yüzde 66’sının ise paylaşılan bulut altyapısı güvenlik açıkları hakkında daha fazla endişe duyduğunu belirtiliyor.
Bu korkular asılsız değil
Kontrolsüz bırakılan bulut sistemleri, siber suçluların çalışan bilgileri, sosyal güvenlik numaraları, kredi kartı numaraları, banka hesap bilgileri, tıbbi kayıtlar, maaşlar ve diğer finansal veriler gibi kişisel olarak tanımlanabilir bilgilere erişmeleri için potansiyel bir geçit halinde.
Şirket yöneticileri olarak e-posta yoluyla (“spoofing” olarak da biliniyor) dolandırıcılarla birlikte sosyal mühendislik planları yapılmakta, aldatıcı bir bağlantıya tıklamaları için İK personelini teşvik ederek sahte iddialar altında bir banka transferini başlatmaları sağlanmaktadır. Bunun ciddiyeti, bu yılın başlarında şirket yöneticileri ve İK profesyonelleri tarafından suçluların şirket maaşı ve İK departmanları programlarına odaklanılıyor.
CEO’nuz sizi şirket çalışanlarının bir listesi için e-postayla gönderiyor gibi görünüyorsa, yanıt vermeden önce kontrol edin. Herkes çalışanlarla ilgili kişisel bilgi talep eden kişilerin kimliğini doğrulamak konusunda titiz davranma sorumluluğunu taşıyor
Piyasaların Müdahalelere Yanıtı
İK sistemlerinin artan savunmasızlığına rağmen, birçok İK profesyonelleri hala iş gücü yönetiminin geleneksel rolünde, siber risk yönetimini başta IT olmak üzere diğer departmanlara bırakmayı tercih ediyor.
Bu yıl yayımlanan bir IBM güvenlik çalışmasına göre, küresel düzeyde insan kaynakları müdürlerinin yüzde 57’si siber güvenliği ele alan çalışan eğitimini uygulamaya koydu. Bununla birlikte, ankete katılanların olumlu yüzdeleri, ölçülebilir, sonuçlara dayalı çıktılar içeren siber güvenlik eğitiminin sağlanıp sağlanmadığı veya yıl boyunca yılda bir defadan fazla eğitim veren bir güçlendirme sistemi olup olmadığı sorulduğunda belirgin şekilde azalmıştır.
Bazı İK departmanları, İK bulut hizmeti sağlayıcısının çalışan verilerinin ihlalinden veya maruz kalmasından otomatik olarak sorumlu olduğuna dair yanlış varsayım altında çalışıyor. Aslında, bir İK bulutu ya da bir IT servis sağlayıcısının güvenlik protokollerinde ya da güvenlik önlemlerinde bir bozulma olmamalı, siber suçluların çalışan verilerini çalmalarına ya da kişisel bilgileri ihlal etmelerine, veri sahibi şirkete erişmelerine izin verilmeli ve veriden sorumlu İK personelinin eklenmesi sağlanmalıdır. – Bildirimler, kredi izleme ve diğer konular için yükümlülüklere (ve masraflara) neden olacaktır.
Başka bir deyişle, bir şirketin bulut servis sağlayıcısına veri aktarması, yükümlülüğünü azaltmaz veya ortadan kaldırmaz. Siber suç’lara karşı Tüm İK ve IT hizmet sözleşmelerinde ele alınması için birlikte çalışması gereken yeni ortaya çıkan bir sözleşme meselesi bulunuyor.
Bildirilmesi gereken maliyetler, kredi izleme ve üçüncü taraf adli tıp uzmanlarının işe alınması, başarılı bir siber saldırı durumunda potansiyel olarak milyonlarca dolarlık maliyet yaratabilir. Buna ek olarak, ortaya çıkan iş kesintisi giderleri, küçük ve orta ölçekli işletmelerin kapanmasına neden olabilir.
İnsan kaynaklarındaki artan finansal maruziyet ve geleneksel görevler göz önüne alındığında (örn. Yeni çalışanların taranması, katılım, eğitim ve hassas İK verilerinin yönetimi), İK, kurum genelinde kapsamlı siber risk yönetimi uygulamalarını içermelidir. Bu çok önemli; IBM tarafından yapılan çalışma, işteki veri ihlallerinin yüzde 20’sinden fazlasının dikkatsiz çalışan hatalarından kaynaklandığını gösteriyor.
Siber Suç’lara Karşı İK Rolleri Gelişmeye İhtiyaç Duyuyor
IBM raporu, insan kaynakları, finans ve pazarlama departmanlarındaki kilit yöneticilerin güvenlik kararlarında daha proaktif olmalarını, planların dahili olarak koordine edilmelerini ve siber güvenlik stratejisi ile C-paketi ve IT ile daha fazla etkileşimde bulunmalarını istedi.
Bu, İK personelinin hassas çalışan verilerine erişirken sadece uygun güvenlik süreçlerini takip etmemesi gerektiği anlamına geliyor, fakat siber tehditler hakkındaki güncellemeleri, şirkete, mevcut ve yeni çalışanlara ve yüklenicilere etkin bir şekilde iletebilmelidir.
Örneğin, yeni bir çalışanın katılımı sürecinde, İK personeli e-posta paylaşımı, ağ erişimi, sosyal medya politikaları, e-postayla gönderilen talimatın doğruluğu konusunda bir şüphe olsa bile ne yapılacağı ile ilgili kurumsal politikaları belirleyerek siber risk eğitimine başlayabilir. Sürekli olarak, İK departmanları, özellikle bilginin siber saldırıları önleme ve ortaya çıkan tehditlere karşı eğitim ile ilgili olduğunda, çalışanlara siber risk odaklı iç iletişimi kolaylaştırabilir.
Bir diğer önemli İK sorumluluğu, eski çalışanların ve yüklenicilerin kurumsal ağlara erişiminin devam etmesini önlemek için uygun adımların atılmasını sağlamaktır. Bu, İK ve IT’nin bir güvenlik sömürüsüne izin verebilecek gecikmeyi en aza indirgemek için gerçek zamanlı olarak hizalanmasını gerekiyor.
Heimdal Security’nin yaptığı bir ankette, çalışanların yaklaşık yüzde 60’ının İK verileri de dahil olmak üzere önemli kurumsal verileri, pozisyonları terk ettikten sonra çaldığı tespit edildi.
Siber suç’lara karşı savaşın ön saflarında gittikçe artan önemi göz önüne alındığında, İK profesyonellerinin kendi rollerinde gelişmesi ve kuruluşlarında değerli güvenlik ortakları haline gelmesi zorunludur.
İK sistemleri yeni teknolojiler içerdiğinden, üst düzey kurumsal yönetim ile birlikte İK ve IT, siber tehditlerle mücadele etmek için stratejik olarak birlikte çalışmalıdır. Artık hep birlikte buradayız.
