IBM Cost of a Data Breach 2022 raporu, kuruluşunuz için iyi bir siber güvenlik projesi seçmenin önemini gösteren birçok bilgi veriyor. Verileri ihlal edilen şirketlerde çalışan 3.600’den fazla kişiyle yapılan görüşmeleri içeren bu belgeden elde edilen bilgilere göre, endişe verici sonuçlara ulaşıldı.
İlk olarak, ankete katılan kuruluşların %83’ü Mart 2021 ile Mart 2022 arasında bir tür ihlal yaşadı. Ayrıca bu saldırıların %60’ı müşteriler için fiyatları artırdı.
Ayrıca kritik altyapı kuruluşlarının %79’unun siber tehditleri önlemek için sıfır güven planı uygulamadığı ve ihlallerin %19’unun güvenliği ihlal edilmiş bir iş ortağından (tedarik zinciri) kaynaklandığı tespit edildi.
Bu kadar çok dijital güvenlik açığıyla karşı karşıya kalındığında, bir siber güvenlik projesini uygulamaya nereden başlayacağınızı bilmek zor olabilir. Bu nedenle, bu konuyu burada ele alıyoruz. Okumanızı kolaylaştırmak için metnimizi konulara ayırdık:
- Güvenlik hakkında
- Siber güvenliğin önemi
- Siber güvenlik projesi nedir?
- Beş siber güvenlik türü
- İnsanlar, süreçler ve teknolojiler: Her siber güvenlik projesinin başarısı için önemli unsurlar
- Bir şirkette siber güvenlik projelerine öncelik verme yönergeleri
- Şirketlerin karşılaştığı başlıca siber tehditler
- Sonuç
Güvenlik hakkında
Siber güvenlikten bahsettiğimizde, cihazlara, programlara, verilere ve ağlara yönelik saldırıları önlemek, bilgisayar korsanlarının faaliyetlerinden kaçınmak, içeriden ve dışarıdan gelebilecek tehditlere ve doğal afetlere karşı korunmak ve bir şirketin verilerinin gizliliğini sağlamak için kullanılan bir dizi teknoloji, prosedür ve yöntemden bahsediyoruz.
Bununla birlikte, Covid-19 salgınıyla hızlanan dijital dönüşüm, uzaktan çalışmanın yaygınlaşması ile çeşitli güvenlik açıklarını da beraberinde getirdi. Sonuç olarak, veri sızıntılarında, kimlik avı e-postalarında ve hesap istilalarında önemli bir artış oldu.
Siber güvenliğin önemi
Şu anda şirketlerdeki süreçler dijital dönüşüm nedeniyle çevrimiçi dünyaya taşınıyor. Ancak bu durum bir işletme için büyük önem taşıyan bilgi kaybını “kolaylaştırabilir”.
Bu nedenle, kuruluşların operasyonlarını güvence altına almak ve kötü amaçlı yazılım, virüs ve kimlik avı gibi tehditleri önlemek için siber güvenliğe yatırım yapması gerekiyor.
Kötü niyetli saldırganların zaman içinde tekniklerini geliştirdiğinin de bilinmesi gerekir. Bu nedenle veri güvenliğini sürdürmek ve tehlikeye atılan işlerden kaçınmak giderek daha zor hale geliyor.
Diğer bir yenilik ise, kuruluşları müşterilerinden, çalışanlarından ve iş ortaklarından gelen hassas bilgilerin ifşa edilmesinden sorumlu tutan ve milyon dolarlık yaptırımlara yol açan veri koruma yasalarıdır.
Uygulamada, kazara veya kasıtlı veri kaybını önlemek için bu mevzuatların uyulması gereken çeşitli gereklilikleri vardır.
Yani, iyi bir siber güvenlik projesine yatırım yapmak, uygunsuzluktan, finansal kayıplardan, itibar kaybından ve şirketlerin kapanmasından kaçınmak için önerilen önlemdir.
