Bütçe kesintileri ve kadro yetersizlikleri, bilişim teknolojisi yöneticilerinin günlük uğraşlarını halledip de başka birşeye odaklanmalarına ve yazılım güncellemelerini, yamalarını ve güvenlik tehlikesi uyarılarını günü gününe takip etmelerine izin vermemektedir.
Endüstri analizcileri; şirketlerin finans, pazarlama ve insane kaynakları bölümündeki insanların, kendilerine, kimlik bilgisi hırsızlıklarına ya da son çıkan virüslere yem olmamayı öğretecek oturumlara katılacak zamanları olmadığını herkes biliyor diyorlar.
Gel gelelim eğitim eksikliği de bunu başaramayan bilişim teknolojisi yöneticilerinin başının daha çok ağrımasına üstelik işyerinde daha uzun saatler geçirmesine yol açıyor.
“Bilişim teknoloji yöneticilerinin bu durağan baskıya karşın eğitime odaklanmasının kritik önemi var,” diyen ve merkezi Mass. Eyaleti Lynnfiled’da bulunan bir anti-virüs yazılım şirketi olan Sophos Inc.’in kıdemli güvenlik analizcisi Chris Belthoff sözlerini şöyle sürdürdü: “Çalışanları eğitmek en nihayetinde bilişim teknoloji yöneticilerinin kendi bölümlerinin işine yarar. Eğitimli son-kullanıcılar ortaya çıkardıkları sorunların ve yangınların miktarını azaltacaktır.
Bu günlük yangınlar kuşkusuz bilişim teknolojisi yöneticilerinin yeni virüsler ya da yazılım şaşırtmacaları çirkin yüzlerini gösterdiğinde eğitim oturumları düzenleme ve hatta uyarı içeren e-postalar yollayıvermeye yönelik fikirlerini ateşliyordur.
Merkezi ABD – California, Scotts Valley’de bulunan ve bir web ve e-posta süzme şirketi olan SurfControl Plc’nin bir raporuna göre, yakın zamanda yapılan bir anketteki bilişim yöneticilerinin yaklaşık yüzde 90’lık bir kısmının çalışanlara davetsiz ve zırva e-postalarla nasıl başa çıkılacağını öğretmediği bildirildi. Ayrıca rapor gösteriyor ki bu yöneticiler birçok çalışanın her yıl 1.500 adet zırva posta –ki bunlar sadece çalışanların tanıdıklarından gelen zırva postanın sayısıdır – alabilecekleri gerçeğine rağmen IT yöneticileri bu çalışanlardan eğitimi esirgemekteler.
“Artık ağı güvenli tutmak sadece şirketlerin bilişim teknolojisi yetkililerine bağlı değil.” diyen SurfControl küresel ürün içeriğinden sorumlu başkan yardımcısı Susan Larson şöyle konuştu: “Bu, çalışanları uyanık tutmaya yönelik devingen bir süreç…
Bundan birkaç yıl önce Internet kullanımını düzenleyen şirket politikası diye bir şey bile söz konusu değildi. Şimdi ise şirketlerinin yüzde 75’inin bu konuda belirledikleri politikalar var. Ama şimdi de şirket politikası metinlerinin elden ele çalışanlara dağıtmanın yeterli olacağı hissine kapılmış durumdalar.”
“Eğer çalışanlar nasıl yardımcı olacaklarını anlamazlayıp çözümün bir parçası olmazlarsa, sorunun bir parçası olurlar,” diye ekledi Larson: “Çalışanlar son derece kritik bir konumdalar. Olay sadece “gelen kutusu’ndan ibaret değil. Gelen e-posta kutusunu 10.000 kullanıcıyla çarpın. Açıkçası çalışanların davetsiz e-postalara yanıt vermemesi gerekir. Outlook’un Ön-izleme sayfasını da kullanmıyor olmaları gerekir çünkü o sayfa gözetleme bilgisini geriye yollar. Bunun gibi çok örnek var.”
