.

.

.

.

.

.

Güvenlik Yönetimi Dergisi Sayı 34 Sayfa 52 te yayınlanmıştır.

Güvenlik; sözlüklerde güvende olma hali olarak yer almakta, tehlike, korku ve endişeden uzak olma mahiyetindedir. Güvenlik; insanları, varlık ve değerleri (Asset), bina, operasyon ve ticari süreçleri korumak üzere, kurum ve kuruluşların her birinin özelliklerine göre geliştirilen metodoloji ve stratejilerle sağlanır. Bunlar yapılırken güvenlik yönetim planları, uygulamaları, gözlemleri, değişik alternatiflerle kullanılan insan gücünü, giriş kontrol tekniklerini ve alarm sistemleri ile tahkikatlar gibi koruma stratejileri kullanılır.

Ortaya konulan tüm yapılarda akıldan çıkarılmaması gereken en önemli olgulardan biri; güvenliğin sadece bir güvenlik yöneticisi veya ekibinin bu işi üstlenmesi ile yürütülmemesidir: Güvenlik topyekûn bir faaliyettir. Güvenlik yöneticileri bu faaliyette yönlendirici, eğitici ve değerlendirici koordinatör vasfında çalışmalıdırlar.

Güvenliğin hayata geçirilebilmesi için birkaç çeşit uygulama bulunmaktadır. Hepsinin kendince farklı yararlılıkları vardır ve en yaygın dört tanesi şunlardır.

• Temel Güvenlik
• Paket Güvenlik
• Güvenlik Zaafiyet Analizi ve,
• Güvenlik Risk Analizine Dayalı Güvenlik Önlemleri

Araştırmacı Broder 2006 yılında yayımlanan çalışmasında güvenlik risk analizinin faydalarını; hangi bölgelerin daha fazla veya daha az güvenlik gerektirebileceğini belirlemek ve uygun maliyetli karşı tedbirler geliştirebilmek ve bunun için makul gerekçeler toplamaya destek olmak olarak tanımlar.

Risk Analizleri hazırlanırken, topyekûn faaliyet bakış açısıyla, sürdürülecek faaliyetlerde organizasyonun iş kolları ile işbirliğine dayalı kapsamlı yaklaşımın sergilenmesi ön plana çıkar. Dolayısıyla güvenlik; ekibin elinde silah, korumayı sadece kendi yapmaktan ziyade, herkese nasıl korunulabileceği mantığını öğretmekle yürütülmelidir. Bu bilgi ile tüm personel kendi riskini kendi azaltır. İşte o zaman karşı korunma tedbirleri, diğer tüm personelin de katkılarıyla topyekûn bir faaliyet olur:  10 kişilik bir güvenlik ekibinin görmesi ve duyması veya algılayıp müdahale etmesinin ötesinde, güvenlik faaliyeti o organizasyonda kaç kişi varsa (100, 1000, 10.000 vs.) o kadar fazla algı ve tepki ile yürütülür.

M.Ö. 460 – M.Ö. 395 yıllarında yaşamış Atinalı filozof, tarihçi ve General Thucydides “ Bir Şehrin güvenliği kuvvetlendirme faaliyetlerinden ziyade, İçinde oturanların ruh durumu ile ilgilidir.” demiştir. Bu durum organizasyon içindekilerin organizasyona bağlılığı ve korunma konusunda göstereceği azim ile tasvir edildiğinden, çalışan katkısının gerekliliği topyekûn olabilme olgusunun korunmada ne kadar önemli olduğunun göstergesidir.

Başarılı bir güvenlik risk analizi sağlamak için temel şartlardan birisi yönetim kademeleri ile varlık (Asset) sorumluları arasındaki tutarlı ilişkidir. Bu iki yolla edinilebilir:

İlki; üst yönetimden tüm yöneticilerin katılımıyla güvenlik risk analiz süreci ile ilgili resmi, onaylı bir yönergenin tüm organizasyona tebliğ edilmesi gerekmektedir. Böylece tüm organizasyon içinde herkes yönetimin bu konuya çok değer verdiğini görerek istekli ve katılımcı davranacaklardır. Aksi takdirde bu şuna benzer: Hastasınızdır ve kendinizi hastalıktan uzak tutmak ve tedavi için doktor temin edersiniz, çağırır veya ona gidersiniz ama verdiği ilaçları almazsınız. HİÇ FAYDASI OLMAZ.

