Siber Güvenlik Risklerini Kişilik Bilimi ile Yönetmek

Baltaş Grubu

Dünya Ekonomik Forumu’nun yayınladığı 2024 Küresel Riskler Raporu'na göre siber güvenlik eksiklikleri kısa ve uzun vadede en önemli küresel risk faktörleri arasındadır. Kurumlar en iyi teknik savunmalara sahip olsalar dahi, risklerin büyük bir kısmının teknolojiden değil, insan faktöründen kaynaklandığı araştırmalarda ortaya konmaktadır. Güvenlik ihlallerinin en baskın sebebinin insan olduğu ve ihlallerin yaklaşık %95’inin insan hatasından kaynaklandığı görülmüştür.1,2,3,4 Siber güvenlik vakaları incelendiğinde, riskin ağırlık merkezinin dış tehditlerden ziyade, sisteme içeriden erişimi olan çalışanların davranışsal zafiyetlerinde yoğunlaştığı anlaşılmaktadır.

Kurumsal siber güvenlik zinciri, en zayıf halkası kadar güçlüdür. Her çalışan, bu zincirin bir halkasıdır. Dolayısıyla bütünsel bir kurumsal güvenlik için her çalışanın güvenlik protokollerine uyumlu davranması gerekir. Araştırmalar, kişilerin güvenlik tehditlerine ve savunmalarına karşı verdikleri tepkilerin benzer olmadığını; aksine, kişilik yapılarının güvenlik politikalarına uyum sağlama veya uyumda zorlanma eğilimlerini doğrudan etkilediğini ortaya koymaktadır.5

Araştırmacılar, siber güvenlik bağlamında insan faktörünün etkisini açıklamak ve bu bulgular ışığında yönetim stratejileri önermek için psikolojide en yaygın kabul gören Beş Faktör Modeli’ni güçlü bir çerçeve olarak kullanmaktadır. Çalışanların riskli siber davranışları ile ihtiyatlılık (conscientiousness) ve açıklık (openness) özellikleri arasındaki ilişki özellikle dikkat çekicidir.

Riskli siber davranışlar ve ihtiyatlılık

İhtiyatlılık özelliği, davranış biçimiyle tutarlı ilişkiye sahip olduğu düşünülen,6 sağlık davranışı ve bilgi güvenliği gibi risk oluşturabilecek alanlarda davranışı açıklayan en önemli kişilik faktörü olarak konumlandırmaktadır.7,8 Bu özellik; bireyleri planlı, organize, görev yönelimi güçlü, kurallara uyumlu ve harekete geçmeden önce düşünen kişiler olarak tanımlar.9,10 Bu nedenle, yüksek ihtiyatlılığa sahip bireyler siber güvenliği tehdit eden durumlarda daha dikkatli tepki verme eğilimindedir.11

Siber güvenlikteki en büyük zorluk, teknik bilgiden çok sürdürülebilir disiplindir. Düşük ihtiyatlılığa sahip bireyler, niyetlerinden bağımsız olarak, rutin, süreklilik ve kısa vadede zihinsel çaba gerektiren güvenlik uygulamalarını sürdürmekte daha fazla zorlanabilmektedir. Bu, sistem güncellemelerini erteleme, zayıf şifre kullanımı veya virüs taramalarını aksatma gibi davranışlarla kendini gösterir. Bu durum, sadece bireyleri değil, bağlı oldukları kuruluşun tüm ağını zayıflatan bir zafiyet kaynağıdır.12

Düşük ihtiyatlılık siber güvenlik için büyük bir risk faktörü olsa da kurumsal ağın güvenlik duruşunu etkileyen ve onu olağan tehditlere karşı koruyan ikinci bir kritik faktör de mevcuttur: Çalışanların yeniliğe ve bilinmeyene olan yaklaşımı.

Açıklık yüksek risk mi? Yüksek farkındalık mı?

Açıklık özelliği yüksek kişiler; yüksek düzeyde meraklı, yaratıcı ve deneyimlerinde çeşitliliği tercih eden bireyler olarak tanımlanmaktadır.¹³ Johnston ve arkadaşlarının bulguları, durumsal faktörlerden türeyen algıların bilgi güvenliği ihlallerine yönelik niyetler üzerinde belirleyici bir rol oynadığını ve bu algı-niyet ilişkisinin, açıklık özelliğini de içeren plastisite gibi kişilik meta-özellikleri tarafından modere edildiğini göstermektedir.¹⁴ Bu çerçevede, güvenlik çerçevelerinin yeterince net olmadığı bağlamlarda kuralların bağlayıcılığına ve olası ihlallerin sonuçlarına ilişkin algıların zayıflaması, bazı güvenlik ihlallerinin düşük riskli ya da tolere edilebilir olarak değerlendirilmesine yol açabilmektedir. Bu tür algısal değerlendirmeler, yüksek açıklığın tek başına bir ihlal davranışı üretmesinden ziyade, plastisite bileşimi içinde, belirli durumsal algılar aracılığıyla siber güvenlik ihlallerine yönelik niyetlerin güçlenmesinde rol oynayabileceğine işaret etmektedir.¹⁴

