Global güvenlik yazılımları şirketi Bitdefender Antivirüs tarafından gerçekleştirilen araştırmaya göre, şirket içi sabotaj ve çalışan hataları bütün şirketler için hazırlıksız yakalanabilecekleri önemli bir risk olarak görülüyor. Dünyada 500 milyondan fazla kullanıcıyı koruyan Bitdefender Antivirüs, şirket yetkililerini siber güvenlik ile ilgili bilgi eksikliği olan çalışanların yarattığı riskler konusunda uyarıyor.

Global güvenlik yazılımları şirketi Bitdefender Antivirüs'ün ABD'de 1000'den fazla bilgisayara sahip işletmelerde görev alan 250 IT güvenlik satın alma profesyoneliyle gerçekleştirdiği araştırmaya göre, şirketlerin %43'ü dışarıdan bir saldırıya, %38'i veri açığına, %35'i içeriden birinin sabotajına, %35'i kullanıcı hatalarına ve %35'i de kimlik avı dolandırıcılığı gibi tehditlere karşı hazırlıklı değil. Şirketlerdeki IT karar vericilerinin %73'ü bir güvenlik ihlali durumunda şirketin ödemesi gereken maddi tazminattan korkarken %66'sı ise işini kaybetme endişesi taşıyor.

Cihazların güvenliği ve veri hırsızlığının ortak risklerinin yanı sıra, çalışanlar farkında olmadan şirket verilerini kötü amaçlı yazılımlara maruz bırakabilirler. Saldırganların bir şirketin en değerli varlıklarına erişmek için kullandığı en etkili silahlardan biri olan insan ihmalkarlığı hala yaygın olarak istismar ediliyor. Bilinçsiz bir çalışanın dikkatsizliğini ya da farkındalık eksikliğini kullanarak bilgi sızdırmaya çalışmak, şirketin ağ güvenliğini hacklemekten daha kolay ve daha etkilidir.

Kendi Cihazınızı İşe Getirin Ancak Tehditlerinizi Değil

Kişisel bilgisayarları iş yapmak için kullanmak hem işletme hem de çalışanlar için karşılıklı bir kazanç gibi görünür. Çalışanlar kendi cihazlarının rahatlığında çalışırken, işverenler de artan verimlilik ve düşük teknoloji maliyetlerinden yararlanırlar. ABD'de BYOD veya BYOT olarak adlandırılan "kendi teknolojinizi getirin" programları hem şirketlere hem de çalışanlara fayda sağlamakta iken birçok şirket hassas verileri etkili bir şekilde koruyan programlar tasarlamak için mücadele etmektedir.

Çalışanlara ait cihazlarda saklanan çok sayıda müşteri ve çalışan verisi, şirket sistemleri ve güvenlik duvarlarının ulaşamayacağı bir yerdedir. Bir çalışan, kendi dizüstü bilgisayarını, tabletini veya akıllı telefonunu kullanarak işle ilgili bilgileri sakladığında veya ilettiğinde işverenler kontrolü çoğu zaman kaybeder.

Çalışanlar ayrıca, şirket verilerinin güvenliği için kendi cihazlarının yazılım güncellemelerini uygulamakta başarısız olabilirler. Bu gibi güvenlik açıkları, şirket ağına geçit olarak hizmet edebilir. İşverenler, iş ile ilgili içeriklerin kişisel cihazlardaki kişisel içeriklerden ayrılması gerekliliğini düşünmelidir.

Çalışanlarınızı Veri Güvenliği Konusunda Bilgilendirin

Şirket içerisinden şanssız bir çalışan, bilgi güvenliği risklerini dikkatsizliğiyle artırabilir. Bu yanlışlıkla bir kimlik avı e-postasını tıklayarak, hileli bir kablosuz ağ kullanarak, tehlikeli web sitelerini ziyaret ederek ya da uçtan uca paylaşım yaparak meydana gelebilir. Şirket sistemlerine sızmanın en kolay yolu hedef odaklı oltalama saldırılarıdır.

Diğer riskli durumlar, bilgisayarları güvensiz bir kablosuz ağ üzerinden internete bağlamak, parola paylaşımı ve güvenli olmayan bir cihaz aracılığıyla iş yerinde çalışmak veya seyahat ederken çalıştığı cihazı kaybeden çalışanlardan oluşur. Bu nedenle, çalışanların internet temelli dolandırıcılıkları tanıması ve tehditlerden kaçınması şirket güvenliğini sağlamada hayati öneme sahiptir.

Siber Güvenlik Eğitimi Riski %90 Azaltabilir

IT departmanları şirket çalışanlarının eylemlerinin firmayı veri hırsızlığına nasıl açık hale getirebildiği ve siber güvenliği desteklemek için kişisel olarak ne yapabilecekleri konusunda eğitmelidir. Son araştırmalara göre, siber güvenlik eğitimleri ihlal riskini %90'a kadar azaltabilir.

Çoğu kuruluş kötü amaçlı yazılım, APT ve kimlik avı gibi tehditler konusunda daha çok endişe duymaktadır. Bu tehditlerin çoğunluğu doğrudan, yanlışlıkla ihlale izin veren veya talihsiz kullanıcıların sebep olduğu başka bir tehdit türü ile ilgilidir. Ancak çoğu şirket benzer tehditleri bu şekilde düşünmedikleri için geleneksel güvenlik önlemlerine odaklanır. Bu da saldırıları tespit etmek ve talihsiz çalışanların neden olduğu ihlalleri önlemek için yanlış yerlere baktıkları anlamına gelir.

Hassas Verileri Uzak Tutun

Katı güvenlik protokollerine ve gelişmiş kimlik doğrulama mekanizmalarına bağlı kalmak koşuluyla kritik ve hassas verilere yalnızca yetkili personel erişmelidir. İki faktörlü kimlik doğrulamasının yanı sıra, iki veya daha fazla kişi tarafından yetkilendirilmesi gereken büyük işlemler ve kritik sistemler mevcut ise finansal kuruluşlar için iki kişilik kimlik doğrulaması bile kullanılabilir.

Çalışanların en sık yaptığı hatalardan biri, istenmeyen kişilere hassas belgeler göndermektir. İnsanlar çalışma belgelerini kişisel e-postalara aktarır, bunları tüketici sınıfı dosya paylaşım sitelerine yerleştirir veya USB bellekler gibi çıkarılabilir ortamlara kopyalayabilir. USB bellekler zararsız görünse bile, birinin virüslü bir USB belleği ofis ağına bağlaması bir solucanı ağa yükleyebilir ve çoğaltabilir.

Güvenlik ihlallerini azaltmak için şirketler mülkiyet verilerine kimlerin erişebildiğini izleyebilecekleri güvenlik denetimlerini uygulamaya başlamalıdır. Son kullanıcı ayrıcalıklarını yönetmek ve izlemek, ayrıcalıklı erişim vermeden önce çalışanların çevrimiçi etkinlikleri hakkında arka plan kontrolleri uygulamak, daha iyi kontrol ve güvenlik için ağ ayrımı yapmak veri güvenliği için diğer gerekliliklerdir.

Faaliyetleri takip edilmesi gerekenler sadece normal çalışanlar değildir. Çok yetenekli sistem yöneticileri bile bazen hata yapar. Araştırma raporları, yanlış sistem yapılandırmalarının, zayıf yama yönetimi uygulamalarının ve varsayılan adların ve şifrelerin kullanılmasının en yaygın hatalar arasında yer aldığını göstermektedir.