Tesis Güvenliğinde "İnsan Faktörü" Zafiyeti
Güvenlik Neden Teknolojiyle Başlayıp İnsanla Biter?
Tesis güvenliği söz konusu olduğunda ilk refleks çoğu zaman teknolojiye yönelmek olur. Daha gelişmiş kameralar, daha hassas algılayıcılar, daha karmaşık yazılımlar… Yatırım listeleri uzadıkça güvenliğin de aynı ölçüde arttığı varsayılır. Oysa sahadaki gerçeklik, bu doğrusal ilişkiyi çoğu zaman boşa çıkarır.
Güvenlik sistemleri ne kadar gelişmiş olursa olsun, onları kullanan, yorumlayan ve anlamlandıran insanla sınırlıdır. Kamera görüntüsünü izleyen göz, alarmı değerlendiren zihin ve prosedürü uygulayan irade devreye girmediği sürece teknoloji yalnızca pasif bir altyapıdan ibaret kalır. Bu nedenle güvenlik, teknik bir sistem olarak başlasa bile pratikte insan davranışıyla tamamlanır.
İnsan faktörü çoğu zaman yalnızca "hata" üzerinden ele alınır. Oysa asıl mesele hata değildir; insanın sistemle kurduğu ilişkidir. Aynı personel, doğru bağlamda ve doğru destekle yüksek farkındalık gösterebilirken; yanlış tasarlanmış bir sistem içinde en temel görevleri bile otomatikleştirip sorgulamamaya başlayabilir. Bu noktada zafiyet, kişinin niyetinden değil, sistemin insanı nasıl konumlandırdığından doğar.
Tesis güvenliğinde yaşanan birçok zafiyetin ortak özelliği, teknolojinin varlığına rağmen fark edilmemesidir. Alarm çalmıştır ama önemsenmemiştir. Kamera kayıt almıştır ama kimse bakmamıştır. Prosedür yazılıdır ama rutin içinde anlamını yitirmiştir. Bu örnekler, teknolojinin başarısızlığından çok; insanın sistem içinde nasıl "alıştığını" gösterir.
Bu nedenle insan faktörü, güvenlik zincirinin en zayıf halkası olarak tanımlandığında sorun yanlış yerde aranır. İnsan, zayıf olduğu için değil; yanlış varsayımlarla sistemin içine yerleştirildiği için zafiyet üretir. Güvenliği yalnızca donanım ve yazılım üzerinden okumak, bu gerçeği görünmez kılar.
Tesis güvenliği, teknolojiyle başlar gibi görünse de aslında insanla başlar ve insanla biter. Güvenliği sürdürülebilir kılan şey; sistemlerin ne kadar gelişmiş olduğu değil, bu sistemlerin insan davranışıyla ne kadar uyumlu tasarlandığıdır. İnsan faktörü doğru okunmadığında, en pahalı güvenlik altyapısı bile yalnızca maliyet kalemi olarak kalır.
"İnsan Faktörü" Ne Demektir, Ne Değildir?
Tesis güvenliğinde bir aksaklık yaşandığında ilk söylenen cümle genellikle aynıdır: "İnsan hatası." Bu ifade, sorunu tanımlamaktan çok kapatır. Çünkü "insan faktörü" denildiğinde çoğu zaman bireysel bir dikkatsizlik, kurallara uymama ya da kişisel yetersizlik ima edilir. Oysa bu yaklaşım, meselenin büyük bölümünü gözden kaçırır.
İnsan faktörü, tek başına bir kişinin yaptığı yanlış değildir. Daha çok, insanın içinde çalıştığı sistemle kurduğu ilişkinin doğal sonucudur. Aynı kişi, farklı bir ortamda, farklı bir organizasyon içinde bambaşka bir performans sergileyebilir. Bu nedenle insan faktörünü yalnızca bireysel hata üzerinden okumak, güvenlik zafiyetini yanlış yerde aramak anlamına gelir.
