Siber Tehditte Yapılan 5 Büyük Hata

Şirketler görünmez siber tehdit riskleri ile karşı karşıya kalmasın diye, çalışanların BT politikaları konusunda eğitilmesi zorunludur.

Çalışanlar tarafından bilinmeden yapılan bazı operasyonel hatalar, şirketler için başka birçok dış siber tehdit kadar büyük tehlike yaratabilmektedir. Araştırmalar 2017’deki veri sızıntılarının dörtte birinin dahili çalışan hatalarından oluştuğuna işaret ediyor. Verilerin yanlışlıkla nasıl kötüye kullanılabileceğini ve bilinçsizce oluşturulan iç tehditlerden nasıl korunulacağını bilmek BT yöneticilerinin başını büyük sıkıntılardan kurtarabilir.

Güvenlik firması Komtera Teknoloji, şirketlerde iç tehditlerin ortaya çıkmasına neden olan 5 hatayı şöyle sıralıyor:

Düzenlemeleri ve Kuralları Yanlış Anlamak

Şirketler genelde birçok dahili kural üzerine kurulur. Çalışanlar kendi işleriyle ilgili olan kuralları yeterince doğru anlamazlarsa, şirketi riske atacak hatalar yapılabilir. BT birimleri hem çalışanları, hem de kıdemli yöneticileri şirketin güvenliğine olumsuz etki oluşturabilecek güvenlik kuralları konusunda yoğun şekilde eğitmelidir. Bu eğitimlerin belli aralıklarla yapılıp, bilgilerin güncellenmesinde fayda bulunmaktadır.

Baştan Savma Kişisel Güvenlik

Ofislerde güvenli hale getirilmeyen veya şüpheli duran cihazlar, iç siber tehdit kaynaklarından biridir. Her çalışan kullandığı araçları güvenli hale getirecek işlemleri bilmeli ve her zaman uygulamalıdır. Çalışanların ofis işleri için kendi bilgisayarlarını getirmeleri durumunda, önlem almak daha da büyük önem taşımaktadır. Bu durum güçlü şifreler veya çok faktörlü kimlik doğrulama gibi önlemlerle iyileştirilebilir.

Onaylanmamış Servisleri Kullanmak

SaaS (Software as a Service / hizmet olarak yazılım) bulut tabanlı uygulamalara internet üzerinden erişilmesi ve kullanılması demektir. SaaS araçları çalışanların işlerini daha hızlı ve etkili yapması için tasarlanmıştır. Fakat iyi niyetli çalışanların bile zaman zaman hassas verileri bir kurumsal bulut depolama hesabından, yanlışlıkla şahsi hesabına aktardığı çok sık rastlanan bir durumdur. Bunun arkasında yolda veya evde daha rahat çalışmak amacı yatsa bile, bu senaryoda şirketler görünmez bir tehlikeye açık hale gelebilir. Çalışanların hangi servisleri kullanıp kullanamayacakları, onları nasıl güvenli hale getirecekleri, hangi veriyi ne zaman, nerede depolayabilecekleri konusunda bilinçlendirilmesi gereklidir.

Şirket Politikalarını Çiğnemek

Bir çalışan bir şirket politikasını unutabilir, anlamayabilir veya bilerek çiğneyebilir. Kötü niyetli kişilerin bu politikaları uygulamaması zaten suça yol açmaktadır. Fakat kötü niyetli olmayan çalışanlar bile düşünmeden yaptıkları hareketlerle risk seviyesini arttırır. Sadece kuralların yazılı olduğu bir şirket el kitabına güvenmek de yeterli değildir. Kural aşımını fark etmek için proaktif bir yol izleyerek ve hatalarına dair onları uyararak risk oranını azaltabilirsiniz. Bunun için kullanıcı risk analizi yapabilen analitik çözümler, çalışanların yanlış hareketlerini takip etmek için idealdir.

Güncelleme Yapmamak

Kullanıcılar cihazlarını ve servislerini en son sürüm veya güvenlik yamaları ile düzenli olarak güncellemezlerse, uzun vadede sorun yaşanması garantidir. Bunu çalışanlara bırakmadan, bir tür otomatik güncelleme sistemi ile uygulamak gereklidir. Uzun sürecek bir güncelleme, iş gününün ortasında verimi düşürecek bile olsa, insan hatası veya tembelliği ile bir iç siber tehdit ihtimalini göze almamalısınız. Bu otomasyon, güvenlik açıklarının ve kusurlarının şirketi zarara uğratmasından önce düzeltilmesinde önemli rol oynayabilir.

Kaynak: https://www.xtrlarge.com/2018/04/04/calisan-siber-tehdit-5-hata/

Hazırlayanlar: Selen Çimen