Ve ağ güvenliği şirketi SilentRunner’ın yardımcı başkanı Dan Woolley, çalışanların, sorunun büyük bir kısmını teşkil ettiğini söylüyor. Çalışanlar kurumlarının sistemlerini Internet’ten alışveriş yapmak, anket formları doldurmak ve genellikle işyerinin kendilerine temin ettiği e-posta adresinin yayılıp kendisine davetsiz e-posta olarak geri dönmesiyle sonuçlanacak şeyler yapıyorlar. Çalışanlar hala kendilerine zengin olmayı vaad eden, ya da aldığı e-postayı en samimi 10 arkadaşına yönlendirdiği taktirde bedava uçak bileti kazanacağını söyleyen e-posta zincirlerine kanıyorlar. Hala e-postalardaki içi virüs kaynayan ataşlamalara tıklıyorlar, dışarıya uygunsuz e-posta şakaları yolluyorlar ve anneleriyle yazışıyorlar.
“Biz insanlara sadece bu tehlikeleri önlemenin yolunu öğretmek iyiliğini yapmıyoruz” diyen Woolley şöyle konuştu: “Yeni bir işe girdikleri oluyor. Ellerine bir sistem tutuşturuyoruz ve nasıl kullanılacağını biliyor olmalarını bekliyoruz… Onları işyerine başıboş bırakmadan önce, bu tehlikeler hakkında biraz düşünmeye zorlayın.”
Woolley, temel eğitimin, insanlara, davetsiz, sahte ve onları kandıran e-postaları nasıl ayırt edeceklerini öğretmekle başlamasını gerektiğini söylüyor. Daha sonra diyor Woolley, çalışanları virüsler, kurtçuklar ve Truva atları hakkında bilgilendirin. Çalışanlar bu terimleri duyduklarına ne anlıyorlar? Neye karşı tetikte olmaları gerekir? Bunlardan bir tanesiyle karşı karşıya geldiklerinde ne yapmaları lazım?
Çalışanların öğrenmesi gereken bir sonraki şeyse toplum mühendisliği. Kurumsal bilgileri çalmaya niyetlenen birisi, çoğu zaman o kurumdan birisini bilinçsiz suç ortağı haline getirmekte hızlı davranır. İnsanlar şifrelerini monitörlerine yapıştırdıkları post-it kaşıtlarının üzerinde bırakmamaları gerektiğini bilmeliler. Asla telefonda konuşurken kullanıcı adı ya da şifre vermemelidirler. Otoparktayken ya da sigara odasındayken kurumsal ağ hakkındaki kritik bilgiler hakkında konuşmamalıdırlar.
“Düzenli olarak güvenlik hakkında konuşmamız gerekir.” Diyen Woolley şöyle konuştu: “Bu, her kurum için en üst derecede öncelikli olmalı ve üstten alta doğru uygulanmalı. İnsanlar icra amirlerinin ve mali amirlerinin bu konunun üstüne düştüğünü bilmeliler.”
Bir veri güvenliği ve anti-virüs şirketi olan F-Secure Inc.’in sistem mühendisi Tony Magallanez, eğitimin tek defalık bir mesele olmadığını fikrinde. Magallanez güvenlik konusunda bilinçli olmak yeni çalışan yönlendirmesinin bir parçası olması gerektiğini ve tüm çalışanlar için dönemsel olarak eğitim oturumları düzenlenmesi gerektiğini söylüyor.
Bunlara ek olarak, son-kullanıcıları e-postalar hakkında uyarılarda bulunmak, onları yeni virüs, davetsiz e-posta taktikleri ve yalan içerikli e-posta tehditleri hakkında güncel olarak bilgilendirmek de var.
Larson, son-kullanıcıların, izleme yöntemlerini anlamaları gerektiğini de sözlerine ekledi. Bir reklama tıkladıklarında, bu, izleme mekanizmalarına karıştırıp gelen davetsiz e-posta miktarını arttırabilir. Larson ayrıca çalışanların Internet üzerinden alışveriş yapmamaları gerektiği zira bu durumda şirket hesap bilgilerinin karşı tarafın eline geçebileceğini bilmeleri gerektiğini de belirtti.
“Her şirket elinden geldiğince iş programının bir yerinde bu eğitime yer ayırmalıdır.” Diyen Larson sözlerini şöyle tamamladı: “Çalışanlara, çözümün değerli bir parçasını teşkil ettiklerini anlatın. Ağı korumak için onlara yatırım yapmanız gerek.”