Bir diğer yaygın yanılgı, insan faktörünü kasıtla eşitlemektir. Oysa tesis güvenliğinde karşılaşılan sorunların büyük bölümü bilinçli ihlallerden değil, alışkanlıklardan ve rutinlerden kaynaklanır. Tekrarlanan görevler, zamanla sorgulamayı ortadan kaldırır. Prosedür uygulanır, ancak neden uygulandığı unutulur. Bu noktada insan, hatalı olduğu için değil; alıştığı için risk üretmeye başlar.
İnsan faktörü aynı zamanda yalnızca "düşük nitelik" meselesi de değildir. Eğitimli, deneyimli ve iyi niyetli personel bile yanlış kurgulanmış bir sistem içinde zafiyet üretebilir. Karmaşık teknolojiler, anlaşılması güç arayüzler ve gerçek iş akışıyla örtüşmeyen prosedürler, insanı sistemin bir parçası olmaktan çıkarıp sistemin yükünü taşıyan bir unsura dönüştürür.
Bu nedenle insan faktörü, güvenlik zincirinin zayıf halkası olarak etiketlenmemelidir. İnsan, sistemin son halkasıdır. Önceki halkalar doğru tasarlanmadığında, son halkadan kusursuz performans beklemek gerçekçi değildir. İnsan faktörü zafiyeti denilen şey, çoğu zaman tasarım, eğitim ve yönetim kararlarının gecikmeli bir yansımasıdır.
İnsan faktörünü doğru okumak, suçlu aramaktan vazgeçmeyi gerektirir. Soru "kim hata yaptı?" değil; "bu hata neden mümkün oldu?" olmalıdır. Bu soru sorulmadıkça, aynı kişilerle aynı sistemler içinde benzer zafiyetler tekrar tekrar ortaya çıkar. İnsan değişmediği için değil; sistem kendini yeniden üretmediği için.
Tesis güvenliğinde insan faktörü, ne bir mazerettir ne de kaçınılmaz bir kusur. Doğru anlaşıldığında, sistemin en öngörülebilir ve geliştirilebilir bileşenlerinden biridir. Ancak bunun için insanı sorunun kendisi değil, çözümün parçası olarak görmek gerekir.
Teknoloji–İnsan Uyumsuzluğu
Tesis güvenliğinde teknoloji ile insan arasındaki sorun, çoğu zaman "teknoloji yetersiz" ya da "personel yetersiz" şeklinde açıklanır. Oysa pratikte yaşanan zafiyetlerin önemli bir bölümü, bu ikisinin birbirine uygun tasarlanmamış olmasından kaynaklanır. Sistem çalışıyordur, personel de oradadır; ama ikisi aynı dili konuşmuyordur.
Güvenlik teknolojileri çoğu zaman ideal senaryolar üzerinden tasarlanır. Kullanıcının dikkatli olduğu, prosedürü eksiksiz bildiği, alarm geldiğinde doğru önceliklendirmeyi yaptığı varsayılır. Sahadaki gerçeklik ise daha dağınıktır. Aynı anda birden fazla görev, dikkat dağıtıcı unsurlar, zaman baskısı ve rutinler devrededir. Bu ortamda teknoloji, insanın kapasitesine göre değil; insan teknolojinin yüküne göre konumlanır.
Uyumsuzluğun ilk belirtisi karmaşıklıktır. Çok katmanlı ekranlar, anlamı net olmayan uyarılar ve gereğinden fazla alarm, personelin dikkatini artırmak yerine köreltir. Bir süre sonra sistem "arka plan gürültüsü"ne dönüşür. Alarm çalar ama alarm olma özelliğini kaybeder. Kamera kayıt alır ama izlenmez. Sistem çalışır; güvenlik üretmez.
Bu noktada sıkça "kullanıcı hatası" denilen şey ortaya çıkar. Oysa çoğu zaman ortada bir hata değil, öngörülebilir bir davranış vardır. İnsan, anlamlandıramadığı ya da sürekli yanlış alarm üreten bir sistemi ciddiye almamayı öğrenir. Bu öğrenme, bilinçli bir ihlal değil; uyum sağlama refleksidir. Sistem insanı eğitmez; insan sistemi tolere etmeye başlar.
