Siber güvenlik tehditleri ele alınırken, içeriden gelen tehditler ön plana çıkmıştır ve ihlallerin önde gelen nedenlerinden biridir. Ancak, içeriden gelen bir tehdit, içerideki kişinin kötü niyetli olduğu anlamına gelmez. Çoğu zaman tehdit, farkında olmayan kullanıcının bir kimlik avı e-postasına göre hareket etmek gibi bir hata yapması ve bunun da bir ihlale yol açmasıdır. Insider Data Breach Survey 2021'e göre, kuruluşların %94'ü geçen yıl içeriden bir veri ihlali yaşadı ve %84'ü doğrudan insan hatasından kaynaklanan bir ihlale maruz kaldı. İçeriden gelen tehditler, oltalama saldırılarına kanmanın ötesine geçmektedir. 2019 IBM X-Force Tehditler İstihbarat Endeksi, yanlış yapılandırılmış sistemleri, sunucuları ve bulut ortamlarını, kasıtsız içeriden kişilerin kurumları saldırıya açık bırakmasının en yaygın iki yolundan biri olarak listeliyor. İnsan hatasını ortadan kaldıramazsınız, ancak net siber güvenlik yönergeleri ve düzenli çalışan eğitimi sağlayarak olayların sıklığı ve şiddeti azaltılabilir.
Siber güvenlik olaylarında insan hatasının rolünü azaltmanın ilk adımı, bir siber güvenlik politikası oluşturmak ve çalışanlara siber güvenlikle ilgili yapılması ve yapılmaması gerekenleri öğretmek için eğitim vermektir. İşte başlamanıza yardımcı olması için politikanıza dahil etmeniz gereken on maddelik bir liste.
1. Siber Güvenliğin Önemini Vurgulayın
Siber güvenliğin neden önemli olduğunu ve potansiyel risklerin neler olduğunu açıklayarak işe başlayın. Çalınan müşteri veya çalışan verileri, ilgili kişileri ciddi şekilde etkileyebileceği gibi şirketi de tehlikeye atabilir. Çalışanların bir güvenlik olayını nereye bildireceklerini hızlı bir şekilde bulabilmeleri çok önemlidir. Bir kullanıcının iletişim bilgileri için hangi dahili sitede arama yapacağını hatırlamasına güvenmeyin; sezgisel bir konumda olduğundan emin olun. Belki de yapışkan notta yazan şifreyi bir olayı bildirmek için gereken bilgilerle değiştirin!
2. Etkili Parola Yönetimini Öğretin
Parolalar bir şirketin siber güvenlik sistemini oluşturabilir veya bozabilir. Parola gereksinimleri hakkında yönergeler ekleyin. NIST Özel Yayını 800-63 Revizyon 3 önerilen parola yönergelerinde önemli değişiklikler içermektedir. Çalışanlara farklı sitelerde aynı parolaları kullanmamaları gerektiğini vurgulayın. Konuşmayı yürütün. Çalışanlardan birden fazla parolayı hatırlamaları bekleniyorsa, bunu daha az zahmetli hale getirmek için gerekli araçları sağlayın. Bir parola yöneticisi önemli bir değerdir. Çok faktörlü kimlik doğrulama, parola yöneticisi için ana parola olsa bile, ele geçirilen bir parolanın etkisini azaltır.
3. Çalışanlara Dolandırıcılığın Nasıl Belirleneceğini ve En İyi Uygulamaların Nasıl Benimseneceğini Öğretin
Çalışanları çeşitli kimlik avı e-postaları ve dolandırıcılık türleri ve şüpheli bir şeyi nasıl tespit edecekleri konusunda eğitin. Çalışanlar olağan dışı görünen bir e-posta alırlarsa, başka bir çalışan tarafından gönderilmiş dahili bir e-posta gibi görünse bile, ekleri açmadan veya bağlantılara tıklamadan önce göndereni kontrol etmelidirler. Gönderenle telefonla veya yüz yüze görüşerek doğrulama yapmak en iyisidir. E-posta hesapları ele geçirildiğinde, e-postada yer alan bilgilerin geçerliliğiyle ilgili bir soruya yanıt veren saldırgan olacaktır. Mümkün olduğunda, e-postadaki bir bağlantıya tıklamak yerine şirketin web sitesine gidin. Örneğin, LinkedIn'den gelen bir e-postada bir bağlantı varsa, www.linkedin.com yazın ve mesajı görüntülemek için hesabınıza giriş yapın.
Ayrıca, dosyaları ve cihazları korumaya yönelik en iyi uygulamalar hakkında genel siber güvenlik bilgisi sağlamak, bir kuruluşun savunmasını güçlendirmeye yardımcı olabilir. OPSWAT Academy, bu en iyi uygulamalar hakkında ücretsiz kurslar sunmaktadır ve OPSWAT'a özgü teknolojiler hakkında daha fazla bilgi edinmek isteyen herkese açıktır.
4. Güncellemeleri ve Yamaları Uygulayın
Modern işletim sistemleri, kötü amaçlı yazılımdan koruma programları, web tarayıcıları ve diğer uygulamalar düzenli olarak kendilerini günceller, ancak tüm programlar bunu yapmaz. Çalışanlar onaylanmamış yazılımlar yüklediğinde, IT departmanı varlıkları üzerindeki yamalanmamış savunmasız uygulamaların farkında olmayabilir. İşletim sistemlerinin ve uygulamaların güncel yama ve sürüm seviyelerinde olduğunu doğrulamak IT departmanının sorumluluğundadır. Uç noktaların ve sunucuların durumunun güvence altına alınmaması, sistem yanlış yapılandırması vb. nedenlerle ortaya çıkan kasıtsız içeriden tehditlerin alanına girer. Düzenli güvenlik açığı taraması ve sistem denetimi yapılmalıdır.