İkinci olarak, güvenlik yöneticisi tüm bağlı bölüm müdürleri ve varlık sorumlularıyla önceden hareket ederek irtibat halinde olabilir ve bazı güvenlik risk analiz toplantıları düzenleyebilir. Bu toplantılar çoğu zaman beyin fırtınası oturumu şeklinde olur (yorumların analiz sonuçlarının geri dönüşümü için muhtemelen her üç ayda bir yineleme gerekir.). Bu noktada beyin fırtınası sayesinde katılımcılar kendi tehditlerini kendileri tespit etmiş ve karşı tedbirleri de kendileri bulmuş gibi hissedeceklerinden güvenlik programlarına daha katılımcı davranacaklardır.

Güvenlik müdürü bu sürece liderlik eder, detaylı perde arkası analizini yürütür ve bu metodoloji için sistemler üretir.

TEMEL GÜVENLİK ÖNLEMLERİ:

Temel Güvenlik Önlemlerinin birçok alternatif içerisinden kullanılması çoğu yanlış ve anormal davranışı, suçu belirler. Kullanılabilecek bu alternatifler; Giriş kontrol sistemleri, Engeller (Bariyerler), Gözetleme, Nöbetçiler, Prosedürler vb. gibidir.

PAKET GÜVENLİK:

Paket güvenlik, kurumun politikaları ile ve bina türlerine göre ne tür güvenliğin ticari güvenlik için kullanılabileceğinin belirlendiği, çok kullanılan bir yaklaşımdır. Bunda, şirket politikası uyarınca zorunlu olan güvenlik önlemleri de içerilebilir. Paket güvenlik genellikle tam zamanlı güvenlik yöneticisi yerine temas kurulan güvenlik noktası bulunan yerlerde bulunur. Dağınık tesisli büyük kuruluşlar için paket güvenlik düzgün çalışabilir.

GÜVENLİK ZAAFİYET ANALİZİ:

Operasyon, iş ya da tesiste; suça fırsat veren güvenlik açıklarının tespit edilmesini sağlayan bir yöntemdir. Bunun etkili olabilmesi için, mevcut yerel suçların bilinir olması gerekmektedir. Güvenlik risk analizi sürecinin ayrılmaz bir parçası olan teorik yaklaşımlarla yürütülür.

Temel Güvenlik Önlemleri, Güvenliğin temelini ve Güvenlik Risk Analizini oluşturur ve ek güvenlik önlemlerinin nerede ve ne zaman gerekli olduğunu belirler. Bu ortak çalışmaya dayalı ve tekrarlı bir metodolojidir, tüm Varlık Sorumlularını kapsar, Güvenlik riskleri; sürekli olarak gözden geçirilir ve özel, uygun, risk orantılı güvenlik önlemleri temel standartlar üzerine inşa edilmiştir.

(Yani tüm kapılar kilit gerektirir, fakat bir suç tehdit oluşturuyorsa ve kapıların alarma ihtiyaç olması yönünde bir önlem gerekiyorsa bunu güvenlik risk analizi belirler.)

Örneğin; Çoğu petrol (gaz) istasyonlarında standard temel güvenlik önlemleri bulunur (CCTV, Kasa, panik düğmeleri, kilitler, Sızma detektörleri vs.). Fakat ne zaman ki risk analizleri soygun riskinin arttığını gösterir, o zaman özellikle gece saatlerinde otomatik dükkân kitleme, kurşungeçirmez bir bölmeden servis verme gibi daha gelişmiş tedbirlere gerek duyulur.

Bilindiği gibi biz güvenlikçiler, “ Asla 100 % güvenlik diye bir şey yoktur.” İfadesini çok sık kullanırız. Aynı durum risk değerlendirmede de benzer şekilde ifade edilir.

Riskler, önceliklendirme ve öncesinden analiz edilme ile azaltılabilir. Asla tam olarak ortadan kaldırılamaz. Bu risk azaltması da, güvenlik önlemlerinin uygulanması, faile suçu daha riskli hale getirmek için çevrenin yeniden şekillendirilmesi (dizayn), bir ticari faaliyeti yürütmek için daha az riskli bir yol bulunması, olasılıkları ve doğal iş zafiyetlerini ortadan kaldırma ve sigorta gibi bir takım yöntemlerle elde edilebilir.

Güvenlik risk analizi, önemli bir kurumsal yönetim aracı olan güvenlik risk yönetiminin genel sürecindeki ilk aşamadır. Güvenlik risk analizi; istenmeyen, genellikle kötü niyetli olayların olasılığını değerlendirme ve potansiyel etkisi ve zafiyetlerine karşı önlemlerin alınma metodolojisini sağlar.

