O Çok İyi Bir İnsandı. “Emin misiniz?”

Son zamanlarda ne zaman bir cinayet ya da terör olayı işlense, saldırıları gerçekleştiren saldırganların aileleri, arkadaşları ya da komşuları şuna benzer bir açıklamada bulunuyorlar; “O, asla böyle bir şeyi yapacak biri değildi. Çok iyi bir insandı.” Bu ifadeyi yaşanmış birkaç olay ile örneklemek gerekirse; ABD’nin Oklahoma eyaletinde Alton Nolen isimli saldırgan, ofis ortamında gerçekleştirdiği bıçaklı saldırıda bir arkadaşının ölümüne, bir diğerinin de ağır şekilde yaralanmasına sebep olmuştur. Bu olayın ardından saldırganın annesi, şu şekilde bir açıklamada bulunmuştur: “Oğlum, çok iyi bir çocuktu. Bunu yapan benim oğlum olamaz.” ABD’nin Colorado eyaletinde yaşanan ve medyada büyük bir yankı yaratan sinema salonu toplu katliamında ise James Holmes isimli saldırgan, 12 kişinin ölümüne ve 70 kişinin yaralanması sebep olmuştur. Bu katliamın ardından saldırganın yakın arkadaşı, şu şekilde bir açıklamada bulunmuştur. “James, gayet iyi bir çocuktu ve son derece normal görünüyordu.” Medyada yer bulmasa da bu tür olaylar dünya genelinde yoğun bir biçimde gerçekleşmeye devam ediyor ve birçoğunun ortak noktası, saldırganların geçmiş bir sabıka kaydının bulunmaması ve yakınlarının bu tür bir saldırı olayını saldırgan ile bağdaştıramamasıdır.
Peki, etrafımızdaki insanların bulundukları çevreye, arkadaşlarına ve topluma karşı bir tehdit teşkil edip etmediklerini anlamak için kendimizi nasıl geliştirebiliriz?

Son dönemlerde iş dünyasındaki yöneticiler, işe alım süreçlerinde başvuru yapan adayları kişilik testine tabi tutmaya başladılar. Özellikle hizmet sektöründe çok sık başvurulan bu yöntem, toplum içinde ayrımcılığa yol açtığı gerekçesiyle sivil toplum örgütleri tarafından büyük bir tepki görmektedir. Bu tepkinin ana sebebi, kişinin mahremiyetine müdahale edilmesi ve mental sağlık problemleri gibi kişiye özel durumların başkaları ile paylaşılması olarak gösterilmektedir. Çalışanların kişiliğinin, iş dünyasındaki temel hedef olan başarı için büyük bir öneme sahip olduğu inkar edilemez bir gerçektir. Örnek vermek gerekirse; hizmet sektöründe görev alacak bir personel adayının empati kurma özelliğini test etmek

mantıklı bir durum olabilir. Buradan yola çıkacak olursak; iş başvurularında uygulanan sınavlar ve mülakatlara ek olarak kişilik testinin uygulanması ve bu test sonucunda kişinin mental açıdan bir sağlık probleminin olduğunun tespit edilmesi, herkes için daha olumlu bir durum yaratmaz mı?
İş alımlarındaki süreç genelde kişinin özgeçmişi, iş başvuru formu, akabinde gerçekleşen mülakat ve sabıka kaydı üzerine kurulmaktadır. Yazının başında verdiğimiz örnekler ve daha birçoğu ile ilgili söylenebilecek ortak yorum; bu saldırıları gerçekleştirenlerin işe alım dosyaları incelendiğinde, büyük bir çoğunluğunda şiddet eğilimini ortaya koyacak bir bulgunun görülmemesi olacaktır. İşe alım süreçleri ile ilgili genel eğilim, süreçlerin objektif ve adil bir şekilde ele alınması gerektiği yönündedir. Fakat dürüst olmak gerekirse; bütün süreç sübjektif olmalıdır; özellikle de mülakat kısmı. Bundan dolayı, mülakatı yöneten kimse, mülakat sırasında karşı taraftaki görüşmeciye kişisel deneyimlerinden, değerlerden, bakış açılarından ve beklentilerden bahseder. Bu sayede iş başvurusunu yapan kişi, iş için gerekli niteliklerin farkına varabilir. İş başvurusu yapan herkes bunu bilir. Zaten, adayları iş görüşmesi esnasında nasıl giyinmeleri, nasıl konuşmaları hatta nasıl bir duruş sergilemeleri konusunda yönlendiren kitaplar da bu yüzden vardır.
Beğenin ya da beğenmeyin; kişisel kırılganlıklar, sadakat ve/ya saldırgan davranış gibi olguları test edebilmenin en iyi yolu, adayın üzerine giderek değer verdiği kavramlara ulaşmaktır. Örnek olarak; “Ne için, ölmeye değer?” sorusunu sorabilirsiniz. Muhtemelen, “çocuklarım” ya da “onurum” gibi cevaplar ile karşılaşacaksınızdır. Bu cevaplardan yola çıkarak, görüşmenin gidişatını yönlendirebilir ve istediğiniz sonuca varabilirsiniz. Adayın verdiği cevaplar ve sergilediği tepkiler, aday hakkında çok fazla bilgi veriyor olabilir. Mülakatı yöneten kişi tıpkı altın arayan bir madenci gibidir. Sürekli karşısındaki kişinin iş için doğru aday olup olmadığını araştırıp bulmaya yönelik sorular sorar.

