Siber alanda “farkındalık” ne yazık ki genelde bir siber felaket ile karşılaşıldığında öne çıkıyor. Zaman zaman, tabiri caizse “Nasrettin Hoca'nın Türbesi” şeklinde her tarafı açık ama kapısı kilitli biçimde yapılandırılan bilişim sistemlerinde, zaten açıkça saldırılar fark edilemediğinden siber başlıklar gündemde yer alamıyor. Bu alanda henüz milli bir politika olmadığından, gerek KOBİ seviyesinden başlayan özel sektörde, gerekse kamu sektöründe siber farkındalığın yeterli seviyeye geldiğini söylemek için oldukça erken. Siber Güvenlik, e-Devlet ve e-Yönetişim Kıdemli Uzmanı Mustafa Afyonluoğlu, şu bilgileri paylaştı:

“2000'li yılların başından itibaren yaşamaya başladığımız e-Devlet deneyimi gibi siber güvenlik de sadece teknolojiden ibaret zannedilip, BT birimlerinin sorumluluğuna verilmekte. Oysa en zayıf halkanın “insan” olduğu gerçeği gözden kaçtığı için bu girişim genelde yeterli başarının yakalanmasına engel olmakta. Önerilen doğru yaklaşım; özel sektörde veya kamu kurumlarında, en üst düzey yöneticiye doğrudan bağlı siber güvenlik yapılanmasının olması ve bu yapılanmadaki insan kaynağının teknoloji, hukuk, sosyoloji gibi çok disiplinli eğitime sahip olması, yeterli yetkilerle donatılması. İlk kural elimizdeki varlıkların farkına varmak, yani varlık envanterini hazırlamak, sonra da bunlardaki riskleri belirleyerek seviyelendirmek, yani önceliklendirme. Risk yönetiminin temel prensibi olan bu yaklaşım, NIST'nin siber güvenlik çerçevesinin de esasını oluşturmakta. Çalışanlarda, oluşacak siber riskin yıkıcı sonuçlarını somut olarak göstererek yeterli farkındalık ve sahiplenme oluşturulabilir. Sadece standart eğitimler, talimatlar veya taahhüt imzalatarak hukuki yöntemlere başvurmak, başarılı siber güvenlik yönetimi için yeterli ve doğru yaklaşımlar değil. Çalışan, önce ne yaparsa ne gibi riske sebep olacağı ve bunun sonuçlarının somut olarak neye yol açacağını bilirse, çalıştığı kurumun selameti için konuya sahip çıkar. Akabinde kurumsal güvenlik politikaları ve hukuki çerçeve işletilmeli.”