Bir diğer uyumsuzluk, prosedürlerle gerçek iş akışı arasındadır. Kâğıt üzerinde kusursuz görünen güvenlik adımları, sahada uygulanabilir olmayabilir. Personel bu durumda iki seçenekle karşı karşıya kalır: Ya işi aksatacak şekilde prosedüre birebir uyacak ya da işi yürütmek için prosedürü esnetecek. Çoğu zaman ikinci yol seçilir. Böylece sistem, fark edilmeden kendi etrafından dolaşılan bir yapıya dönüşür.
Teknoloji–insan uyumsuzluğunun en görünmez sonucu ise sorumluluk algısının kaymasıdır. Personel, "sistem var, yakalar" düşüncesine kapıldığında bireysel dikkat geri çekilir. Teknoloji, destekleyici bir araç olmaktan çıkar; zihinsel yükü devralması beklenen bir garantör haline gelir. Ancak teknoloji karar vermez, yalnızca veri üretir. Karar noktası yine insandır; ama bu gerçek çoğu zaman unutulur.
Bu nedenle tesis güvenliğinde sorun, teknolojinin varlığı ya da yokluğu değil; insanın o teknolojiyle nasıl baş başa bırakıldığıdır. İnsan kapasitesi, dikkat süresi ve karar verme biçimi hesaba katılmadan kurulan her sistem, kendi zafiyetini üretir. Teknoloji insanı güçlendirmediği noktada, onu yavaşlatır ve körleştirir.
İnsanla uyumlu olmayan bir güvenlik sistemi, ne kadar gelişmiş olursa olsun kırılgandır. Çünkü zafiyet, sistemin dışından değil; günlük kullanımın içinden doğar. Ve bu zafiyetler, genellikle bir saldırıyla değil, sıradan bir vardiya günüyle başlar.
Eğitim Eksikliği mi, Eğitim Yanılsaması mı?
Tesis güvenliğinde bir zafiyet ortaya çıktığında sıkça duyulan savunma cümlelerinden biri şudur: "Personel eğitimliydi." Bu ifade çoğu zaman doğrudur; ama aynı zamanda yanıltıcıdır. Çünkü eğitimli olmak, her zaman hazır olmak anlamına gelmez.
Güvenlik eğitimlerinin büyük bir bölümü bilgi aktarmaya odaklanır. Prosedürler anlatılır, cihazların nasıl çalıştığı gösterilir, yapılması ve yapılmaması gerekenler sıralanır. Eğitim tamamlanır, katılım listesi imzalanır. Kâğıt üzerinde sorun yoktur. Ancak sahada, bu bilginin ne kadarının gerçekten kullanıma dönüştüğü nadiren sorgulanır.
Buradaki temel problem, eğitimin çoğu zaman gerçek bağlamdan kopuk olmasıdır. Eğitim ortamı sakindir; sahadaki ortam değildir. Eğitimde zaman vardır; sahada çoğu zaman yoktur. Eğitimde senaryo nettir; sahada durumlar bulanıktır. Bu kopukluk, personelin kriz anında bildiğini değil, alıştığını yapmasına neden olur.
Bir diğer yaygın yanılsama, eğitimin bir kez verilmesinin yeterli olduğudur. Oysa güvenlikte öğrenme doğrusal değildir. Tekrarlanmayan, güncellenmeyen ve tartışılmayan bilgi hızla körelir. Personel prosedürü hatırlasa bile, prosedürün neden o şekilde kurgulandığını unutur. Neden unutulduğunda, uygulama da anlamını kaybeder.
Eğitim yanılsamasının en tehlikeli sonucu, sahada sessizce ortaya çıkar. Personel kendini "eğitimli" olarak tanımlar ama belirsiz bir durumda karar vermekten kaçınır. Çünkü eğitim, ona ne yapacağını öğretmiştir; ne zaman sorgulaması gerektiğini değil. Bu durumda eğitim, farkındalık üretmek yerine bir tür güvenlik konforu sağlar.
