Kötü Niyetli İçeriden Öğrenenlerin Etkilerinin Teknolojik Olmayan Yollarla Azaltılması
Bu bilgisayar odaklı bir dünya. Teknoloji her geçen gün gelişiyor. Bugün her kuruluş çalışmak için bir çeşit bilgisayar kullanıyor. Bilgisayarlar ve internet insanın en iyi dostlarıdır. Ancak, etik olmayan bir şekilde kullanılırlarsa, çok kötü düşmanlara dönüşmeleri zaman almayacaktır. Herhangi bir kuruluş veri güvenliği tehdidiyle karşı karşıya kalabilir. Bu tehdit içeriden ya da dışarıdan gelebilir. Bu faktörlerle başa çıkmak için farklı yollar gereklidir. İçeriden gelen tehditler dışarıdan gelen tehditlerden daha tehlikelidir. Okudukça bunun neden böyle olduğunu anlayacaksınız.
İçeriden gelen tehdit nedir?
Adından da anlaşılacağı gibi, içeriden gelen tehdit kurum içinden kaynaklanır. Kurumda çalışan herhangi bir kişi herhangi bir zamanda bir tehdit haline gelebilir. Bu durum koşullara bağlıdır. İçeridekilerin çalıştıkları kurumlara sadık oldukları varsayılır. Vakaların çoğunda bu doğrudur. Ancak istisnalar da vardır. Bu tür insanlar kötü niyetli olabilirler. Bu, bu içeridekilerin kuruluşa karşı bir tür kötü niyet geliştirdikleri ve kuruluşun çöküşünü planlamak için çalıştıkları anlamına gelir. Bu dikkat edilmesi gereken çok tehlikeli bir durumdur.
Ayrıca kötü niyetli olmayanların da olma ihtimali vardır. Kötü niyetli olmayan nedenlerden kaynaklanan hatalar da kuruma zarar verir. Bu tür hatalar baskı ve stres nedeniyle meydana gelebilir. Genellikle bu tür hatalar cuma veya pazartesi günleri meydana gelir. İnsan mükemmel bir hayvan değildir. Hata yapabilir, ancak hataların arkasında kötü niyet yoksa, her zaman affedilebilir. İçerideki kötü niyetli kişiler dikkatli olunması gereken kişilerdir. Kuruma birçok yönden zarar verme potansiyeline sahiptirler.
İçerideki bu kötü niyetli kişiler kimlerdir? Onlarla nasıl mücadele edersiniz?
Tarihsel olarak, kötü niyetli içeridekiler genellikle bir noktada en iyi çalışanlar arasındadır. Sistemler hakkında yeterli bilgiye sahip olan ve sorunlu konularla nasıl başa çıkacaklarını bilen kişilerdir. Aslında, çoğu zaman sorun giderici olarak hareket ederler. İç sistemlere yetkili erişimleri vardır ve zarar verme kabiliyetine sahiptirler. Bir insanın zihninin içinde ne olduğunu bulmak çok zordur. Bu dünyadaki hiçbir bilgisayar bu sırrı tespit edemez. Genellikle bir kuruluş bir kişiye belirli bir sorumluluk vermeden önce onun kimlik bilgilerini kontrol eder. Ancak, en güçlü dürüstlük katsayısına sahip kişinin bile zayıf düştüğü zamanlar olur.
Bu, kuruluşun çıkarlarına aykırı olabilecek belirli faaliyetlerin taahhüt edilmesiyle sonuçlanabilir. Kuruluşların herhangi bir sürecin her aşamasında kontrol ve denge prosedürünü tercih etmelerinin nedeni budur. Bu tür kontroller ve dengeler kötü niyetli kişileri filtreleyebilir. Bu faaliyet ve bulguları üzerine araştırma: İçeriden kötü niyetli kişilerin faaliyetleri iyi araştırılmış bir konudur. Bulgular herkesin görebileceği şekildedir. Birçok kuruluş bu konuda kapsamlı araştırmalar yapmıştır. Carnegie Mellon Enstitüsü bu alanda öncü araştırmalar yapan kuruluşlardan biridir. Bu bulguların temelini tarihsel veriler oluşturmaktadır.
Bununla birlikte, araştırma eğilimleri net bir şekilde ortaya koymuştur ve bulgular aşağıda yer almaktadır. Aşağıdaki gibi devam eden eski bir atasözü vardır. Bir hırsız ancak yakalandığında hırsızdır. Birçok vaka tespit edilememektedir. Tespit edilen vakalar bu bulguların temelini oluşturmaktadır. İstatistiksel olarak bulgular bunlardır.
Çalışanların üçte biri sadece bundan kurtulabileceklerini düşündüklerinde hırsızlık yapmaya çalışacaktır.
