Kiber təhlükəsizlik seriyamızı, onu mənim Kiber Təhlükəsizliyin Dörd Sütunu ndan istifadə edərək təşkil etmək metodu ilə davam etdiririk və bunu ən yaxşı təcrübə növü olan kiber təhlükəsizlik çərçivələri kontekstində yerləşdiririk. Bu Dörd Sütun insanlar, kompüterlər, məlumatlar və şəbəkələr üzrə təhlükəsizlik təkmilləşdirmələrinə rəhbərlik edir. Biz onları əvvəlki məqalələrdə kiber təhlükəsizliyin digər aspektlərini, xüsusilə də idarəetməni müzakirə edərkən təqdim etmişdik. Biz kiber təhlükəsizliyin idarə edilməsinə vurğu ilə başladıq, çünki bu, hüquq firmaları (və hər hansı digər təşkilat növü) üçün vacibdir. Yaxşı idarəetmə təşkilatı və onun informasiya sistemlərini qorumaq üçün ağlabatan qərarların qəbul edilməsini və lazımi tədbirlərin görülməsini təmin edir. Əgər təşkilatınızda hələ kiber təhlükəsizlik proqramı yoxdursa, əvvəllər qeyd etdiyim kimi, onu qurmaq ilk addım olmalıdır. (Bax: "Firmanızda və ya təşkilatınızda kiber təhlükəsizlik proqramınızı qurun," Reuters Legal News , 15 dekabr 2025). Kiber təhlükəsizlik proqramını bir şəxsi məsul təyin etməklə, yazılı siyasətə sahib olmaqla, təlim keçməklə və davamlı təkmilləşdirməyə diqqət yetirərək kiber təhlükəsizliyi aktiv şəkildə idarə etməklə qurun. Kiber təhlükəsizliyin idarə edilməsi prosesində əsaslar var ki, bu da görüləcək onlarla iş deməkdir. Onları təşkil etmək bir çərçivə vasitəsilə asanlaşdırılır. Fərdlərə və ailələrə siyasət və ya proqram lazım deyil, lakin yenə də kiber təhlükəsizliyə ehtiyac duyurlar, buna görə də idarəetmə rəsmiliklərini atlayıb bu Dörd Sütun la başlaya bilərlər. Kiber təhlükəsizlik çərçivələri, təşkilatların öz kiber təhlükəsizliklərini necə idarə edəcəklərinə qərar verərkən izləyə biləcəyi və ya uyğunlaşdıra biləcəyi əsasən ən yaxşı təcrübələrdir. Keyfiyyətli, yazılı ən yaxşı təcrübələr "təkəri yenidən icad etmək" ehtiyacını azaldır. Daha geniş desək, onlar avtomobilin özünü icad etmək və ya qurmaq ehtiyacını azaldır. Yenə də, bu çərçivələr təhlükəsizliyi avtomatik olaraq təmin edən və sizin üçün qərarlar verən sehrli düymələr deyil. Avtomobil sürülmək və istifadə edilmək üçündür, lakin təşkilat hələ də avtomobili necə saxlamaq və sürmək barədə qərar verməlidir. Bir çox kiber təhlükəsizlik çərçivələri var və təşkilatlar onları izləyə, uyğunlaşdıra və ya nəzərə almamalıdır. Mənim siyasət işi dilimdə, bu çərçivələr "xarici rəhbərlik" hesab olunur, çünki onlar təşkilatdan kənardan gəlir və məcburi deyil. Əksinə, kiber təhlükəsizliklə bağlı qanun, tənzimləmə və ya peşəkar məsuliyyət təşkilat üçün uyğun olmaq üçün məcburi olacaq və bunlar mənim siyasət işi lüğətimdə "xarici qaydalar" hesab olunur. Ən məşhur çərçivələrdən biri Milli Standartlar və Texnologiya İnstitutu (NIST) tərəfindən hazırlanmış Kiber Təhlükəsizlik Çərçivəsi (CSF) dir. O, vergi ödəyicilərimizin pulları ilə maliyyələşdirilir və qeydiyyat və ya lisenziya müqaviləsi olmadan pulsuz yüklənə bilər. NIST CSF əladır və bir çox resurslarla gəlir. Yenə də, kiber təhlükəsizlik və ya informasiya texnologiyaları sahəsində daxili təcrübəsi