Global güvenlik yazılımları şirketi BitdefenderAntivirüs’ün ABD’de 1000'den fazla bilgisayara sahip işletmelerde görev alan250 IT güvenlik satın alma profesyoneliyle gerçekleştirdiği araştırmaya göre, şirketlerin %43’ü dışarıdan birsaldırıya, %38’i veri açığına, %35’i içeriden birinin sabotajına, %35’ikullanıcı hatalarına ve %35’i de kimlik avı dolandırıcılığı gibi tehditlerekarşı hazırlıklı değil. Şirketlerdeki IT karar vericilerinin %73'ü bir güvenlikihlali durumunda şirketin ödemesi gereken maddi tazminattan korkarken %66'sıise işini kaybetme endişesi taşıyor.

Cihazların güvenliği ve veri hırsızlığının ortakrisklerinin yanı sıra, çalışanlar farkında olmadan şirket verilerini kötüamaçlı yazılımlara maruz bırakabilirler. Saldırganların bir şirketin en değerlivarlıklarına erişmek için kullandığı en etkili silahlardan biri olan insanihmalkarlığı hala yaygın olarak istismar ediliyor. Bilinçsiz bir çalışanındikkatsizliğini ya da farkındalık eksikliğini kullanarak bilgi sızdırmayaçalışmak, şirketin ağ güvenliğini hacklemekten daha kolay ve daha etkilidir.

 

Kendi Cihazınızı İşe Getirin Ancak Tehditlerinizi Değil

Kişisel bilgisayarları iş yapmak için kullanmak hemişletme hem de çalışanlar için karşılıklı bir kazanç gibi görünür. Çalışanlarkendi cihazlarının rahatlığında çalışırken, işverenler de artan verimlilik vedüşük teknoloji maliyetlerinden yararlanırlar. ABD’de BYOD veya BYOT olarakadlandırılan “kendi teknolojinizi getirin” programları hem şirketlere hem deçalışanlara fayda sağlamakta iken birçok şirket hassas verileri etkili birşekilde koruyan programlar tasarlamak için mücadele etmektedir.

Çalışanlara ait cihazlarda saklanan çok sayıda müşteri veçalışan verisi, şirket sistemleri ve güvenlik duvarlarının ulaşamayacağı biryerdedir. Bir çalışan, kendi dizüstü bilgisayarını, tabletini veya akıllıtelefonunu kullanarak işle ilgili bilgileri sakladığında veya ilettiğindeişverenler kontrolü çoğu zaman kaybeder. Çalışanlar ayrıca, şirket verileriningüvenliği için kendi cihazlarının yazılım güncellemelerini uygulamaktabaşarısız olabilirler. Bu gibi güvenlik açıkları, şirket ağına geçit olarakhizmet edebilir. İşverenler, iş ile ilgili içeriklerin kişisel cihazlardakikişisel içeriklerden ayrılması gerekliliğini düşünmelidir.

 

Çalışanlarınızı Veri Güvenliği Konusunda Bilgilendirin

Şirket içerisinden şanssız bir çalışan, bilgi güvenliğirisklerini dikkatsizliğiyle artırabilir. Bu yanlışlıkla bir kimlik avıe-postasını tıklayarak, hileli bir kablosuz ağ kullanarak, tehlikeli websitelerini ziyaret ederek ya da uçtan uca paylaşım yaparak meydana gelebilir.Şirket sistemlerine sızmanın en kolay yolu hedef odaklı oltalamasaldırılarıdır. Diğer riskli durumlar, bilgisayarları güvensiz bir kablosuz ağüzerinden internete bağlamak, parola paylaşımı ve güvenli olmayan bir cihazaracılığıyla iş yerinde çalışmak veya seyahat ederken çalıştığı cihazı kaybedençalışanlardan oluşur. Bu nedenle, çalışanların internet temellidolandırıcılıkları tanıması ve tehditlerden kaçınması şirket güvenliğinisağlamada hayati öneme sahiptir.

 

Siber Güvenlik Eğitimi Riski %90 Azaltabilir

IT departmanları şirket çalışanlarının eylemlerininfirmayı veri hırsızlığına nasıl açık hale getirebildiği ve siber güvenliğidesteklemek için kişisel olarak ne yapabilecekleri konusunda eğitmelidir. Sonaraştırmalara göre, siber güvenlik eğitimleri ihlal riskini %90'a kadarazaltabilir. Çoğu kuruluş kötü amaçlı yazılım, APT ve kimlik avı gibi tehditlerkonusunda daha çok endişe duymaktadır. Bu tehditlerin çoğunluğu doğrudan,yanlışlıkla ihlale izin veren veya talihsiz kullanıcıların sebep olduğu başkabir tehdit türü ile ilgilidir. Ancak çoğu şirket benzer tehditleri bu şekildedüşünmedikleri için geleneksel güvenlik önlemlerine odaklanır. Bu dasaldırıları tespit etmek ve talihsiz çalışanların neden olduğu ihlalleriönlemek için yanlış yerlere baktıkları anlamına gelir.

 

Hassas Verileri Uzak Tutun

Katı güvenlik protokollerine ve gelişmiş kimlik doğrulamamekanizmalarına bağlı kalmak koşuluyla kritik ve hassas verilere yalnızcayetkili personel erişmelidir. İki faktörlü kimlik doğrulamasının yanı sıra, ikiveya daha fazla kişi tarafından yetkilendirilmesi gereken büyük işlemler vekritik sistemler mevcut ise finansal kuruluşlar için iki kişilik kimlikdoğrulaması bile kullanılabilir.

Çalışanların en sık yaptığı hatalardan biri, istenmeyenkişilere hassas belgeler göndermektir. İnsanlar çalışma belgelerini kişisele-postalara aktarır, bunları tüketici sınıfı dosya paylaşım sitelerineyerleştirir veya USB bellekler gibi çıkarılabilir ortamlara kopyalayabilir. USBbellekler zararsız görünse bile, birinin virüslü bir USB belleği ofis ağınabağlaması bir solucanı ağa yükleyebilir ve çoğaltabilir.

Güvenlik ihlallerini azaltmak için şirketler mülkiyetverilerine kimlerin erişebildiğini izleyebilecekleri güvenlik denetimleriniuygulamaya başlamalıdır. Son kullanıcı ayrıcalıklarını yönetmek ve izlemek,ayrıcalıklı erişim vermeden önce çalışanların çevrimiçi etkinlikleri hakkındaarka plan kontrolleri uygulamak, daha iyi kontrol ve güvenlik için ağ ayrımıyapmak veri güvenliği için diğer gerekliliklerdir.

Faaliyetleri takip edilmesi gerekenler sadece normalçalışanlar değildir. Çok yetenekli sistem yöneticileri bile bazen hata yapar.Araştırma raporları, yanlış sistem yapılandırmalarının, zayıf yama yönetimiuygulamalarının ve varsayılan adların ve şifrelerin kullanılmasının en yaygınhatalar arasında yer aldığını göstermektedir.