Şirketlerin siber güvenlikte başını en çok ağrıtan iç tehditler, son 2 yılda yüzde 47 arttı. Yapılan son araştırmalara nazaran dünya genelinde şirketlerin yüzde 34’ünden fazlası da her yıl içeriden gelen bir tehditten etkileniyor. Şirket içi tehditlerin uzaktan çalışma devrinde artma nedenlerine dikkat çeken Siberasist Genel Müdürü Serap Günal’a nazaran, şirket içi tehditlerden kaynaklı şahsî bilgi ihlalinin yaşanmaması için kıymetli birkaç adımın derhal atılması gerekiyor.
Ponemon Institute’nin raporuna nazaran, şirket içi tehditler son 2 yılda yüzde 47 arttı. IBM’nin son şirket içi tehdit maliyeti tahliline nazaran de bu tehditlerin şirketlere maliyeti 11 milyon doların üzerindeyken, bir şirket içi tehdidin keşfi ise ortalama 2 ay sürüyor. Şahsî bilgilerin sızdırılması ve ihlalinin şirket içi tehditlerin sıklıkla oluşturduğu ziyanların başında olduğunu lisana getiren Siberasist Genel Müdürü Serap Günal, şirket içi riski artıran 4 ögeye ve alınması gereken tedbirlere dikkat çekiyor.
Uzaktan Çalışma ile Şirket İçi Tehditler Arttı
Pandemi ve akabinde uzaktan çalışmaya geçiş, 2020’de içeriden gelen tehditlerin artan oranına katkıda bulundu. Kuruluşlar öngörülebilir gelecekte uzaktan çalışma programlarını uzatma kararı aldıkça şirket içi tehditlerin de ziyan verme oranları artmaya devam ediyor. Global pandeminin içeriden gelen tehditler üzerinde bu kadar tesirli olmasının birkaç nedenini ise Serap Günal şöyle açıklıyor;
1. Teknik Faktör: Bilhassa meskenlerdeki internet ağları birçok süreç için kullanılırken çalışma ortamını da kirletiyor. Ek olarak mesken ağları, kurumsal ağların sahip olduğu güvenlik ve BT dayanağıyla çabucak hemen birebir seviyede olamıyor. Bu da kuruluşları, inançsız ağlarda çalışan akın yüzeyleriyle savaşmaya bırakıyor.
2. Ekonomik Faktör: İşgücü piyasasının meçhullüğü, toplumsal huzursuzluk, karantina zorunlulukları ve alışılmadık bir biçimde çalışmak, çalışanların zihninde yük oluşturan, dikkat dağınıklığı yaratan ve gerilim düzeylerini yükselten meselelerdir. Bunların tümü yanlışlara yahut berbat kararlara yol açabilecek faktörlerdir.
3. Ruhsal Faktör: Birçok insan için meskenden çalışmak, iş arkadaşlarıyla hissettikleri topluluk hissini zayıflatır ve patronlarına karşı makûs niyetli hareketlerde bulunmalarını kolaylaştırır. Ayrıyeten bilgileri bir USB’ye kopyalamak, meskendeki yazıcıya yazdırmak yahut inançlı olmayan sitelere göz atmak da ofisteki ortamdan çok daha kolaydır.
4. Şahsî Faktör: En tesirli içeriden tehdit programları, kuşkulu davranışları bildiren çalışanlara dayanır. Lakin herkes meskende izole edilmişse, kuşkulu davranışlar nasıl gözlemlenebilir? Bu durum da iç tehditlerin artmasına çok önemli imkan tanıyabiliyor.
İç Tehditler için Bu Adıma 2 Dikkat!
Kişisel bilgilerin korunması ismine atılması gereken kıymetli adımlardan birinin, şirket içi şahsî dataların korunması ve güvenliğine yönelik idari prosedürlerin uygulanarak departmanlar ortası bilgi akışının gerçekleşmemesi olduğunu belirten Serap Günal, açık isteği alınan ve makul bir departmanın nezaretinde olması gereken ferdî bilginin alakasız bir departmana aktarılmasının sonucunda data ihlallerinin yaşanmasının çok kolay olduğunu aktarıyor. İç tehditlerin önüne geçme konusunda uzaktan çalışanların hangi datalara erişip erişemeyeceğinin kıymetli olduğunu lisana getiren Serap Günal, şirketlere 2 teklifte bulunuyor.
1. Şirketlerde yetki matrisi oluşturulmalı. Her departmanın yalnızca kendine özel tutulan bilgilere erişim sağlaması gerekiyor. Aksi takdirde yetkisi olmayan kimselerin sağlayacağı yetkisiz erişimlerle ihlallerin yaşanmaması için bir neden kalmıyor. Şirketlerde paylaşılan her türlü belge ve data tabanı için kimin erişim yetkisi olduğu, kimin ne vakit, ne biçimde ve hangi aygıttan erişim sağladığı ya da erişim yetkisinin olduğunu bilmek ve belirlemek gerekiyor.
2. Erişim logları kayıt altına alınmalı. Erişim yetkisi verilen çalışanların da ayrıyeten kaydının tutulmasını gerekiyor. Bu yüzden oluşturulan yetki matrisinin fonksiyonelliğini ve verilen yetkilerin berbata kullanılıp kullanılmadığının da tutulan erişim logları ve log kayıtları ile şirketler ölçebiliyor.
Kaynak: (BHA) – Beyaz Haber Ajansı