olmayan təşkilatlar onu çətin tapacaq və çətin öyrənmə əyrisini aşmalı olacaqlar. NIST CSF altı əsas kateqoriyaya ("funksiyalar" adlanır) malikdir və bunlar daha sonra 21 kateqoriyaya bölünür. Bu kateqoriyaların nəyi əhatə etdiyini və onlarla necə işləməyi anlamaq üçün vaxt sərmayəsi – xüsusilə də qeyri-mütəxəssis üçün – tələb olunacaq. Bu çərçivə sadə başlayır və əsaslar ilk izahatla başa düşüləndir. Zamanla davamlı təkmilləşdirmələr vasitəsilə daha böyük dəqiqləşdirmə və anlama mümkündür. Dörd Sütun davamlı bir prosesi əhatə edir: •Şəbəkələri və İnternet dən istifadəni təmin etmək. Bu proses heç vaxt bitmir. Təşkilatlar sadəcə "Biz təhlükəsizikmi?" və ya "Biz uyğun gəlirikmi?" kimi suallara ikili cavablar istəmirlər, əksinə "Necə təkmilləşdirə bilərik?" sualını verirlər. Bilik və məlumatlılıq ilk növbədə gəlir, çünki kiber təhlükəsizlik insanların verdiyi qərarlarla bağlıdır. Bu, işçiyə linkə klikləmək, əlavəni açmaq, pul köçürmə təlimatlarını göndərmək və ya bank köçürməsini göndərmək barədə qərar verməyə kömək edir. Bu, həmçinin idarəedici tərəfdaşa (və ya digər təşkilat rəhbərinə) təşkilatın informasiya sistemləri üçün ən yaxşı yolu müəyyən etməyə; kimin məsuliyyətə cəlb ediləcəyini, satıcını necə seçəcəyini və ciddi kiber insident zamanı nə edəcəyini qərar verməyə kömək edir. Möhkəm bilik və ya məlumatlılığın olmaması pis qərarların ardınca gələ bilər. Onlar ilk növbədə kiber təhlükəsizlik proqramı qurmağı laqeyd edə bilər, onu saxlaya bilməz, iki faktorlu autentifikasiyanı tətbiq edə bilməz və ya pul köçürmələrini qoruya bilməz. Əksinə, hüquqi tələblər, ən yaxşı təcrübələr və informasiya təhlükəsizliyi əsasları haqqında möhkəm biliyə malik təşkilatlar texnologiya və kiber təhlükəsizliklə bağlı ağlabatan qərarlar qəbul etmək və beləliklə, informasiya sistemlərini effektiv şəkildə idarə etmək üçün yaxşı təchiz olunmuşdurlar. Kompüter cihazlarının qorunması və təhlükəsizliyinin təmin edilməsi növbəti addımdır, o cümlədən smartfonlar , planşetlər , noutbuklar , masaüstü kompüterlər və serverlər daxil olmaqla, onların necə təmin edilməsi barədə ağlabatan qərarlar qəbul edilir. Cihazda təhlükəsizlik alışdan başlayır və satıldığı və ya təkrar emal edildiyi zaman bitir. Cihaz bir siyahıya (inventar) daxil edilməlidir, çünki təşkilat onu düzgün şəkildə təmin etmək üçün onun haqqında bilməlidir. Cihaz əvvəldən təhlükəsiz şəkildə konfiqurasiya edilməlidir, o cümlədən klaviatura və ya ekrandan icazəsiz girişdən qorunmaq üçün (məsələn, istifadə edilmədikdə özünü kilidlədiyinə əmin olmaq) və internetdən qorunmaq üçün. Cihazın əməliyyat sistemi yenilənməlidir və təşkilat hansı tətbiqlərin (proqramların) yükləndiyini nəzərdən keçirməlidir, çünki hər bir tətbiq bir riskdir. Tətbiqlər yenilənməli və cihaz zərərli proqramlardan və digər təhdidlərdən qorunmalıdır. İnsan cihazla ehtiyatlı davranmalıdır, o cümlədən fiziki təhlükəsizlik, çünki itirilmiş və ya oğurlanmış cihaz təhlükəsizlik riski və inzibati yükdür. Cihaz diqqətlə istifadə edilməlidir. Şirkət sedanını ekstremal off-road şəraitində