Dikkatsiz çalışanlar, siber ataklara karşı şirketleri güç durumda bırakıyor. Yapılan anketlere nazaran şirketlerin 55’i, siber güvenlik şuuru eksikliğinin kendileri için en büyük risk olduğuna inanıyor. Uzaktan çalışma periyodu nedeniyle şirketlerin daha da dikkatli olması gerektiğini aktaran Komtera Teknoloji Kanal Satış Yöneticisi Gürsel Tipsin, çalışan eğitimini ve farkındalığını artırmanın bir öncelik olduğunu belirtiyor.
Şirketlerin bedelli bilgilerini çalmak için her türlü usulü kullanan hackerler, siber güvenlik tedbirlerine dikkat etmeyen şirketleri kurban olarak seçmeye devam ediyor. Yapılan bir araştırmaya nazaran şirketlerin 55’i, siber güvenlik şuuru eksikliğinin kendileri için en büyük risk olduğunu aktarırken 2021’de tertip yapılarının önemli akın riski altında olduğu tasalarını lisana getiriyor. Bilhassa pandemi periyodunda birçok şirketin siber güvenliklerini zayıflattığını ve şirket içi tehditlerden kaynaklanan taarruzları beslediğini söz eden Komtera Teknoloji Kanal Satış Yöneticisi Gürsel Tipsin, iç tehditlere karşı şirketlerin uygulaması gereken siber güvenlik tedbirlerini açıklıyor.
En Büyük Riski Çalışan Yanılgıları Oluşturuyor
Şirketlerin kimlik avı hücumlarına karşı savunmasız kalmasında yanlışsız araçlara sahip olmamanın ve çalışanları bilgi güvenliğindeki rolleri konusunda eğitmemenin büyük sorun yarattığı görülüyor. Yapılan araştırmalar, siber akınlara yol açabilecek yaygın çalışan davranışları ortasında; makûs emelli bir ilişkiye tıklamak, tehlikeye atılmış bir belgeyi indirmek ile aygıtların ve uygulamaların yetkisiz kullanımı bulunduğunu aktarıyor. Hackerlerin, şirketlerin hala bu hususta gelişmişlik gösteremediklerini çok âlâ bildiklerini belirten Gürsel Tipsin, “Çalışan şuurunu arttırmanın şirketlerin öncelikler listesinde olması zorunluluktur. Çalışanlara verilen nizamlı ve kapsamlı eğitim, şirketinizi koruyabilecek bir güvenlik kültürü oluşturmak için hayati değer taşır.” sözlerine yer veriyor ve iç tehditleri önlemek için alınabilecek 5 tesirli siber güvenlik adımını sıralıyor.
1. Geçici değil, kalıcı bir uzaktan çalışma siyaseti oluşturun. Başlangıç noktası olarak şirketler, şirket ağlarının ve datalarının güvenliğini direkt ele alan güçlü, kapsamlı bir uzaktan çalışma siyaseti uygulamalıdır. Sağlam bir uzaktan çalışma siyaseti oluşturmak, içeriden gelen tehditlerle, bilhassa de dikkatsizlik yahut ihmalden kaynaklananlarla çaba etmenin kolay lakin tesirli bir yoludur.
2. VPN kullanımını ya da MFA’yı çalışanlara zarurî kılın. Şirket çalışanlarının uzaktan kurumsal ağlara bağlanmasında gerekli tedbirlerin alınması bilgi güvenliği için ehemmiyet arz ediyor. Bilhassa VPN, çok faktörlü kimlik doğrulama ve şifre yöneticisi üzere bilgileri inançta tutacak ve ağlardan data sızıntısını engelleyebilecek tahlillerin çalışan aygıtlarında kesinlikle bulunmalı.
3. Sosyal mühendislik ataklarına karşı çalışanları eğitin. Uzaktan çalışma periyodunda iç tehditleri tahminen de atağa dönüştüren en kıymetli ögesi toplumsal mühendislik çalışmaları oluşturuyor. Kimlik avı, makus maksatlı yazılım taarruzlarına korunmasız aygıtlarda ve dikkatsiz çalışanlar üzerinde uygulayan hackerler, kolay ve çıkarlı bir siber akın gerçekleştiriyor. Şirket çalışanlarının webinarlar üzerinden bu hususlara dair eğitilmesi ve bilgilendirilmesi gerekiyor.
4. Çalışanlarınızı izleyin. Çalışanların izlenmesi, tesirli bir içeriden gelen tehdit riski azaltma savunmasının kıymetli bileşenidir. Şirketler, çalışanların elektronik bilgileri kullanımını, bilhassa datalar şirketin ağından çekiliyorsa, olağandışı faaliyetlere karşı izlemelidir. Data izleme, sırf bilgi sızıntılarını meydana geldiklerinde tespit etmekle kalmaz, tıpkı vakitte çalışanları şirket datalarına erişirken yahut bunları kullanırken gereksiz riskler almaktan caydırabiliyor.
5. Erişim kısıtlamaları ve denetimini sıkı tutun. Şirketler, çalışanlara sırf iş misyonlarını ve sorumluluklarını yerine getirmeleri için gerekli olan minimum seviyede erişim yahut ayrıcalık tanıyarak “en az ayrıcalık” prensibini uygulamalıdır. Benzeri formda, şirketler çalışanların bilgi erişim haklarını nizamlı olarak gözden geçirmeli ve artık kullanımda olmayan yahut çalışanların iş sorumluluklarını yerine getirmek için artık muhtaçlık duyulmayan datalara yahut hesaplara erişimlerini sonlandırmalıdır.
Kaynak: (BHA) – Beyaz Haber Ajansı