• Varlıkları tanımlamak ve var olan içeriklerini karakterize etmek.
• Olası istenmeyen olayları(tehditler) tanımlamak.
• Her tehdidin olasılığını
• Tehdit oluştuğu zaman varlığa (asset) olası etkilerini belirlemek.
• Bir grafik üzerinde ‘ham’ riskin seviyesini (IRV ya da orta risk değeri olarak da bilinir) belirleyen olasılıkları ve etkileri göstermek.
• Koruma önceliklerini belirlemek için Zafiyete ve kontrol edilebilirliğe karşı ‘ham’ riskin ölçülmesi.

Risk hesaplaması yukarıdaki ölçütlerin yerine getirilmesi ile ortaya konur.

Risk değerlendirmeleri yapılırken genelde bazı hatalara düşülür. Bunların başında riskin tanımlanması gelir. Risk tanımlanırken tanımın içerisinde 3D kuralı dediğimiz olgunun tanım içerisinde yer alması gereklidir. Bu üç olgu; Düşman (saldırgan), Değer (Korunması gereken Asset) ve düşmanın davranışı (Niyeti ve hareket tarzı) dır. Düşman; “kim varlığa zarar vermek isteyebilir?” sorusunun cevabıdır. Değer (Asset); “ hangi organizasyonel veya kişisel varlık (hedef) risk altındadır ?” sorusunun cevabıdır. Davranış ise; “ Düşman ne ve nasıl elde etmeye çalışır?” sorusunun cevabıdır. Görüldüğü gibi bu olguların yan yana getirilerek oluşturulacak risk tanımlaması aslında Saldırının Senaryosu gibidir.

Kurtuluş Savaşı esnasında stratejisini belirlerken Atatürk’ün büyük sözü “ Hattı Müdafaa yoktur. Sathı Müdafaa vardır. O satıh; bütün vatandır.” savunma sanatında, güvenlik açısından da korunma uygulamalarında iki yaklaşımı ortaya koyar. Bir noktanın (hat) korunması ve Genel (satha yaygın) korunma. Özellikle terör tehditleri bağlamında genel koruma devletin icraatları ile sürdürülmektedir. Ancak devlet, her noktaya kendi birlikleri ile bizzat koruma sunamayabilir. Bu noktada görev, şirket güvenlik yöneticilerinin yaklaşımlarına ve özel güvenliklerin işlerini iyi yapmalarına yönelir. Bu iki olgu (Devlet ve Özel Güvenlikler) birleştiğinde her yer (daha geniş alan) korunur olabilir. Aksi takdirde, MÖ.544 – MÖ. 496 yılları arasında yaşamış Çinli Komutan Sun Tzu’nun Savaş Sanatı (Art of War) adlı kitabında da belirttiği gibi “Her şeyi korumaya çalışırsan, hiçbir şeyi koruyamazsın.” Bu bakımdan korumanın bir stratejiye bağlı olması gerekir ve bu stratejiyi de bize Risk Analizleri gösterir.

Risk Analizleri; ihtiyaca göre iki yaklaşımla hazırlanır; Jeopolitik Analiz ve Suç Risk Analizi.

Jeopolitik Analizlerin içerisinde bulunması gereken olgular şunlardır: Yolsuzluk, Siyasi istikrar, Militan hareketi, İşçi sömürüleri, İnsan hakları ihlalleri, Terörizm ve isyan, Toplumsal gerilim ve çatışma, İç huzursuzluk ve sosyal bozukluk, Nüfus sayımı ve işsizlik, Bölgesel istikrar (komşu ülkelerle istikrar)

Suç Risk Analizi ise: Bazen sokak seviyesinde olmakla da birlikte suç patlama durumunu veren hükümet ya da Polis İstatistikleri bu tür bilgileri içerir. Ancak ne yazıktır ki, Güvenlik Müdürlerine yön verebilecek nitelikte, suçların sokak suçu ve ticarete yönelik suç olarak ayrıştırılmaması güvenlik müdürlerine her zaman sorun oluşturur. Yine de her iki istatistik de aynı zamanda çalışanların veya taşeron çalışanların hedefi olma ve bu yönlü suçluluk durumunu içermez. Organizasyonlarda suçluluk genelde kara rakam olarak kalmaktadır.

Buna rağmen suç risk analizlerini ele alırken hem iç hem de dış saldırılar ele alınmalıdır. İçeride çalışanların dışarıdaki suçlularla işbirliği içerisinde olabilecekleri de göz ardı edilmemelidir. İç saldırganlar özellikle çalışan ve taşeron gruplarından çıkar, ki bazı sektörlerde suçluluğun çoğunluğunu onlar oluşturur.

Riskler belirlendikten ve önceliklere göre aksiyon planları oluşturularak riskler minimize edilmeye çalışılırken bu aşamada bazı risk azaltma uygulamaları vardır. Bunlar; Riski transfer etme, Elimine etme, Risk Alma ve Risk indirgemedir.

