Finansal güvenlik çoğu zaman “ölçülebilen” üzerinden yönetilir.
– kaç saldırı engellendi, – kaç şüpheli işlem yakalandı, – kaç giriş denemesi bloklandı.
Bu metrikler değerlidir.
Ama eksiktir.
Çünkü finansal kayıpların önemli bir kısmı, tam da ölçülemeyen alanlarda birikir.
Ölçülebilen Güvenlik Neyi Kapsar?
Finansal sistemler en iyi şunları ölçer:
– kimlik doğrulama başarısı, – cihaz ve oturum verileri, – işlem tutarlılığı, – anomali skorları, – fraud kuralları ve eşikler.
Bu alanlar sayısallaştırılabilir.
Log’a düşer.
Grafiğe girer.
Ancak güvenlik, sadece log’lardan oluşmaz.
Karar Niyeti Ölçülemez
Bir kullanıcı işlemi yaparken sistem şunu görür:
– doğru şifre, – doğru cihaz, – doğru adımlar.
Ama şunu göremez:
Kullanıcı bu kararı neden aldı?
– kendi isteğiyle mi, – yönlendirilerek mi, – korkutularak mı, – acele ettirilerek mi?
Niyet ölçülemediğinde, yetkili işlemler en büyük kör nokta hâline gelir.
Psikolojik Durum Ölçülemez
Finansal kararların büyük kısmı, sakin bir zihinle verilmez.
– stres, – panik, – utanç, – kaybetme korkusu.
Sistem bu duyguları ölçemez.
Oysa bu duygular:
– hızlanmayı, – sorgulamayı bırakmayı, – “hemen yap” refleksini
tetikler.
Bu yüzden ölçülemeyen psikoloji, ölçülebilen güvenliği aşar.
Bağlamın Büyük Kısmı Log’a Düşmez
Bir işlem log’da şöyle görünür:
– 7.500 TL EFT, – alıcı IBAN, – saat 14:32.
Ama bağlam şudur:
– kullanıcı az önce “hesabınız inceleniyor” mesajı aldı, – telefonda biri baskı kurdu, – ekran paylaşımı yaptırıldı.
Bu bağlamın çoğu sistemde kaydı yoktur.
Bağlam ölçülemediğinde, risk “normal işlem” gibi görünür.
Alışkanlığın Ürettiği Körlük Ölçülemez
Tekrarlanan onaylar, uyarılar, ekranlar…
Zamanla kullanıcıda şu oluşur:
– otomatik tıklama, – okumadan geçme, – refleksle onay verme.
Sistem bunu “başarı” sayar:
– akış hızlı, – işlem tamam.
Ama bu hızın nedeni, güvenlik değil alışkanlıktır.
Alışkanlık kaynaklı körlük çoğu zaman ölçülemez.
Güven Yanılgısı Ölçülemez
Bir sistem uzun süre sorunsuz çalışınca, kullanıcı güveni “varsayım” hâline getirir:
“Burada risk olmaz.”
Bu psikolojik eşik ölçülemez.
Ama güvenlik üzerinde etkisi büyüktür.
Çünkü sorgulama bittiğinde, koruma zayıflar.
“Anladı mı?” Sorusu Ölçülemez
Sistem uyarıyı gösterir.
Kullanıcı “kabul”e basar.
Log’da görev tamamdır.
Ama kritik soru şudur:
Kullanıcı gerçekten anladı mı?
Anlama, ölçülemeyen alanlardan biridir.
Bu nedenle birçok uyarı, hukuken var olup davranışsal olarak etkisiz kalır.
Yanlış Metrikler, Doğru Riski Gizler
Bir sistem başarıyı şu metriklerle ölçtüğünde:
– daha hızlı işlem, – daha az sürtünme, – daha yüksek tamamlanma oranı
şu risk görünmezleşir:
Kullanıcı düşünmeden ilerliyor olabilir.
Ölçülen şey arttıkça, ölçülmeyen risk büyüyebilir.
En Büyük Yanılgı
“Ölçemediğimiz şey yoktur.”
Finansal güvenliğin en kritik kısmı, çoğu zaman ölçülemez.
Ölçülemeyen alanlar yok olmaz.
Sadece raporların dışında kalır.
Finansal güvenliğin ölçülemediği alanlar;
– karar niyeti, – psikolojik durum, – işlem bağlamı, – alışkanlığın körleştirdiği anlar, – kullanıcı anlama düzeyi, – güven yanılgısı
gibi başlıklarda toplanır.
Gerçek finansal güvenlik;
sadece ölçülebileni iyileştirmekle değil, ölçülemeyeni de hesaba katabilen bir bakışla mümkün olur.
Sessiz güç, net etki tam da burada başlar:
raporlanan risklere değil, rapora girmeyen risk alanlarına da aynı ciddiyetle bakabilmekte.
