Dilin Karmaşıklığı ve "Hukuki" Üslup
Uzunluk ve Sıkıcılık
Uygulanamaz Kurallar (Gerçeklikten Kopukluk)
"Neden" Sorusunun Cevapsız Kalması
Çoğu politika belgesi; ağır teknik terimler, karmaşık siber güvenlik jargonu veya aşırı resmi bir hukuk diliyle yazılır. Ortalama bir çalışan, "Veri bütünlüğünün kriptografik metotlarla korunması" gibi bir cümleyi okuduğunda, bunun kendi işiyle olan bağlantısını kuramaz ve okumayı bırakır.
Onlarca sayfadan oluşan, görsel içermeyen ve düz metin yığınlarından ibaret dokümanlar kullanıcıyı korkutur. Çalışanlar, acil işleri varken 50 sayfalık bir "Güvenli Kullanım Kılavuzu"nu okumaya vakit ayırmayı verimsizlik olarak görürler.
Politikalar bazen iş süreçlerini o kadar kısıtlar ki, çalışan işini yapabilmek için bu kuralları "etrafından dolanarak" aşmak zorunda kalır. Örneğin; her 15 günde bir 20 karakterli şifre değiştirme zorunluluğu getirilirse, çalışan bu şifreyi bir post-it kağıdına yazıp monitörüne yapıştırır. Bu durum, politikanın kağıt üzerinde kaldığını gösterir.
Çalışanlara sadece "Şunu yapma!" denir ama "Neden yapmamalısın?" veya "Bunu yaparsan şirkete ne olur?" açıklanmaz. Riski ve kişisel sorumluluğu anlamayan çalışan, kuralları sadece birer "bürokratik yük" olarak algılar.
Sonuç olarak politikaları okunur kılmak için dokümanları görselleştirmek, kısa videolarla desteklemek ve kuralları "eğer bunu yaparsan şu risk doğar" şeklinde somut örneklerle açıklamak gerekir.
Siber Güvenlik Politikaları Neden Okunmaz?