Yıllık personel değerlendirmesi, gerek personelin çalışma performansını gerekse potansiyel güvenlik problemlerini değerlendirip açığa çıkarmaya yardımcı olacak mükemmel bir fırsattır. Bu fırsatı uygun şekilde değerlendirerek, geçmiş yazılarımızda değindiğimiz personel bazlı iç tehdite maruz kalma riskini de ortadan kaldırmış oluyorsunuz. “Personel, kendisini suça yöneltecek herhangi finansal ya da ailevi bir kırılganlığa sahip mi?”, “Personelin, herhangi bir çalışma arkadaşı hakkında kayıt dışı belirtmek istediği bir bilgi var mı?”gibi…
Yıllık personel değerlendirmesi, pek çok kez kullanılmayan bir istihbarat toplama fırsatıdır. Ne yazık ki, birçok kültürde bu tarz bir mülakat tekniğini kullanmak etik açıdan uygunsuz olarak düşünülmektedir. Çalışma arkadaşları hakkında sorulan sorulara cevap vermek, ispiyonculuk ve gammazlık olarak algılanıldığı görülmektedir. Kişinin özel hayatına karışmak kesinlikle söz konusu olmamalıdır. Fakat kişilerin ve korunması gereken mülklerin güvenliği söz konusu olduğunda bu tür bir tekniğin kullanılması mı yoksa etik değerler mi daha önemlidir? Bu sorunun cevabı güvenlik ile ilgili gereken aksiyonları almanızda size yardımcı olacaktır.

Kaynak: chameleonassociates.com

Siber Saldırılar

Günümüzde hayatımızın merkezinde yer alan internet, güvenli şekilde kullanılmadığı takdirde bizlere sağladığı kolaylığın önüne geçebilecek bir güvenlik sorunu yaratma potansiyeline sahiptir. Bültenimizin bu yayınında birçok kuruluşu yakından ilgilendiren, siber saldırılar konusuna değindik. İnternet kullanımının artışıyla birlikte siber saldırı, bir diğer deyişle sanal saldırı olayları da artmaktadır. Cep telefonu, sosyal medya ve iletişim ortamları, web siteleri, çevrimiçi oyunlar veya elektronik postalar aracılığıyla bir kişi veya bir grup tarafından başka bir bireyi karalayıcı, küçük düşürücü yayın ve duyurular yapılarak kişilik haklarına saldırılması siber (sanal) saldırıdır. Tanımda belirtilen sebepler dışında, kişilik bilgilerini ve kredi kartı bilgilerini ele geçirme de siber saldırı sebeplerine örnek olabilir. Özellikle otelcilik ve havacılık sektörü bu sebeplerden ötürü siber saldırılara maruz kalma riski taşımaktadır. Otellerde konaklayan misafirlerin ve havayollarından bilet satın alan yolcuların, kişisel bilgilerinin kayıt altında tutulması ve rezervasyon ve ödeme anında internet üzerinden işlem yapılması, bu iki büyük sektörü bilgisayar korsanlarının hedefi haline getirmektedir.