Siber güvenlik projesi nedir?
Siber güvenlik projeleri, herhangi bir şirket içinde dijital güvenliği teşvik etmeyi amaçlamaktadır. Önemi, hacker saldırıları gibi siber tehditlerden kaçınma olasılığında yatmaktadır. Ayrıca, kasıtlı olsun olmasın, çalışanların veya üçüncü tarafların hatalarının kuruluş üzerinde daha az etkiye sahip olmasına katkıda bulunur. Veri kaybı, güvenilirlik, veri koruma yasaları tarafından uygulanan milyonluk yaptırımlar gibi bir işletmenin sona ermesine bile neden olabilecek kayıp olasılığını azaltır. Küçük şirketlerde bu daha da önemli bir hal almaktadır. Bir Cisco araştırmasına göre, bir siber saldırıdan etkilenen kuruluşların %60’ı olaydan sonraki 6 ay içinde operasyonlarını durdurmuştur.
Beş önemli siber güvenlik türü:
- Kritik Altyapı Güvenliği
- Uygulama Güvenliği
- Ağ Güvenliği
- Bulut Güvenliği
- Nesnelerin İnterneti (IoT) Güvenliği
Kritik altyapı güvenliği
Nedir?
Kritik altyapı güvenliğinden bahsederken, bir ülkenin ekonomisinin, sağlığının ve kamu hizmetlerinin güvenliğini sağlamak için gerekli olan endüstrilerdeki sistemlerin, ağların ve varlıkların güvenliğini düşünen alanı kastediyoruz. Bu sektörler kimya, iletişim, kamu hizmetleri, enerji ve finans endüstrilerini içerir.
Zorlukları Nelerdir?
Kritik altyapı için en büyük zorluk, sınırlı koruma özelliklerine karşı sistemlerinin sunduğu güvenlik sorunlarıdır.
Uygulama güvenliği
Nedir?
Bu programlar bilgisayar korsanları için giderek daha fazla hedef haline geldiğinden, uygulama güvenliği çok önemlidir. Geliştirilme ve sonra uygulanmaları sırasında ortaya çıkan, onları daha güvenli hale getirmek için benimsenen uygulamalardan oluşur.
Zorlukları Nelerdir?
Uygulama güvenliğinin sağlanması, bu uygulamalar için geliştirilen tüm araçların takibini gerektirir. Daha karmaşık bir altyapıya yönelik yazılım gerektirebilecek bir şirketin gelecekteki ihtiyaçlarının farkında olmak da önemlidir.
Ağ güvenliği
Nedir?
Ağ güvenliği, donanım ve yazılım çözümlerinin yanı sıra ağı ve verileri siber saldırılara karşı korumayı amaçlayan prosedürleri ifade eden bir terimdir. Uygulamada bu kavram, diğer faktörlerin yanı sıra ağ analizi, uygulama güvenliği, erişim kontrolü ve antivirüs yazılımını içerir.
Zorlukları Nelerdir?
Ağ güvenliğinin ana zorluğu, büyük hacimli siber tehditler ve şirketlerde kullanılan ve aynı zamanda yeni sorunları da temsil eden çeşitli işlevler içeren, giderek karmaşıklaşan yapılarda korumayı sürdürmektir.
Bulutta siber güvenlik
Nedir?
Şirketler dijital dönüşümün etkisinde kaldıkça bulut çözümlerine daha bağımlı hale geliyor ve bu bağlamda dijital güvenliği sağlayan önlemler almaları gerekiyor.
Bunun nedeni, dış kaynaklı sağlayıcıların altyapı yönetiminden bile sorumlu olabilmesidir, ancak açığa çıkan herhangi bir verinin sorumluluğu da kuruluşta kalmaktadır.
Zorlukları Nelerdir?