Bir başka sorun da eğitimin tek yönlü olmasıdır. Anlatan vardır, dinleyen vardır. Ancak güvenlikte asıl değerli olan, personelin soru sorması, tereddütlerini dile getirmesi ve gri alanları konuşabilmesidir. Bu alanlar konuşulmadığında, eğitim kusursuz görünür ama kırılgan hale gelir. Çünkü sahada karşılaşılan zorluklar, eğitim salonunda hiç telaffuz edilmemiştir.
Eğitim eksikliği ile eğitim yanılsaması arasındaki fark tam olarak burada ortaya çıkar. Eksik eğitim fark edilir; talep edilir. Eğitim yanılsaması ise fark edilmez; çünkü herkes görevini yaptığını düşünür. Bu yanılsama, teknolojik yatırımlar kadar sessiz ve pahalı bir zafiyet üretir.
Tesis güvenliğinde etkili eğitim, personeli hatasız hale getirmez. Ama personelin hangi durumda hata yapmaya daha açık olduğunu görmesini sağlar. Eğitim, cevap vermekten çok soru üretmeye başladığında; prosedür ezberletmekten çok düşünce disiplini kazandırdığında anlam kazanır. Aksi halde eğitim, güvenliği artırmaz; yalnızca güvenli olduğu hissini üretir.
Motivasyon, Alışkanlık ve Rutin Körlüğü
Tesis güvenliğinde zafiyetler çoğu zaman ani bir hata ya da dramatik bir ihmal sonucu ortaya çıkmaz. Aksine, sessiz ve yavaş bir süreçle oluşur. Günler, haftalar, aylar boyunca hiçbir şey olmaz. Sistem çalışır, vardiyalar tamamlanır, raporlar kapanır. Tam da bu süreklilik, fark edilmesi en zor ama en tehlikeli zafiyeti üretir: rutin körlüğü.
İnsan zihni tekrar eden durumlara hızla uyum sağlar. Bu uyum, günlük hayatı kolaylaştırır; ancak güvenlik söz konusu olduğunda risklidir. Aynı kapıdan her gün aynı kişiler geçer, aynı alarm defalarca yanlış sinyal verir, aynı kamera görüntüsü saatlerce değişmez. Zamanla "olağan dışı" olan, olağan hale gelir. Tehdit yoktur çünkü bugüne kadar ortaya çıkmamıştır.
Motivasyon bu noktada kritik bir rol oynar. Güvenlik personeli çoğu zaman yaptığı işin sonucunu görmez. Başarı, görünmezdir; çünkü bir şey olmaması başarı olarak kayda geçmez. Bu durum, zamanla işin anlamını aşındırır. Personel görevini yapar ama neden yaptığını sorgulamayı bırakır. Güvenlik, bilinçli bir faaliyet olmaktan çıkar; mekanik bir rutine dönüşür.
Rutin körlüğünün en belirgin göstergelerinden biri alarm yorgunluğudur. Sürekli uyarı veren, ancak nadiren gerçek bir duruma işaret eden sistemler, personelin reflekslerini köreltir. İlk başta dikkatle incelenen sinyaller, zamanla arka plan gürültüsü haline gelir. Alarm çalar; ama zihinde karşılığı kalmaz. Bu noktada sorun, personelin umursamazlığı değil; sistemin insan davranışını hesaba katmamasıdır.
Alışkanlıklar yalnızca dikkati değil, karar alma cesaretini de etkiler. Uzun süre sorunsuz çalışan bir sistemde, "alışılmışın dışına çıkma" isteği azalır. Şüpheli bir durum fark edilse bile, "yanlış alarm çıkarma" endişesi baskın hale gelir. Müdahale etmek yerine görmezden gelmek, en az sorun çıkaran seçenek gibi görünür. Bu tercih, çoğu zaman bilinçli değil; öğrenilmiş bir davranıştır.
Rutin körlüğü, bireysel bir zafiyet olarak ele alındığında çözümsüz kalır. Çünkü aynı ortamda, aynı şartlar altında çalışan herkes benzer davranış kalıplarını geliştirir. Bu nedenle mesele, "daha dikkatli olun" çağrılarıyla çözülemez. Dikkat, motivasyonla ve anlamla beslenir. Anlam kaybolduğunda, en deneyimli personel bile körleşir.