Üçte biri aksi halde bile çalacaktır.
Geriye kalan üçte bir ise asla çalma eğilimine girmeyecektir.
Yukarıdaki analizden de anlaşılacağı üzere, herhangi bir kurumda toplam çalışanların üçte ikisinin dürüstlüğü gölgelenmiş olarak sınıflandırılabileceğini görebilirsiniz. Tespit edilen kötü niyetli eylemlerin toplam sayısının yaklaşık üçte ikisini içeridekilerin oluşturduğu da fark edilen bir başka gerçektir.
Kuruluşlar tarafından benimsenen mücadele yöntemleri: Her kuruluşun bu tür davranışları kontrol etmek için kendi yöntemleri vardır. Bu ilk aşamadaki incelemeler genellikle kötü niyetli faaliyetlerin dörtte üçünden fazlasını tespit eder. Bu gibi durumlarda, kötü niyetli faaliyetlerin tespiti kuruluşa herhangi bir zarar gelmeden önce gerçekleşir. Çoğu zaman bu önlemler yetersiz kalmaktadır. İşte böyle durumlarda kayıp somut hale gelir.
İçeriden birinin kötü niyetli olduğunu nasıl tespit edersiniz?
Bunu tespit etmek çok zordur. Kötü niyetli kişiler mümkün olan en normal şekilde davranırlar. Ancak bu kişilerin sergilediği ve sık aralıklarla izlenmesini gerektiren bazı mekanizmalar vardır. Genellikle kötü niyetli olmayan kişilerle aynı şekilde davranırlar. Bu nedenle, konunun ele alınması vaka bazında olmalıdır. Bu durum masum bir kişinin sebepsiz yere takip edilmesine neden olabilir. Böyle bir kişi daha sonra kuruma karşı kötü niyet besleyebilir.
Kötü niyeti tespit edebileceğiniz bir işaret, bazı çalışanların müsrif harcama tarzlarıdır. Bir çalışanın normal imkanlarının çok ötesinde harcama yaptığını öğrenmeniz durumunda, bu bir alarm nedenidir. Bu, tetikte olmanız gerektiği anlamına gelir. Bazı çalışanlar, kuruluşlardan ayrılmak istediklerinde kötü niyetli bir niyet geliştirirler. Bu tür çalışanların faaliyetlerinin sıkı bir şekilde izlenmesi gerekir. Bu tür kişiler, iş söz konusu olduğunda başkalarıyla iletişim kanallarını azaltırlar. Bu tür özellikler dikkatli bir izleme gerektirir. Kötü niyetli kişilerin hiç tatil yapmadıkları bir gerçektir. Bu nedenle, kuruluşlar bu tür faaliyetlerin önünü kesmeli ve çalışanları yılda en az iki hafta izne çıkmaya zorlamalıdır. Bu sayede uzun süredir izin kullanmayan kişiler kontrol altında tutulabilir.
Yönetim kötü niyetli içerdekilere karşı nasıl bir önlem almalıdır? Şimdi aşağıdaki senaryoyu ele alalım. X adlı bir tüzel kişiliğin CEO'su olduğunuzu varsayalım. Şirketin yüzlerce çalışanı var. Bunlar arasında yüksek rütbeli üst düzey yetkililer de var. Çalışan personel arasında alt düzey memurlar, satış elemanları ve diğer ast personel de var. Yılın dört çeyreğinde aşağıdaki kabahat vakaları görülmüştür. 1. Çeyrek: Yapılan bir soruşturmada sekiz şifre kötüye kullanımı vakası tespit edilmiştir. Soruşturmalar, harici sistemlerden dahili verilere erişim olduğunu göstermiştir. Sorgulama sırasında ilgili personel bilgisizlik numarası yapmıştır.
Şifre tahminleri ve hırsızlığı bu olayların nedenleri olarak gösterilmiştir. Her koşulda şifre gizliliğinin korunması eğitimlerinin ana fikriydi. Şirket hatalı çalışanlara karşı herhangi bir işlem yapmamıştır. Soru: Siz de aynı şeyi yapar mıydınız? 2. Çeyrek: Soruşturma ekibi, şirket içi verilerin genel bulut sunucusu gibi harici depolama cihazlarında depolandığı dört örnek tespit etti. Üyeler bunu evden erişebilmek için yaptıklarını açıkladılar. İşin zamanında bitirilmesi gerekiyordu. BT departmanı bunun kurallara aykırı olduğunu kesin bir dille açıkladı. Şirket, gelecekte bu tür durumlara tolerans seviyesinin "Sıfır" olacağı konusunda bir uyarıda bulunarak personeli azarladı.