Bulut çözümlerini benimseyen şirketlerin karşılaştığı zorluklar, dinamik bir ortamda güvenlik kriterlerini karşılama becerisiyle ilgilidir ve bu da verilere erişim ve veri kullanımında görünürlük eksikliğine neden olabilir.
Nesnelerin interneti (IoT) güvenliği
Nedir?
Nesnelerin interneti güvenliği, güvenlik kameraları gibi araçlarda doğrudan buluta bağlı cihazların korunmasıyla ilişkilidir. İşlevi, siber güvenlik ve veri koruma hususlarını dikkate almadan, tasarlanmış cihazları korumaktır.
Zorlukları Nelerdir?
Nesnelerin interneti güvenliğiyle ilgili en büyük zorluk, insan faaliyetleriyle ilgilidir. Uygulamada, bu cihazların artan bağlanabilirliği ile, örneğin, kullanıcılara varsayılan parolaların değiştirilmesi ve güncelleme ihtiyacı hakkında talimat verilmesi gerekir.
Öte yandan, birçok kullanıcı bu cihazları saldırı hedefi olarak görmemekte ve geliştirme ve kullanımları sırasında en iyi güvenlik uygulamalarını göz ardı etmektedir.
İnsanlar, süreçler ve teknolojiler: Her siber güvenlik projesinin başarısı için önemli unsurlar
Verimli bir siber güvenlik projesi, yalnızca önceki konuda ele alınan beş tür dijital güvenliği içermez. Diğer önemli unsurları da hesaba katmak önemlidir. Bunlar: insanlar, süreçler ve teknoloji.
İşte bu yönler hakkında bilmeniz gerekenler:
Siber güvenlik ve insan faktörü
Siber güvenlik projeleri söz konusu olduğunda, en son teknolojiye yatırım yapmak yeterli değildir. Kullanıcıları, güvenlik protokollerine uymaları ve şirket verilerinin korunmasını sağlamaları için eğitmek çok önemlidir.
Günlük yaşamda, çalışanlarınız güvenlik risklerini çeşitli şekillerde artırır.
Bunlar arasında şunları vurgulayabiliriz:
URL’lere tıklama ve şüpheli e-postaları açmak
Hassas verileri korumak için çalışanlarınızı bu uygulamanın içerdiği riskler konusunda bilinçlendirmek ve sahte adreslerden gelen e-postaların dikkate alınmamalarını teşvik etmek gereklidir.
Aynı parolayı uzun süre kullanmak
Şirketinizin güvenliğini sağlamak için çalışanlarınızın şifrelerinin düzenli olarak değiştirilmesi gerekmektedir. Ayrıca güçlü kombinasyonlar kullanılmalı ve aynı şifrenin farklı servislerde tekrar kullanılmaması gerekmektedir.
Bu kadar çok parolayı ezberlemenin zorluğu nedeniyle, yalnızca tek bir kodun ezberlenmesini gerektirecek bir parola kasası kullanılmasını da öneririz.
İnternette kişisel gezinme
Pek çok kişi, şirketlerinin cihazlarını sosyal medyaya girmek, alışveriş yapmak veya fatura ödemek gibi kişisel amaçlar için kullanıyor. En büyük sorun, bu davranışın bilgi toplamak isteyen kötü niyetli ajanların işini kolaylaştırmasıdır. Bu nedenle, çalışanlarınızdan kişisel tarama için kurumsal cihazları değil, kendi cihazlarını kullanmalarını isteyin.
Siber güvenlik ve yedekleme eksikliği
Birçok kişi, görevlerini tamamlarken yedekleme yapmakta hala başarısız oluyor. Bununla birlikte, sistem dosyalarının yedeklenmesi çok önemlidir. Dolayısıyla çalışanlar, bu işlevlerde BT ekibinin yardımına ihtiyaç duyduklarını anlamalıdır.
