Global güvenlik yazılımları şirketi Bitdefender
Antivirüs’ün ABD’de 1000'den fazla bilgisayara sahip işletmelerde görev alan
250 IT güvenlik satın alma profesyoneliyle gerçekleştirdiği araştırmaya göre,
şirketlerin %43’ü dışarıdan bir saldırıya, %38’i veri açığına, %35’i içeriden
birinin sabotajına, %35’i kullanıcı hatalarına ve %35’i de kimlik avı
dolandırıcılığı gibi tehditlere karşı hazırlıklı değil. Şirketlerdeki IT karar
vericilerinin %73'ü bir güvenlik ihlali durumunda şirketin ödemesi gereken
maddi tazminattan korkarken %66'sı ise işini kaybetme endişesi taşıyor.
Cihazların güvenliği ve veri hırsızlığının ortak
risklerinin yanı sıra, çalışanlar farkında olmadan şirket verilerini kötü
amaçlı yazılımlara maruz bırakabilirler. Saldırganların bir şirketin en değerli
varlıklarına erişmek için kullandığı en etkili silahlardan biri olan insan
ihmalkarlığı hala yaygın olarak istismar ediliyor. Bilinçsiz bir çalışanın
dikkatsizliğini ya da farkındalık eksikliğini kullanarak bilgi sızdırmaya
çalışmak, şirketin ağ güvenliğini hacklemekten daha kolay ve daha etkilidir.
KENDİ CİHAZINIZI
İŞE GETİRİN ANCAK TEHDİTLERİNİZİ DEĞİL
Kişisel bilgisayarları iş yapmak için kullanmak hem
işletme hem de çalışanlar için karşılıklı bir kazanç gibi görünür. Çalışanlar
kendi cihazlarının rahatlığında çalışırken, işverenler de artan verimlilik ve
düşük teknoloji maliyetlerinden yararlanırlar. ABD’de BYOD veya BYOT olarak
adlandırılan “kendi teknolojinizi getirin” programları hem şirketlere hem de
çalışanlara fayda sağlamakta iken birçok şirket hassas verileri etkili bir
şekilde koruyan programlar tasarlamak için mücadele etmektedir.
Çalışanlara ait cihazlarda saklanan çok sayıda müşteri ve
çalışan verisi, şirket sistemleri ve güvenlik duvarlarının ulaşamayacağı bir
yerdedir. Bir çalışan, kendi dizüstü bilgisayarını, tabletini veya akıllı
telefonunu kullanarak işle ilgili bilgileri sakladığında veya ilettiğinde
işverenler kontrolü çoğu zaman kaybeder.
Çalışanlar ayrıca, şirket verilerinin güvenliği için
kendi cihazlarının yazılım güncellemelerini uygulamakta başarısız olabilirler.
Bu gibi güvenlik açıkları, şirket ağına geçit olarak hizmet edebilir.
İşverenler, iş ile ilgili içeriklerin kişisel cihazlardaki kişisel içeriklerden
ayrılması gerekliliğini düşünmelidir.
ÇALIŞANLARINIZI
VERİ GÜVENLİĞİ KONUSUNDA BİLGİLENDİRİN
Şirket içerisinden şanssız bir çalışan, bilgi güvenliği
risklerini dikkatsizliğiyle artırabilir. Bu yanlışlıkla bir kimlik avı
e-postasını tıklayarak, hileli bir kablosuz ağ kullanarak, tehlikeli web
sitelerini ziyaret ederek ya da uçtan uca paylaşım yaparak meydana gelebilir.
Şirket sistemlerine sızmanın en kolay yolu hedef odaklı oltalama
saldırılarıdır.
Diğer riskli durumlar, bilgisayarları güvensiz bir
kablosuz ağ üzerinden internete bağlamak, parola paylaşımı ve güvenli olmayan
bir cihaz aracılığıyla iş yerinde çalışmak veya seyahat ederken çalıştığı
cihazı kaybeden çalışanlardan oluşur. Bu nedenle, çalışanların internet temelli
dolandırıcılıkları tanıması ve tehditlerden kaçınması şirket güvenliğini
sağlamada hayati öneme sahiptir.
SİBER GÜVENLİK
EĞİTİMİ RİSKİ %90 AZALTABİLİR
IT departmanları şirket çalışanlarının eylemlerinin
firmayı veri hırsızlığına nasıl açık hale getirebildiği ve siber güvenliği
desteklemek için kişisel olarak ne yapabilecekleri konusunda eğitmelidir. Son
araştırmalara göre, siber güvenlik eğitimleri ihlal riskini %90'a kadar
azaltabilir.
Çoğu kuruluş kötü amaçlı yazılım, APT ve kimlik avı gibi
tehditler konusunda daha çok endişe duymaktadır. Bu tehditlerin çoğunluğu
doğrudan, yanlışlıkla ihlale izin veren veya talihsiz kullanıcıların sebep
olduğu başka bir tehdit türü ile ilgilidir. Ancak çoğu şirket benzer tehditleri
bu şekilde düşünmedikleri için geleneksel güvenlik önlemlerine odaklanır. Bu da
saldırıları tespit etmek ve talihsiz çalışanların neden olduğu ihlalleri
önlemek için yanlış yerlere baktıkları anlamına gelir.
HASSAS VERİLERİ
UZAK TUTUN
Katı güvenlik protokollerine ve gelişmiş kimlik doğrulama
mekanizmalarına bağlı kalmak koşuluyla kritik ve hassas verilere yalnızca
yetkili personel erişmelidir. İki faktörlü kimlik doğrulamasının yanı sıra, iki
veya daha fazla kişi tarafından yetkilendirilmesi gereken büyük işlemler ve
kritik sistemler mevcut ise finansal kuruluşlar için iki kişilik kimlik
doğrulaması bile kullanılabilir.
Çalışanların en sık yaptığı hatalardan biri, istenmeyen
kişilere hassas belgeler göndermektir. İnsanlar çalışma belgelerini kişisel
e-postalara aktarır, bunları tüketici sınıfı dosya paylaşım sitelerine
yerleştirir veya USB bellekler gibi çıkarılabilir ortamlara kopyalayabilir. USB
bellekler zararsız görünse bile, birinin virüslü bir USB belleği ofis ağına
bağlaması bir solucanı ağa yükleyebilir ve çoğaltabilir.
Güvenlik ihlallerini azaltmak için şirketler mülkiyet
verilerine kimlerin erişebildiğini izleyebilecekleri güvenlik denetimlerini
uygulamaya başlamalıdır. Son kullanıcı ayrıcalıklarını yönetmek ve izlemek,
ayrıcalıklı erişim vermeden önce çalışanların çevrimiçi etkinlikleri hakkında
arka plan kontrolleri uygulamak, daha iyi kontrol ve güvenlik için ağ ayrımı
yapmak veri güvenliği için diğer gerekliliklerdir.
Faaliyetleri takip edilmesi gerekenler sadece normal
çalışanlar değildir. Çok yetenekli sistem yöneticileri bile bazen hata yapar.
Araştırma raporları, yanlış sistem yapılandırmalarının, zayıf yama yönetimi
uygulamalarının ve varsayılan adların ve şifrelerin kullanılmasının en yaygın
hatalar arasında yer aldığını göstermektedir.
YORUMLAR