BT departmanından kendilerine erişim izni verilmesini talep etme seçenekleri vardı ve şirket yönetim kurulu bir karar alacaktı. Soru: Buna tepkiniz ne oldu? 3. Çeyrek: Soruşturmalar bazı personelin kişisel ilişkilere karıştığını ortaya çıkardı. Bu olaylar başka bir ilgisiz soruşturma sırasında ortaya çıktı. Yönetim bu tür konuların soruşturma ekiplerinin yetki alanı dışında olduğuna karar verdi. Ancak bu ilişkiler İK Departmanının bilgisi dahilindeydi. İK Departmanı konunun derinine inmeden, şirketin bu tür durumlara müsamaha göstermeyeceğini açıkça belirtti. Soru Bu vakayla ilgili tepkileriniz nelerdir? Çeyrek 4: Bu, üst düzey bir yöneticinin dahil olduğu bir vaka. Kendisi üçüncü çeyrekte bir satış yöneticisiyle yaşadığı ilişkinin ardından şirketten ayrılmıştı. Kadın da organizasyondan ayrılmıştır. Her ikisi de yeni bir şirket kurdu. Bu şirket sizinkinin doğrudan rakibi. Mevcut işlerinizin %20'sinden fazlasının bu kısa süre içinde yeni şirkete kaydığını görüyorsunuz.
Bir diğer %20'lik kısım da çıkış yolunda. Bu, içeriden kötü niyetli bir faaliyetin açık bir örneğidir. Soru: Böyle bir senaryoda eylem planınız ne olurdu? Yukarıda bahsedilen dört vakanın hepsi de veri hırsızlığının gerçekleşmesi için bir şans vermektedir. Daha ileri incelemelerde, başka bazı noktalar da ortaya çıkabilir. Bazı ortak noktalar ortaya çıkmaktadır. Eğer durum böyleyse, bu faaliyetlerin daha derinlemesine incelenmesi gerekir. Aksi takdirde, konuyla nasıl başa çıkmanız gerektiği aşağıda açıklanmıştır. Çeyrek 1: Parola gizliliğinin korunması günümüz senaryosunda çok önemli bir husustur. Bu konuda hiçbir taviz verilmemelidir. Üyelere gelecekte daha dikkatli olmalarını tavsiye etmelisiniz. Bu tür çalışanları izleyerek daha fazla kabahat işlenmesini önleyebilirsiniz. 2. Çeyrek: Personel, işi evde tamamlamak için iyi niyetli olabilir. Bu onların işlerine olan bağlılıklarını gösterir. Ancak, bir şirketin çerçevelenmiş kuralları ve düzenlemeleri vardır. Ne pahasına olursa olsun bu kurallara uymak zorundasınız.
Personele bu tür davranışları tekrarlamaktan kaçınmalarını tavsiye etmeli ve işi zaman çizelgesi içinde tamamlamaları için teşvik etmelisiniz. Çeyrek 3: Mesai saatleri içinde kişisel ilişkiler engellenmelidir. Çalışma alanı dışında işlerini yapmakta serbesttirler. İlişkiler ofiste gerçekleşmediği ve ofis işleri etkilenmediği sürece, mahremiyetlerine saygı göstermelisiniz. Ancak, şirket kuralları bu tür çiftlerin evlendikten sonra ayrı ofislerde görevlendirilmesini gerektirmektedir. 4. Çeyrek: Bu açık bir kötü niyetli içeriden öğrenen faaliyeti vakasıdır ve bununla kararlı bir şekilde başa çıkmalısınız. Şirket ilgili kişilere karşı yasal işlem başlatmayı düşünebilir. Kötü niyeti daha başlangıçta değerlendirebileceğiniz bazı durumlar vardır. Birkaç örnek verelim.
Erken işaretleri aramayı öğrenin. Bir sözleşmede geç ödeme cezalarına itiraz eden bir şirketin ödemeleri düzenli olarak aksatması muhtemeldir. İnce işaretleri aramayı öğrenin: Bazı üyelerin telefon görüşmelerinden ve e-posta mesajlarından kaçınmaya çalıştığını fark ederseniz, bu onların projenizin bir parçası olmak istemediklerinin açık bir işaretidir. Onları ne kadar erken uzaklaştırırsanız, kuruluş için o kadar iyi olur.
Özet
Her niyetin doğası gereği kötü niyetli olması gerekmez. Sadece kuruma kasıtlı olarak zarar verebilecek niyetler kötü niyetli olarak adlandırılmalıdır. Ayrıca, kuruma verilen zarar veya kaybın tesadüfi veya kötü niyetten kaynaklanabileceğini de bilmelisiniz. Amacımız sadece kötü niyetleri engellemek olmalıdır. Kötü niyeti daha tomurcuk halindeyken engellemelisiniz. Kötü niyet, bugün iş yerinde meydana gelen tüm bu dolandırıcılıkların ana nedenidir.