Transfer: En basit şekliyle bir risk sigortaya transfer edilebilir. Güvenlik Tedbirleri almaktan daha ucuz olabilir. Pratikte, hem sigorta hem güvenlik tedbir kombinasyonu olabilir. Sigorta genelde varlığın defter değerini karşılar. Sigorta kuruluşun varlığının gerçek değerini öngörmez ve sonuçta maruz kalınan kayıp mevcut olmaz. Güvenlik riski sözleşme imzalanan alt şirkete transfer edilebilir ( Örnek CIT [Cash in Transit];Para Nakil Sözleşmeleri).

Eliminasyon: (Ortadan Kaldırma) Bir güvenlik riski bir güvenlik tedbiri ile ortadan kaldırılamaz. En iyi haliyle, risk azaltılabilir. Her şeye rağmen, bir riskin ortadan kaldırılması gerekirse, tek yapılacak şey saldırganı cezbeden mekânı veya uygulamayı bırakmak / terk etmektir. Örneğin: Gidilen yerdeki güvenlik tedbirlerine bağlı kalmaksızın bir ülkede kilit personelin kaçırılması yüksek riskli değerlendiriliyor ve bu risk kabul edilemez ise oraya gidecek yöneticinin gideceği alternatif yerlere bakılması düşünülmelidir.

Risk Alma: Bazı güvenlik riskleri etki bakımından önemsiz ve olabilirlik bakımından da düşüktür ki, bu tür riskler sadece kabul edilebilir. Etkisi önemsiz olan bir risk; örneğin kalem silgi çalınmasıdır. Bu gibi durumlarda çıkış esnasında personelin aranması gerekmez. Düşük olasılıklı ve bu sebeple kabul edilen (tedbir alınmayan) bir örnek ise hoşnutsuz personelin iş yerinde şiddet sergilemesidir. İngiltere’de bu nadirdir. Bazı uzak ülkelerde ise bu çok yoğun yaşandığı için Tedbir Planında yer alması gereklidir.

Risk İndirgeme: Risk indirgemenin en yaygın kullanımı, risk seviyesinin uygun maliyetle hayata geçirilmesidir (İngilizcede ALARP [ As Low As Reasonably Practicable ] olarak bilinir). Bu yaklaşım, suç önleme tedbirleri veya fırsatı ortadan kaldıran güvenlik uygulamaları ile sağlanabilir. Bu süreçlerin çoğu riski indirgeme için kuvvetli güvenlik dizayn prensiplerine dayalı güvenlik önlemlerinin uygulanması yöntemleri ile olur.

Risk indirgemelerinin; Müşteri Erişimi ve Beklentileri, Sağlık, Güvenlik ve Yangın/Can güvenliği yönetmelikleri ve Bütçe Sınırlamaları ile Yerel Şartlar gibi uygulama kısıtlamaları vardır. Planlar yapılırken bunlar da mutlaka göz önünde bulundurulmalıdır.

Yukarıda değişik birçok yerde değindiğimiz gibi güvenlik, içinde bulunulan çevre, yerel olgular ve konumuz insan olduğu için yerel kültürle çok alakalıdır. Dolayısıyla bir bölge içerisinde koruma yapacak koruma müdürü o bölgenin tüm yerel dinamiklerini bilmek durumundadır. İlgili birimlerle beyin fırtınası yaparken de doğru yönlendirmeleri yapabilmelidir. Bu yerellik bilgisi, ilgili birimlerle iyi ve tutarlı ilişkiler bu faaliyetler sürdürülürken can alıcı nokta olurlar. İş kolları ile iletişim, işin sahibi organizasyonun işi bilen personelleri ile tehdidi belirleme noktasında öne çıkar. Güvenlik yöneticileri içine girdikleri organizasyonun işe dayalı dinamikleri öğrenmeleri her zaman ve genelde mümkün olmaz. Bir bankacılık veya Lojistik alanında çalışan bir şirketin güvenlik müdürü o şirketin dinamiklerini tam anlayabilmek için bazen IK, bazen Operasyoncu, bazen Satınalmacı vs. olabilmelidir. Olamayacağı için bu iletişimi sağlamak üzere hem eğiterek bilgi aktarıcı, hem de açık fikirlerle bilgi alıcı vasıf taşımalıdırlar…

Zor ve detay gerektiren bir iş; bu işe gönül verenlere kolaylıklar diliyorum.

Saygılarımla.

Makalemizin yayınlandığı derginin linki için :  Güvenlik Yönetimi Dergisi Sayı 34 Sayfa 55