Diğer taraftan, yapılan araştırmalar, açıklığın tahmin edilenden daha karmaşık bir etkiye sahip olduğunu göstermektedir. Kurumsal çerçevenin net tanımlandığı ve deneyimin kontrollü biçimde teşvik edildiği ortamlarda, açıklık özelliği yüksek bireylerin yeni teknolojileri ve güvenlik uygulamalarını keşfetmeye yönelik eğilimi önemli bir avantaja dönüşebilmektedir. Yeni güvenlik teknolojilerinin işlevlerini öğrenme, buna bağlı olarak potansiyel risk alanlarını erken aşamada fark etme ve yeni güvenlik çözümlerini benimsemeleri kolaylaşır ve bunun kurumsal güvenliğe olumlu katkı sunma potansiyeli bulunmaktadır.15

Sonuç

Siber güvenlikte insan faktörü, teknik altyapı kadar belirleyici bir rol oynamakta; bireylerin kişilik özellikleri, güvenlik uygulamalarının nasıl algılandığını ve günlük davranışlara nasıl yansıdığını önemli ölçüde etkilemektedir. Bu açıdan, özellikle ihtiyatlılık ve açıklık özelliklerin siber güvenlik üzerindeki etkisini anlamak, basit farkındalığın ötesinde, davranışsal öngörü sağlayan stratejik bir araç olarak kullanılabilir.

Siber dayanıklılığın sağlanması için artık sadece teknik önlemler ve genel eğitimler yeterli değildir. Yönetim stratejileri, temel güvenlik kurallarını öğretmekten öte, kişilik profillerine göre hedeflenmiş eğitim ve görevlendirmeye odaklanmalıdır. Bu bütüncül yaklaşım, yüksek açıklığa sahip kişileri siber keşif gibi alanlarda geliştirirken, ihtiyatlılığı düşük bireyleri destekleyici güvenlik önlemleriyle koruma altına alarak, insan faktörünü en zayıf halka olmaktan çıkartıp, kurumsal güvenlik mimarisinin güçlü bir dayanağına dönüştürecektir.

Kişilik özelliklerinin psikolojik temelleri, dijitalleşen iş yapış biçimlerinde insan odaklı stratejilerin merkezinde yer almaktadır. Özellikle İK süreçlerinde kullanılan dijital uygulamalar, çalışan deneyimini, iş birliğini ve karar alma mekanizmalarını yeniden şekillendirmektedir. İnsan–teknoloji etkileşimini ve bu dönüşümün iş hayatına yansımalarını ele alan içerikler için, Kaynak dergimizin İK’da Dijital Uygulamalar sayısını https://kaynakbaltas.com/dergiler/ikda-dijital-uygulamalar/ üzerinden inceleyebilir, konuya ilişkin farklı boyutlarda bilgi edinebilirsiniz.

Kaynakça:

1. Parsons K, Calic D, Pattinson M, Butavicius M, McCormac A, Zwaans T. The Human Aspects of Information Security Questionnaire (HAIS-Q): Two further validation studies. Comput Secur. 2017;66:40–51.
2. 2Parsons K, McCormac A, Butavicius M, Pattinson M, Jerram. Determining employee awareness using Human Aspects of Information Security Questionnaire (HAIS-Q). Comput Secur. 2014;42:165–76.
3. PricewaterhouseCoopers. Why you should adopt the NIST cybersecurity framework. 2014.
4. PricewaterhouseCoopers. Key findings from the global state of information security survey 2016. Turnaround and transformation in cybersecurity. 2015.
5. Warkentin M, Carter LD, McBride ME. Exploring the Role of Individual Employee Characteristics and Personality on Employee Compliance with Cyber Security Policies. In Unknown book. 2011.
6. Conner M, Abraham C. Conscientiousness and the theory of planned behavior: toward a more complete model of the antecedents of intention and behavior. Personal Soc Psychol Bull. 2001;27(11):1547–61.
7. Booth-Kewley S, Vickers RR. Associations between major domains of personality and health behavior. J Personal. 1994;62(3):281–98.
8. Hu Q, Dinev T, Hart P, Cooke D. Top management championship and individual behavior towards information security: an integrative model. In: Proceedings of the 16th European conference on information systems; 2008 Jun 9-11; Galway, Ireland. p. 1–13.
9. Cellar D, Nelson Z, Yoke C. The five factor model: investigating the relationships between personality and accident involvement. J Prev Interv Community. 2001;22(1):43–52.
10. 1Shappie AT, Dawson CA, Debb SM. Personality as a predictor of cybersecurity behavior. Psychol Popu Media Cult. 2019:1–6.
11. Li Y, Tan CH, Teo HH, Tan BC. Innovative usage of information technology in Singapore organizations: do CIO characteristics make a difference? Eng Manag IEEE Trans. 2006;53(2):177–90.
12. Shropshire J, Warkentin M, Johnston AC, Schmidt MB. “Personality and IT Security: An Application of the Five Factor Model”. In: Proceedings of the Americas Conference on Information Systems. 2006.
13. Becerra-García JA, García-León A, Muela-Martínez JA, Egan V. A controlled study of the Big Five personality dimensions in sex offenders, non-sex offenders and non-offenders: relationship with offending behaviour and childhood abuse. J Forensic Psychiatry Psychol. 2013;24(2):233–46.
14. Johnston AC, Warkentin M, McBride M, Carter L. Dispositional and situational factors: influences on information security policy violations. Eur J Inf Syst. 2016;25(3):231–251. doi:10.1057/ejis.2015.15
15. Naga J, Tinam-isan M, Maluya MM, Panal K, Tupac MT. Investigating the Relationship Between Personality Traits and Information Security Awareness. Int J Comput Digit Syst. 2024;15(1):1233–46.