Günümüz dijital ekosisteminin doğası gereği, bir kuruluşun siber saldırıya uğrama olasılığı oldukça yüksektir. Ancak bir siber olay yaşanması, işletmenin itibarının veya çalışanların duygusal sağlığının mutlaka zarar göreceği anlamına gelmez. Doğru iletişim stratejileri ve önceden hazırlanmış bir kriz planı ile bu süreç yönetilebilir. Infosecurity Europe 2026'da düzenlenen 'Kriz İletişimi – Hemen Uygulanması Gereken Acil Durum Planları' başlıklı oturumda, siber güvenlik liderleri, kriz anında hem iç hem de dış paydaşlara net mesajlar vermenin ve normal hizmetlere dönüş için atılan adımları şeffaf bir şekilde anlatmanın önemini vurguladı.
Oturumun ana mesajı, işletmelerin en kötü senaryoda liderliğin uygulayabileceği stratejik bir oyun kitabına (playbook) sahip olması gerektiğiydi. Büyük siber olaylara müdahale etme konusunda deneyimli kıdemli siber güvenlik liderleri, bu oyun kitabının yüz sayfalık bir doküman değil, kısa ve öz olması gerektiğini belirtti. Brunswick'ten ortak ve küresel siber uygulama eş lideri, aynı zamanda Ulusal Siber Güvenlik Merkezi'nde (NCSC) eski politika ve iletişim direktörü olan Nicola Hudson, etkili bir oyun kitabının üç temel bileşene odaklanması gerektiğini söyledi: 'Bir: Ne tür bir krizle karşı karşıyasınız? İki: Odada kimler olacak? Üç: Sorumlulukları anlayın ve birbirinize güvenin; herkes ne yaptığını bilmeli, dördüncü gün yorgun ve endişeliyken ikinci tahminler yapılmamalı.'
Bu üç temel direk, krizin geri kalanının tonunu belirlemeye yardımcı olur. Bir siber güvenlik olayıyla başa çıkmak zordur, ancak stresli ve yüksek baskılı bir durum olmasının yanı sıra, eksik bilgilerle dahi kararlar alınması gerektiği için daha da zorlaşabilir. Zyn Global CEO'su ve Jaguar Land Rover'ın (JLR) eski grup CISO'su Ashish Shrestha, 'Oyun kitapları teknoloji yüzünden başarısız olmaz, gerçeklik senaryoyu takip etmediği için başarısız olur' dedi. Shrestha, 'Savaş odasında muazzam bir baskı birikir. Size gelen bilgiler sadece dakikalar içinde değişmekle kalmaz, bazen bağlamsız ve parçalar halindedir. İşte liderlik anı budur: Bu veri parçalarını nasıl alıp sonraki adımları ilişkilendirmeye başlarsınız?' diye ekledi.
Sonuç ve Değerlendirme
Kriz iletişiminde başarı, hızlı ve şeffaf olmaktan geçer. Uzmanlar, olayın hemen ardından iç paydaşlara (çalışanlar) ve dış paydaşlara (müşteriler, ortaklar, düzenleyiciler) durum hakkında kısa bir açıklama yapılmasını, ardından düzenli güncellemeler sağlanmasını öneriyor. Bu açıklamalar, paniği önlemek ve güveni korumak için teknik jargon kullanmadan, anlaşılır bir dille yazılmalıdır. Ayrıca, kriz anında bir sözcü belirlenmeli ve tüm iletişim bu kişi üzerinden yürütülmelidir. Hudson, 'Kriz anında en büyük hata, sessiz kalmaktır. Bilgi boşluğu, söylentilerle dolar. Bu nedenle, ne bildiğinizi, ne yaptığınızı ve ne zaman daha fazla bilgi paylaşacağınızı söyleyin' uyarısında bulundu.
Oyun kitabı hazırlarken dikkat edilmesi gereken bir diğer nokta da rollerin net bir şekilde tanımlanmasıdır. Kriz yönetim ekibinde kimlerin olacağı (BT, hukuk, iletişim, üst yönetim) ve her birinin sorumlulukları önceden belirlenmelidir. Shrestha, 'Gerçek bir krizde, insanlar rol karmaşası yaşayabilir. Bu nedenle, oyun kitabında her bir pozisyon için net bir görev tanımı ve karar verme yetkisi olmalıdır. Ayrıca, düzenli olarak masa başı tatbikatları yaparak bu planı test etmek, zayıf noktaları görmek açısından kritiktir' dedi. Tatbikatlar, ekip üyelerinin birbirine güvenmesini ve baskı altında nasıl çalışacaklarını öğrenmelerini sağlar.
Uzmanların Görüşleri
Son olarak, siber krizler sadece teknik bir müdahale gerektirmez; aynı zamanda duygusal ve psikolojik destek de önemlidir. Çalışanlar, özellikle de krize doğrudan müdahale eden ekipler, yoğun stres altında olabilir. Bu nedenle, kriz sonrası psikolojik destek sağlamak ve çalışanların refahını önemsemek, uzun vadede işletme için faydalı olacaktır. Hudson, 'Kriz yönetimi sadece sistemleri kurtarmakla ilgili değil, aynı zamanda insanları da kurtarmakla ilgilidir. Unutmayın, kriz geçicidir; ancak çalışanlarınızın size olan güveni kalıcıdır' diyerek sözlerini tamamladı. Kısacası, etkili bir siber kriz iletişim planı, işletmelerin itibarını korumak ve krizden güçlenerek çıkmak için vazgeçilmez bir araçtır.
Kaynak: infosecurity-magazine.com