Kaspersky’nin “Kurumsal güvenlikle ve çalışanların özel hayatıyla ilgilenmek: Siber güvenlik şirketler ve çalışanları için neden hayati önem taşıyor?” başlıklı son raporu siber güvenlik vakalarının “insani yönünü” gözler önüne seriyor. Araştırma, yaşanan sızıntıların çalışanlarda oluşturduğu rahatsızlığı ve kayıpları ortaya çıkarıyor. Hazırlanan raporda, Türkiye’de vaka müdahalesinden sorumlu çalışanların %24’ünün önemli kişisel buluşmaları kaçırdığı, %32’sinin fazla mesai yaptığı ve %28’inin fazladan stres yaşadığı ortaya çıktı. Hatta %23’ünün tatilini iptal etmek zorunda kaldığı anlaşıldı. Veri sızıntısı riski her an sürerken, kurumların veri güvenliğini kontrol altında tutması ve vakaların çalışanlara ve özellikle COVID-19 salgını sırasında şirketin itibarına olumsuz etki yapmasını önlemesi gerekiyor.
İş stresi, çalışanların iş ve hayat dengesine, verimliliğine ve motivasyonuna zarar veriyor. Çalışanların %76’sı iş stresinin kişisel ilişkilerini etkilediğini belirtirken, bu yüzden işini bırakanların oranı ise %16 seviyesinde. Özellikle insanların evden üretken bir şekilde çalışmaya uğraştığı bu dönemde stres sorununu dikkate almak gerekiyor. Bu stres, çalışanların verimliliğinin azalmasına, iş performansının düşmesine ve sonuç olarak doğrudan finansal zarara neden olabiliyor. Örneğin, stres nedeniyle işe gelinmeyen gün sayısının artmasının büyük kurumsal şirketlere maliyeti yıllık 3,5 milyon ABD doları olabiliyor. Ayrıca, bu durum çalışanların şirket itibarına zarar vermesine de yol açabiliyor.
Kaspersky raporuna göre, siber güvenlik vakaları da olumsuz iş deneyimlerine katkıda bulunabiliyor. Tüm dünyada KOBİ’lerin (%48) ve kurumsal şirketlerin (%53) yaklaşık yarısı geçtiğimiz yıl en az bir kez veri sızıntısı yaşadı. Aşağıdaki grafikten şirkette yaşanan bir veri sızıntısı sonrasında durumu düzeltmekle görevli BT ve BT güvenliği yöneticilerinin yaşadığı kişisel sorunları görmek mümkün. Türkiye’de yöneticilerin en çok yaşadığı sorunlardan birinin %28 ile stres olduğu görülüyor. Gelişmiş vaka müdahalesi uygulamalarına sahip büyük kurumlarda çalışanlardan özel bir BT güvenliği departmanı bulunmayan KOBİ’lerde çalışanlara kadar tüm sistem yöneticileri böyle bir durumda çok daha fazla stres yaşıyor.
Kaspersky Amerika İnsan Kaynaklarından Sorumlu Başkan Yardımcısı Alena Reva, “Şirketlerde yaşanan siber güvenlik vakalarından bahsederken genellikle para, müşteri güveni ve diğer kurumsal sonuçlar gibi konulara odaklanıyoruz. Ancak dikkate almamız gereken başka bir konu daha var: Çalışanlar böyle vakalarda neler yaşıyor? İş yerinde stresin artmasının veya iş ile yaşam dengesinin bozulmasının çalışanların verimliliğini ve daha da önemlisi fiziksel ve ruhsal sağlığını etkilediğini söyleyeme gerek bile yok. Bu durum kesinlikle hafife alınmamalı çünkü dışarıda olumsuz düşüncelerini paylaşan çalışanlar markanın itibarına zarar verebilir. Veri sızıntısı nedeniyle itibarı sarsılan bir şirket için böyle bir durum özellikle son derece önemlidir” dedi.
Veri sızıntılarının çalışanlara minimum etki etmesi için kurumlar şu adımları atabilir:
- Kriz dönemlerinde çalışanlarınıza karşı şeffaf olun. Neler yaşandığını, şirkete ve çalışanlara ne etkisi olacağını anlatın. Çalışanlara bir sorun yaşadıklarında kiminle iletişime geçeceklerini söyleyin. Ekipler birbirinden ayrı olarak uzaktan çalışırken bu bilgi büyük önem taşır. Veri sızıntısı çalışanların kişisel verilerini de etkilediyse bunu medyadan veya gazetelerden değil sizden öğrenmeleri iyi olur.
- Daha “sakin dönemlerde”, bir vaka durumunda BT departmanının atacağı adımların listesini oluşturun. Bu listede ilk olarak kime bilgi verileceği, kimin nelerden sorumlu olduğu ve hangi adımların atılması gerektiği yer alsın. Böylece çalışanların kendini hazır hissetmesini ve potansiyel panik ve stresin azalmasını sağlayabilirsiniz.
- Her kriz beraberinde fırsatlar da getirebilir. Çalışanlara, böyle bir durumda yardımlarının çok önemli olduğunu, kendilerini kanıtlayabileceklerini ve yaptıklarının olumlu karşılanacağını anlatın.
- Tüm çalışanların siber güvenliğin önemini kavradığı bir kurumsal kültür oluşturun. Siber güvenlik vakalarının nasıl yaşandığını ve sonuçlarının neler olduğunu öğretin. Basit kurallara uyularak şirketin siber güvenlik vakalarından nasıl kaçınabileceğini, Kaspersky Automated Security Awareness Platform’dakiler gibi eğitim kurslarıyla anlatın.
- Veri sızıntıları medyanın ilgisini çekebilir. Bu da istenmeyen sonuçlar doğurabilir. Kaspersky Incident Communications eğitimi, bir siber saldırı sırasında kurumsal iletişim ekiplerinin nasıl davranacağına dair yardımcı bilgiler içerir.
- Bir veri sızıntısı yaşandığında, suçlu kişiyi bulmak yerine nedenleri ve sonuçları düzgün bir şekilde incelemeye odaklanın.