Tesis güvenliğinde sürdürülebilir farkındalık, rutini tamamen ortadan kaldırmakla değil; rutini bilinçli olarak bozmakla mümkündür. Beklenmeyen sorular, küçük senaryolar, kısa geri bildirimler ve neden–sonuç ilişkisini hatırlatan hatırlatmalar, körlüğü azaltır. Ama bunlar yapılmadığında, sistem kendi içinde sessizce gevşer.
Motivasyon düşüşü, alışkanlık ve rutin körlüğü; teknolojik bir arıza gibi aniden fark edilmez. Ancak etkisi çok daha derindir. Çünkü bu zafiyet, güvenliği dışarıdan değil; içeriden aşındırır. Ve çoğu zaman fark edildiğinde, artık çok geçtir.
Yetki, Sorumluluk ve Sahiplenme Sorunu
Tesis güvenliğinde zafiyetlerin önemli bir bölümü ne teknolojiden ne de doğrudan insan hatasından kaynaklanır. Asıl kırılma, yetki ile sorumluluk arasındaki boşlukta oluşur. Bir görev vardır ama sınırları net değildir. Bir yetki tanımlanmıştır ama arkasında durulup durulmayacağı belirsizdir. Bu belirsizlik, zamanla en sessiz ama en kalıcı zafiyetlerden birini üretir.
Güvenlik personelinin sıkça içine düştüğü ikilem şudur: "Müdahale edebilirim ama etmeli miyim?" Yetki kâğıt üzerinde vardır; ancak pratikte kararın bedelini kimin ödeyeceği net değildir. Bu noktada personel, riski tehditten çok kendi üzerine alıp almayacağını düşünmeye başlar. Güvenlik refleksi, yerini kişisel korunma refleksine bırakır.
Sorumluluk meselesi de çoğu zaman parçalıdır. Bir olay yaşandığında herkes sürecin bir kısmına işaret eder, ancak bütününe sahip çıkan olmaz. Kamera vardır ama izleyen başkadır. Alarm çalmıştır ama değerlendiren farklıdır. Prosedür yazılıdır ama uygulayan yalnızdır. Bu parçalanmışlık, güvenlik zincirini kırılgan hale getirir. Çünkü herkes görevini yapmıştır; ama kimse süreci sahiplenmemiştir.
Sahiplenme, görev tanımından farklıdır. Bir işi yapmak ile o işin sonucunu üstlenmek aynı şey değildir. Tesis güvenliğinde birçok personel, kendisinden beklenen minimumu yerine getirir. Bu çoğu zaman bilinçli bir umursamazlık değil; öğrenilmiş bir davranıştır. Çünkü inisiyatif almanın ödüllendirilmediği, hatanın ise kişiselleştirildiği ortamlarda sahiplenme doğal olarak geri çekilir.
Yetki–sorumluluk dengesizliği en çok gri alanlarda görünür hale gelir. Net bir ihlal yoktur ama rahatsız edici bir durum vardır. Prosedür açık bir cevap sunmaz. Bu noktada personel, sistemi korumak ile kendini korumak arasında seçim yapmak zorunda kalır. Çoğu zaman sessizce geri adım atılır. Çünkü "hiçbir şey yapmamak", sonradan açıklaması en kolay seçenektir.
Bu durum, zamanla kurumsal bir dile dönüşür. "Benim işim değil", "üstler bakar", "sistem var zaten" gibi cümleler, zafiyetin açık ifadesi değildir; ama güçlü işaretleridir. Güvenlik kültürü, tam da bu cümlelerin ne kadar rahat kurulduğuyla ölçülür. Sahiplenmenin zayıfladığı yerde, teknoloji ve prosedür yalnız kalır.
Yetki ve sorumluluk arasındaki boşluk, eğitimle tek başına kapatılamaz. Bu boşluk, liderlik tutumlarıyla ve günlük pratiklerle doldurulur. Bir karar sonrası kimin arkasında durulduğu, hangi sistemsel derslerin çıkarıldığı ve hatanın nasıl ele alındığı; personelin bir sonraki sefer nasıl davranacağını belirler. Yazılı kurallardan çok, yaşanan deneyimler öğreticidir.