Gözetimsiz cihazlar
Cihazların masalarda gözetimsiz ve bloke edilmeden bırakılması oldukça yaygın bir uygulamadır ve bu durum firma güvenliğine de zarar verebilmektedir. Bu nedenle çalışanların bu cihazlarda yer alan verileri korumanın ve kontrollerini sürdürmenin önemi konusunda bilinçlendirilmesi esastır.
Süreçler
Bilgi güvenliği uzmanları, hassas verileri korumak için çok sayıda süreç kullanır. Uygulamada, siber tehditleri belirlemeleri ve bunlarla mücadele etmeleri, bilgileri korumaları ve olaylara müdahale etmeleri gerekiyor.
Uygulanmasının yanı sıra, zamandan ve finansal kaynaklardan tasarruf etmek ve siber saldırı durumlarında müşteri güvenini korumak için bu süreçlerin belgelenmesi gerekir.
Siber güvenlikle ilgili risklere karşı koymak için, ABD Ticaret Bakanlığı Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından eski ABD Başkanı Barack Obama’nın 2014’te bir icra emri imzalamasının ardından geliştirilen Siber Güvenlik Çerçevesini kullanmanızı öneririz.
Teknoloji
Güvenlik süreçlerinin konuşlandırılmasından sonra, siber tehditlerden kaçınmak için mevcut araçların değerlendirilmesi vazgeçilmezdir.
Bunun için iki tür teknolojiyi göz önünde bulundurmalısınız: antivirüs, DNS filtreleme ve kötü amaçlı yazılım koruması gibi saldırıları önlemenize ve bunlarla mücadele etmenize yardımcı olacak teknolojiler; ve bilgisayarlar, yönlendiriciler ve bulut dahil olmak üzere korumaya ihtiyaç duyanlar.
Önceden, güvenlik çevrelerine güvenebilirdik. Artık bulut ortamlarına geçiş, uzaktan çalışma ve Kendi Cihazını Getir (BYOD) gibi politikalar bilgisayar korsanlarının çalışmasını kolaylaştırdı.
Bir şirkette siber güvenlik projelerine öncelik verme yönergeleri
Bir siber güvenlik projesi, BT personelini gereksiz işlerle boğmamak ve şirketin bir siber saldırıyla başa çıkma becerisini sağlamak için çok önemlidir.
Ancak, siber güvenlik projenizi oluşturmak ve yürütmek için bazı adımlar atmanız gerekir.
Şirketinizin hedeflerini anlamak
Her kuruluşun, siber güvenlik projesinin oluşturulmasına rehberlik etmesi gereken stratejik hedefleri vardır. Bu nedenle şirketin vizyonunu, iş ve siber güvenlik stratejilerini değerlendirmek önemlidir.
Bu bilgi, projenin geliştirilmesi için bir temel oluşturacak ve gerçekten verimli olup olmadığını aşamalı olarak bilmek için bir rehber olacaktır.
Şirketin stratejik hedeflerini anlamak için konuyla ilgili belgeleri okuyun ve önceliklerini öğrenmek için üst yönetimle konuşun.
Projenin arkasındaki nedeni keşfetmek
Siber güvenlik projeleri, hepsinin ortak olarak siber olayları önlemesi ve bunlarla mücadele etmesi gerekmesine rağmen, çeşitli nedenlerle motive edilebilir.
Uygulamada proje, siber güvenlik, bir güvenlik sisteminin uygulanması veya güncellenmesi, yeni yasa ve yönetmeliklere uyum vb. konularda bir bilinçlendirme ve eğitim kampanyası olabilir.
Projenin motivasyonunun ne olduğunu anlamak, kesinlikle şirketin operasyonlarını doğrudan etkileyen önceliklerin belirlenmesine katkıda bulunacaktır.
Proje değerinin belirlenmesi
Burada değerden bahsederken siber güvenlik projesinin bir kurum için öneminden bahsediyoruz. Yani, paydaşları nasıl etkileyeceğini ve iş için gerçek öneminin ne olduğunu analiz etmek uygundur. Büyük değer katan bir projeye mutlaka öncelik verilmelidir.