5. Kişisel Bilgileri Koruyun
Saldırganlar genellikle kredi kartı verileri, müşteri adları, e-posta adresleri ve sosyal güvenlik numaraları gibi gizli verilerin peşindedir. Bu bilgileri kurum dışına gönderirken, çalışanların bilgileri sadece e-posta yoluyla gönderemeyeceklerini anlamaları önemlidir. Bilgileri şifreleyen ve yalnızca yetkili alıcının erişmesine izin veren güvenli bir dosya aktarım sistemi kullanılmalıdır. Daha da güvenli olan OPSWAT's DLP gibi teknolojiler, kredi kartı numaraları ve sosyal güvenlik numaraları da dahil olmak üzere dosya ve e-postalardaki hassas ve gizli verileri tespit edip engelleyerek olası veri ihlallerini ve mevzuata uygunluk ihlallerini önlemeye yardımcı olabilir.
6. Bilgisayarları ve Cihazları Kilitleyin
Çalışanlar masalarından ayrıldıklarında, yetkisiz erişimi önlemek için ekranlarını kilitlemeli veya oturumu kapatmalıdır. Çalışanlar bilgisayarlarını kilitlemekten sorumludur; ancak, IT departmanı hareketsizlik zaman aşımlarını bir arıza emniyeti olarak yapılandırmalıdır. Dizüstü bilgisayarlar da kullanılmadıkları zaman fiziksel olarak kilitlenmelidir.
7. Secure Taşınabilir Media
Kaybolan veya çalınan mobile telefonları, sahibi ve irtibat kişileri için önemli bir tehdit oluşturmaktadır. Bu cihazlar için ekran kilidi kullanılması şarttır. Harici MicroSD kartlar ve dizüstü bilgisayarlardaki sabit diskler gibi depolama alanları şifrelenmelidir. USB sürücüleri ve DVD'ler gibi taşınabilir medya getirirken, iş bilgisayarları ve ağ gibi kaynaklara erişmeden önce bu cihazların kötü amaçlı yazılımlara karşı taranması önemlidir. OPSWAT MetaDefender Kiosk taşınabilir medyanın güvenliğini doğrulamak için kolay bir çözüm sunar .
8. Kayıp veya Çalıntı Cihazları Bildirin
Çalışanlara, çalınan cihazların saldırganların gizli verilere erişmesi için bir giriş noktası olabileceğini ve çalışanların kayıp veya çalıntı cihazları derhal bildirmeleri gerektiğini söyleyin. Genellikle IT departmanı cihazları uzaktan silebilir, bu nedenle erken keşif büyük fark yaratabilir.
9. Aktif Rol Alın
Çalışanların sağduyulu olmaları ve güvenlik konusunda aktif rol almaları gerektiğini açıklayın. Şüpheli bir faaliyet görürlerse bunu IT yöneticisine bildirmelidirler. Çalışanlar bir hatanın farkına varırlarsa, hata gerçekleştikten sonra bile IT adresine bildirmeleri, zararı azaltmak için gerekli önlemlerin alınabileceği anlamına gelir. Siber güvenlik şirketteki herkesi ilgilendiren bir konudur ve her çalışanın şirketin güvenliğine katkıda bulunmak için aktif bir rol üstlenmesi gerekir. Eğer bir çalışan bir hatayı bildirdiği için işini kaybetmekten korkuyorsa, bunu yapması pek olası değildir. Çalışanların olayları rahatça bildirebildiğinden emin olun.
10. Gizlilik Ayarlarını Uygula
Çalışanları, Facebook ve Twitter gibi sosyal medya hesaplarında maksimum gizlilik ayarlarını uygulamalarının şiddetle tavsiye edildiği konusunda bilgilendirin. Doğum tarihi, konum vb. kişisel bilgilerini yalnızca irtibat kurdukları kişilerin görebildiğinden emin olmalarını isteyin. Çevrimiçi ortamda bulunan kişisel bilgi miktarının sınırlandırılması, oltalama saldırılarının etkinliğini azaltacaktır. Bir LinkedIn kişisinden gelen biraz bile şüpheli herhangi bir şeyi fark etme konusunda özellikle dikkatli olun. Güvenliği ihlal edilmiş bir LinkedIn kişisinin hesabı, en sofistike sosyal mühendislik saldırılarından bazılarına olanak sağlayabilir.
Yeni işe alım oryantasyonu siber güvenlik politikası belgelerini ve talimatlarını içermelidir. Çalışanların güvenlik politikalarını anlamalarını ve hatırlamalarını sağlamak için düzenli siber güvenlik eğitimi verin. Çalışanların politikayı anladığından emin olmanın eğlenceli bir yolu, örnek durumlarda eylemlerini test edecek bir sınav yapmaktır.
Çalışanları bilgilendirmenin ve eğitmenin yanı sıra, şirketlerin bilgisayarları ve cihazları izlemek ve yönetmek için bir sistemin mevcut olduğundan, sunucuların, e-posta eklerinin, web trafiğinin ve taşınabilir medyanın güvenliğini sağlamak için kötü amaçlı yazılımdan koruma çoklu taramasının kullanıldığından ve çalışanların gizli dosyaları güvenli bir şekilde aktarabildiğinden emin olmaları gerekir. Şirketlerin ofis içinde ve evde güvenli erişim sağlamak için alabilecekleri diğer önlemler hakkında daha fazla bilgi edinin.
OPSWAT adresinin kritik altyapınızı korumaya nasıl yardımcı olabileceği hakkında daha fazla bilgi edinmek için siber güvenlik uzmanlarımızdan biriyle bir toplantı planlayın.