Tesis güvenliğinde gerçek sahiplenme, "inisiyatif al" demekle oluşmaz. Personelin, makul ve gerekçeli bir karar aldığında yalnız bırakılmayacağını bilmesi gerekir. Bu güven ortamı oluşmadığında, en deneyimli personel bile zamanla sınırlarını daraltır. Çünkü belirsiz bir ortamda en güvenli alan, görünmez olmaktır.
Yetki, sorumluluk ve sahiplenme dengesi kurulmadığında, insan faktörü zafiyeti kaçınılmaz hale gelir. Ancak bu zafiyet, insanın yetersizliğinden değil; sistemin ona ne kadar alan açtığından kaynaklanır. Güvenlik, ancak sorumluluğun paylaşıldığı ve kararın yalnızlaştırılmadığı ortamlarda güçlenir.
Tipik Bir Zafiyet Okuması
(Tek Bir Kişi Değil, Bir Zincir)
Tesis güvenliğinde yaşanan birçok zafiyet, geriye dönüp bakıldığında şaşırtıcı biçimde "normal" görünür. O gün vardiya vardır, sistemler çalışıyordur, personel görev yerindedir. Hiçbir noktada açık bir ihmal ya da kasıtlı bir ihlal yoktur. Zafiyet tam da bu sıradanlık içinde oluşur.
Genellikle her şey küçük bir sapmayla başlar. Normalde dikkat çeken bir davranış, o gün "olağan" kabul edilir. Çünkü benzer durumlar daha önce de yaşanmış ve sorun çıkmamıştır. Bu ilk karar, çoğu zaman bilinçli bir tercihten çok alışkanlığın sonucudur. Kimse "risk alıyorum" diye düşünmez; sadece akışı bozmamayı seçer.
Ardından sistem devreye girer. Kamera kayıt alır, alarm bir uyarı üretir ya da yazılım bir işaret verir. Ancak bu sinyaller, daha önce defalarca yanlış alarm üretmiş ya da "önemsiz" olarak etiketlenmiş olabilir. Personel, bu işaretleri değerlendirmek yerine elemek üzere koşullanmıştır. Sistem çalışır; fakat anlam üretemez.
Bir sonraki halkada prosedür vardır. Yazılı metin, teoride ne yapılması gerektiğini söyler. Ancak o anki koşullar prosedürle tam örtüşmez. Zaman dardır, başka görevler vardır, öncelikler çakışır. Prosedür birebir uygulanmaz; esnetilir. Bu esneme bilinçli bir ihlal değil, işi yürütebilme çabasıdır.
Bu noktada yetki–sorumluluk meselesi sessizce devreye girer. Karar almak mümkündür ama bedeli belirsizdir. "Yanlış bir şey yaparsam sorumluluk bana kalır" düşüncesi ağır basar. Müdahale etmek yerine durumu izlemek tercih edilir. İzlemek, çoğu zaman müdahale etmemekle eş anlamlı hale gelir.
Zincirin hiçbir halkasında tek başına "işte hata burada" denebilecek bir an yoktur. Her adım, bir öncekinin doğal devamı gibidir. Herkes kendi açısından makul davranmıştır. Ancak zincir tamamlandığında, geriye dönüp bakıldığında ortaya çıkan tablo nettir: Sistem, insan davranışı üzerinden etkisiz hale gelmiştir.
Bu tür zafiyetlerin en çarpıcı yanı, fark edilme anıdır. Genellikle bir olay olduktan sonra ya da dışarıdan bir göz baktığında görünür hale gelir. O ana kadar sistemin içinde olanlar için her şey akışındadır. Zafiyet, bir "kırılma" anı değil; birikimin sonucudur.
Tipik bir zafiyet okuması, bu nedenle suçlu aramakla başlamaz. Asıl soru "kim yaptı?" değil; "neden bu zincir hiç kopmadı?" olmalıdır. Çünkü aynı zincir, benzer koşullarda tekrar kurulacaktır. Kişiler değişse bile, alışkanlıklar ve sistem aynı kaldığında sonuç da değişmez.