sürməzdiniz və internetdə də kompüterinizi aparmamalı olduğunuz yerlər var. Məlumatlarımızın qorunması növbəti addımdır və o, hər yerdədir. Bir çoxları üçün məlumatlarımızın əksəriyyəti Microsoft və ya Google kimi nəhəng texnologiya şirkətlərinin bulud hesablarındadır və bura e-poçt mesajlarımız, sənədlərimiz, elektron cədvəllərimiz, çat mesajlarımız və daha çoxu daxildir. Məlumatlar həmçinin cihazlarda, xarici sərt disklərdə və serverlərdədir. Məlumatlar həmçinin indi saxlamaq və təmin etmək məcburiyyətində olduğumuz onlarla və ya yüzlərlə onlayn hesabda mövcuddur. Sosial mediadan biznes əməliyyatlarına, hüquqi tədqiqatlara, telefon və internet xidməti hesablarına qədər. Bir çox onlayn hesab işləri görmək və ya xidmətləri saxlamaq üçün portallardır ki, bu da giriş və təhlükəsizliyin vacib olduğunu göstərir. Bəzən məlumatlarımız və hesablarımız haqqında çox gec olana qədər unuduruq, məlumatlar sızdırıldıqda və ya fidyə tələb edildikdə, onlayn hesab ələ keçirildikdə, xidməti yeniləməyi unutduqda və ya hesaba girişi olan işçi əlçatmaz olduqda. Şəbəkələrimizin təhlükəsizliyini təmin etmək və internetdən necə istifadə etməyimiz dördüncü sütunumuzdur. Məlumatlarımızın cihazlarımıza gedib-gəlmə marşrutu və bu marşrutun təhlükəsizliyi barədə müəyyən məlumatlılıq olmalıdır. Etibarsız Wi-Fi şəbəkəsinə qoşulmaq riskdir, bəzi ictimai Wi-Fi yerləri də həmçinin. Şəbəkə texnologiyası və təhlükəsizliyinin detallarını başqa vaxta saxlayacağıq, lakin avtomobil analoqu təklif edirik. Əgər məlumatlarınız avtobusla səyahət edirsə, avtobusun yaxşı saxlanmasını, etibarlı bir şirkət tərəfindən idarə olunmasını, sükan arxasında dincəlmiş və səriştəli sürücünün təhlükəsiz marşrutla getməsini istəyirsiniz. Kiber təhlükəsizlik heç vaxt tamamlanmır və davamlı təkmilləşdirmə prosesidir. Hər bir sütun qanunlar, texnologiya, informasiya sistemlərimiz, təhdidlər və bu təhdidləri həll etmək üçün seçimlər haqqında daha yaxşı anlayış üçün həmişə yer olduğundan, dövri nəzərdən keçirməyə və diqqətə ehtiyac duyur. Gələcək bir sütunda informasiya sistemləriniz haqqında kəşf səyahətinin daha çox detalları ilə, hər bir sütunla uyğunlaşdırılmış şəkildə qayıdacağam. Bu səyahət daha sadə dillə "inventar" kimi tanınır və bu əyləncəli səslənməyə bilər, lakin vacibdir və nəticədə mükafatlandırıcıdır – informasiya sistemlərinizin idarə edilməsinə doğru bir addımdır. Məsələn, əgər bir təşkilat kompüter cihazlarının siyahısını təqdim edə bilmirsə, o zaman onları düzgün şəkildə təmin etməyə bilər, kimə təyin olunduğunu bilməyə bilər və ya itirildikdə və ya oğurlandıqda onları bildirməyə bilər. Bu Dörd Sütun , yuxarıda qeyd olunan 2025-ci ilin dekabr məqaləmdə müzakirə edilən, özünüz qura biləcəyiniz kiber təhlükəsizlik proqramına daxil edilmişdir. Qorxu və ya qeyri-müəyyənliyin sizi geri çəkməsinə icazə verməyin, bu gün təkmilləşmək üçün bir addım atın, firmanızı təkmilləşdirin və bir qədər rahatlıq əldə edin. John Bandler , Reuters Legal News və Westlaw Today üçün kiber cinayətkarlıq və kiber təhlükəsizlik üzrə müntəzəm köşə yazarıdır.