Her iki sektör için de sanal güvenliği sağlamanın en az fiziksel güvenliği sağlamak kadar önemli olduğunu söyleyebiliriz. Dolayısıyla, kurumların hazırladığı güvenlik planlamasının bu durumun göz önüne alınarak hazırlanması önem arz etmektedir. Siber saldırı normal hayattaki zorbalığın sanal ortama taşınmış halidir. Bilinçli bir şekilde uygulanan bu saldırıda kişi; internet bankacılığında dolandırıcılık, taciz, tehdit ve şantaj gibi durumlarla karşı karşıyadır. Siber saldırı iki şekilde olur. İlkinde kişilerin şifreleri ele geçirilir, web sitelerine yönelik saldırılar düzenlenir, virüs taşıyan mesajlar ve spam mesajlar yollanarak elektronik saldırı uygulanır. Ele geçirilen şifreler, internet bankacılığına ait bir şifre ise; manevi mağduriyetin dışında maddi bir mağduriyet yaşanması da söz konusudur. İkincisi daha tehlikeli bir saldırıdır. Burada tamamen kişiyi aşağılamak, küçük düşürmek ve zor durumda bırakmak için psikolojik bir saldırı uygulanır.

Dolandırıcılık amacı ile yetki dışında bilgi edinme ve sistemlere erişim sağlamak için, çeşitli ikna teknikleri ile kişilere yapılan psikolojik manipülasyona “Sosyal Mühendislik” denir. Bilgi güvenliği açısından dikkat edilmesi gereken bu durum Siber Saldırılara örnek olarak gösterilebilir.

Siber Saldırılarda 2014 Verileri

Kaspersky Lab isimli siber güvenlik kurumu, 2014’te tehdit ortamını şekillendiren en önemli olayların ele alındığı bir inceleme gerçekleştirdi. Bu incelemede, işletmeler, devlet daireleri, kamu ve özel sektörün hedef alındığı saldırıların sayıca yüksek olması dikkat çekti. Geçtiğimiz yıl içinde şirketin Global Araştırma ve Analiz Ekibi yedi adet gelişmiş kalıcı siber saldırı kampanyası rapor etti. Ayrıca küresel olarak en az 55 ülkeden 4400’den fazla kurumsal ve özel sektör üyesi bu saldırılara hedef oldu. Bu yıl ayrıca toplamda milyonlarca dolar tutarında kayba neden olan bir dizi dolandırıcılık kampanyası gerçekleştirildi. 1800 kurumsal hedefin keşfedildiği 2014 yılında saldırılardan etkilenen kurbanların sayısı ise 2013 yılına göre 2,4 kat fazla oldu. 2014’ün Haziran ayında Kaspersky Lab Global Araştırma ve Analiz Ekibi, araştırmasında büyük bir Avrupa Bankasının müşterilerine karşı gerçekleştirilen bir saldırıyı rapor etmişti. Saldırı sadece bir hafta içinde yarım milyon Euro’nun çalınmasıyla sonuçlanmıştı. Ekim ayında bu ekibin uzmanları, Asya, Avrupa ve Latin Amerika’da ATM’lere yönelik yeni bir doğrudan saldırı hakkındaki adli soruşturmanın sonuçlarını yayınladı. Saldırganlar, dünyanın her yerindeki ATM’lerden kredi kartlarına erişim sağlamaya bile gerek duymadan milyonlarca dolar çalınmıştı. Bu veriler göz önüne alındığında, siber saldırıların sanıldığından daha çok mağduriyet doğurduğunu kabul edebiliriz. Bu nedenle, hizmet sektöründe faaliyet gösteren firmaların hizmet verdiği kişilerin kişisel bilgilerini güvenli bir şekilde muhafaza etmesi son derece önemlidir.

Siber Saldırılara Karşı Nasıl Korunmalı?

Bu saldırılar ile ilgilenmesi gereken departman bilgi işlem departmanı gibi görünse de konu güvenlik olduğu için güvenlik departmanı ile bilgi işlem departmanının birlikte görev alması faydalı olabilir. Her iki departmanın katılım göstereceği ortak toplantılar düzenleyerek departmanların sorumluluklarının kesiştiği noktalar ve sorumluluk alanları belirlenebilir. Bununla birlikte, tüm personelin, siber saldırıların yalnızca sanal ortam üzerinden yapılmadığı bu saldırıların ofis ortamında fiziksel olarak da yapılabileceği konusunda uyarılması gerekmektedir. Personelin önemli şifreleri yetkisiz kişiler ile paylaşmaması ve her 3 ayda bir bu şifrelerin yenilenmesi, görevli personelden başka kimsenin bulunmaması gereken noktalarda yetkisiz kişilerin bulunmasının engellenmesi ve tüm bilgisayar ve sunucu odalarının düzenli bir şekilde kontrol edilmesi dikkat edilmesi gereken önemli konulardandır.