Bu okumadan çıkarılacak en önemli ders şudur: Tesis güvenliğindeki zafiyetler, genellikle sistemin dışından gelen ani saldırılarla değil; sistemin içindeki küçük toleranslarla büyür. Ve bu toleranslar, çoğu zaman iyi niyetle başlar.
Asıl Sorun Nerede? İnsan mı, Sistem mi?
Tesis güvenliğinde bir zafiyet ortaya çıktığında sorulan ilk soru neredeyse her zaman aynıdır: "Kim hata yaptı?" Bu soru anlaşılırdır, çünkü belirsizlik rahatsız eder ve hızlı bir açıklama ihtiyacı doğurur. Ancak çoğu zaman yanlış yere bakar. Çünkü güvenlikte yaşanan birçok sorun, tek bir kişinin yaptığı hatayla açıklanamayacak kadar katmanlıdır.
İnsan faktörü, zafiyetin görünen yüzüdür. Kamera başındaki personel, alarmı önemsemeyen görevli ya da prosedürü esneten çalışan kolayca işaret edilir. Oysa bu kişiler, çoğu zaman sistemin kendilerine biçtiği rolü oynar. İnsan davranışı, boşlukta oluşmaz; içinde bulunulan yapı tarafından şekillenir.
Sistem ise genellikle sorgulanmaz. Çünkü sistem "vardır". Kurulmuştur, satın alınmıştır, devreye alınmıştır. Çalışıyor gibi görünür. Ancak sistemin insanla nasıl ilişki kurduğu, insanı nasıl yönlendirdiği ya da hangi davranışları teşvik ettiği nadiren masaya yatırılır. Oysa zafiyetlerin büyük bölümü tam da bu ilişkide doğar.
Bir sistem, insandan sürekli yüksek dikkat, kusursuz yorum ve hatasız karar bekliyorsa; ama buna karşılık net yetki, anlamlı geri bildirim ve gerçekçi iş yükü sunmuyorsa, sorun insanın yetersizliği değildir. Sorun, insanı olduğundan farklı varsayan bir tasarımdır. Bu tasarım, eninde sonunda kendi sınırına çarpar.
İnsan mı, sistem mi sorusu bu nedenle eksik bir sorudur. Asıl soru şudur: İnsan, bu sistemin içinde nasıl davranmaya itiliyor? Zafiyet, çoğu zaman yanlış davranıştan değil; beklenen davranıştan doğar. Rutinleşmek, sorgulamamak, risk almamak… Bunlar bireysel kusurlar değil; sistemin sessizce öğrettiği reflekslerdir.
Sistemi yalnızca teknoloji ve prosedür olarak görmek, bu gerçeği perdelemeye yarar. Oysa sistem aynı zamanda yönetim tarzıdır, geri bildirim biçimidir, hataya verilen tepkidir. Bir karar sonrası kimin yanında durulduğu, hangi davranışların görmezden gelindiği, hangilerinin ödüllendirildiği… Bunların tamamı sistemin parçasıdır.
Bu noktada insan faktörü zafiyeti, kaçınılmaz bir kader gibi sunulmamalıdır. İnsan, güvenlik sisteminin en değişken ama aynı zamanda en geliştirilebilir bileşenidir. Ancak bu gelişim, "daha dikkatli olun" çağrılarıyla değil; insanı merkeze alan bir tasarım anlayışıyla mümkündür. İnsan nasıl çalışır, nasıl yorulur, neye alışır, ne zaman körleşir? Bu sorular sorulmadan kurulan her sistem, kendi zafiyetini içinde taşır.
Sonuçta tesis güvenliğinde asıl sorun, insan ya da sistem tercihi değildir. Sorun, bu ikisini birbirinden bağımsız düşünmektir. Güvenlik, insan hatasına rağmen ayakta kalan bir yapı değil; insan gerçeğini hesaba katarak ayakta duran bir sistem olmak zorundadır. Aksi halde en gelişmiş teknoloji bile, sıradan bir vardiya gününde sessizce etkisiz hale gelir.