İçimizdeki tehlike

SİBER güvenlik son dönemlerin en önemli konusu. Ve bu konu her geçen gün önemini arttırıyor. Son kullanıcılar olduğu kadar şirketler için de oldukça kritik duruma gelen siber saldırılar artık küçük büyük dinlemiyor. Şirketlerin sunucularına DDoS, yani yoğun trafik saldırıları düzenleniyor, çalışanların mail hesapları ele geçiriliyor. Bu sayede ise web sitesi ve şirketlerin hizmetleri gibi şirketlerin yürüttüğü dijital operasyonlar durduruluyor. Özellikle iş akışı yoğun olan şirketlere bu saldırıların zararı, her geçen saniye artarak büyüyor. Müşterilerin markaya olan güvenleri azalıyor. Hackerların iştahını kabartan bu saldırılar sonucunda veriler sızdırılarak çalınıyor. Finans, bankacılık, sağlık gibi birçok sektörde kritik rol oynayan bu verilerin sızdırılması durumunda karşılaşılan sorunlar, hem müşteriler hem de ulusal olarak tehditler yaratan bir durum meydana getiriyor. Bu noktada ise en önemli konu güvenlik önemleri. Sadece şirketlerin tek başına alacakları güvenlik önlemleri ne yazık ki yetersiz kalırken, çalışanları da bu kapsama almak gerekiyor.

TEHDİT ŞİRKET İÇİNDE
Siber güvenlik konusunda en çok dikkat edilmesi gereken konuların başında şirket tehditler var. Çalışanların yanlışlıkla veya kasten veri sızdırmaları, zayıf noktaların başında geliyor. Yapılan araştırmalara göre şirketlerin siber güvenlikte sorun yaşaması yüzde 21 pay ile personelin yanlışlıkla bilgi sızdırmasından kaynaklanıyor. Kasten bilgi sızdıranların oranı ise yüzde 11. Buna ek olarak araştırma şirketi Gartner’e göre bir şirket, güvenlik bütçesinin yüzde 90’ını önlemeye ve sadece yüzde 10’unu güvenlik zafiyetinin nereden kaynaklandığını algılamaya çalışıyor. Bu oranda şirketin içindeki zafiyetlerin tespit edilememesi için en büyük engellerin başında geliyor. Biz de buradan yola çıkarak şirketlerin ve çalışanların alması gereken siber güvenlik önemlerini araştırdık.

MOBİL CİHAZLARA DİKKAT
Mobil cihazlar her geçen gün daha fazla kullanılıyor. Çalışanların her yerden şirket verilerine ulaşmaya çalışması, gerekli güvenlik kuralları oluşturulmaması siber suçluların da her yerden bu bilgiye ulaşabileceği anlamına geliyor. Bu yüzden şirketlerin mobil cihazların kullanımına mutlaka dikkat edilmesi gerekiyor.

EN BÜYÜK SORUN SOSYAL MÜHENDİSLİK
Siber suçluların en çok kullandığı yöntemlerin başında sosyal mühendislik geliyor. İnsan temelli olan bu saldırılar, riskini azaltmak için çalışanların siber güvenliğe ilişkin konularda eğitilmesi gerekiyor. Bu eğitimlerin bir kez değil, düzenli periyotlarda devam ettirilmelidir.

ÖNCE POLİTİKA
Kurum içi güvenlik politikası oluşturulması gerekiyor. Oluşturulacak güvenlik politikası kapsamında şirketlerin tüm çalışanları ve çalışan grupları için erişim kurallarının sınırlarının belirlenmesi en iyi çözümlerden biri.

IT EKİBİNE DÜZENLİ EĞİTİM
Eğitim konusunda en önemli departman ise IT ekibi. IT ekibinin de kullandığı uygulamalar ile ilgili düzenli eğitim alması gerekiyor. Böylece şirketler, hatalı kurulum ve kullanımdan dolayı siber güvenlik sorunları çekmeyecektir.

KİMLER SORUMLU KİMLER DEĞİL
Siber güvenlik konusunda sorumluluklar belirlenmeli. Kurumun bilgi güvenliği politikası uyarınca personele düşen güvenlik rol ve sorumlulukları belgelenmesi gerekiyor. İşe alınacak personele verilecek rol ve sorumluluklar açıkça tanımlanmalı. Bu kapsamda da işe alınacak çalışanların sorumlularını anlayıp, anlamadığı test edilmeli.

GÜÇLÜ ŞİFRELER OLMAZSA OLMAZ
Siber güvenliğin olmazsa olmazlarının başında güçlü şifreler geliyor. Hâlâ birçok kullanıcı şifrelerini ‘123456’ gibi art arda sıralı rakamlar oluşturuyor. Özellikle kendi altyapısını kuran şirketlerin çalışanları bu konuda oldukça bilinçsiz. Bunun için sistem kullanımında zayıf şifrelere engel olunmalı, alfa nümerik, üç ayda bir değişen şifreler düzenlenmeli ve benzer şifrelerin tekrar kullanılmasının engellenmesi gerekiyor.

RAPOR TUTULMALI
Envanter raporunun tutulması siber güvenlik için önemli olan diğer bir konunun başında. Tüm teknoloji varlıklarını içeren bir envanter raporu düzenli olarak tutulmalıdır. Yeni sistemlerin geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmalıdır.

YEDEKLEME KRİTİK BİR NOKTA
Bilgi işlem sistemlerinde yapılan değişiklikler denetlenmeli ve yapılan değişiklikler için kayıtlar tutulmalıdır. Yedekleme politikası uyarınca bilgi ve yazılımların yedeklenmesi ve yedeklerin test edilmesi düzenli olarak yapılmalıdır.

ÖNCELİKLENDİRME YAPILMALI
Şirketler, kritik düzeydeki operasyonları için bir önceliklendirme yapmalı. En kritik derecede öneme sahip olan iş alanı, siber saldırılara karşı güçlendirilmeli ve yatırımların ağırlığı bu noktaya kaydırılmalı. Özellikle bu alan siber saldırı simülasyonlarıyla sık sık test edilmeli. İş sürekliliğinin sağlanması gereken diğer alanlara da siber güvenlik yatırımlarında öne çıkmalı.

YATIRIM GEREKİYOR
Şirketlerin güvenlik yazılımları ve donanımları için önemli bir yatırım gerçekleştirmesi gerekiyor. Bu yazılım ve donanımlar, tüm çalışanlar tarafından kullanılması gerekiyor. Şirketlerin, bu yazılım ve donanımları güncel ve lisanslı olarak kullanması da kritik bir rol oyunuyor. Eski veya korsan yazılımlar ise yeni güvenlik tehditlerine cevap vermekte zorlanıyor.