Aciliyet analizi
Öncelik verilmesi gerekip gerekmediğini veya bekleyip bekleyemeyeceğini belirlemek için siber güvenlik projesinin aciliyetini değerlendirmek önemlidir. Ancak, değişiklikler meydana geldikçe önceliklerin değiştirilebileceğini ve değiştirilmesi gerektiğini unutmayın.
Projenin başarısını etkileyen unsurların detaylandırılması
Başarılı bir siber güvenlik projesi, diğer şeylerin yanı sıra bütçeler, son tarihler ve yatırım getirisi (ROI) gibi bir dizi faktöre bağlıdır.
Öte yandan, elverişsiz koşullar nedeniyle bir projeyi yürütmek genellikle imkansızdır. Bu nedenle, projenin başarısını neyin etkileyebileceğini önceden bilmek tavsiye edilir.
Siber güvenlik projesinin önceliğe göre sıralanması
Eldeki amaçlar, hedefler ve başarı olasılıkları hakkındaki bilgilerle, puana dayalı olabilen genel bir sınıflandırma yoluyla bir öncelikler sıralaması oluşturmanın zamanı geldi.
Bir seferde kaç proje yürütülebileceğini tanımlamak
Muhtemelen, kuruluş tüm öncelikli projeleri aynı anda üstlenemeyecek. Bu nedenle, çözüm, bunlar üzerinde aşamalı bir şekilde çalışmak ve yürütülecek planlardan oluşan bir sıra oluşturmaktır.
Diğer bir öneri de önce en hızlı olanları, ardından daha fazla zaman ve çaba gerektirenleri çalıştırmanızdır.
Bulguları üst yönetimle paylaşma
Siber güvenlik projesine başlamadan önce yöneticilerle bir araya gelmek ve toplanan bilgileri paylaşmak esastır. Bunun nedeni, bulguların, projelerin öncelik sırasını değiştirmek için içgörüler olarak hizmet edebilmesidir ve üst yönetimin gemide olmasını gerektirebilir.
Esnek çalışma ve siber güvenlik
Siber güvenlik projeleriyle çalışmak esneklik gerektirir, sonuçta öncelikler bağlama göre değiştirilebilir. Bu arada bu, uzaktan çalışmanın kitlesel olarak benimsenmesini hızlandıran ve güvenlik ekiplerine yeni talepler getiren Covid-19’un başlamasından sonra çoğu şirkette oluşmaya başladı.
PAM neden önemli?
Ayrıcalıklı erișimin daha gerçekleștirilmeden önce nasıl uygun șekilde korunmasını sağlayacağınızı keșfedeceksiniz.
Şirketlerin karşılaştığı başlıca siber güvenlik tehditleri
Bir siber güvenlik projesi tarafından dikkate alınması gereken ana siber tehditler şunlardır:
- Fidye yazılımı;
- Oltalama (Kimlik Avı);
- Mobil Cihazlara Yapılan Saldırılar;
- QR Kod Kullanarak Yapılan Saldırılar;
- Hizmet Reddi (DDoS) Saldırıları;
- LotL ve AVT Saldırıları.
Aşağıda her birinin ayrıntılı açıklamasını görebilirsiniz:
Fidye yazılımı
Bu tür siber suçlar şu şekilde işliyor: Saldırgan bir ağı veya sistemi bloke ediyor ve geri verilmeyebilecek ancak diğer suçlulara satılabilecek bilgilerin yayınlanması karşılığında milyonluk meblağlar istiyor. Şirketlerde etkin siber güvenlik mekanizmalarının olmaması nedeniyle bu taktik çok yaygın.
Oltalama (Kimlik avı)
Sanal ortamdaki bir diğer yaygın suç, sahte e-postalar göndermek ve meşru bir kuruluşmuş gibi davranarak oluşan kimlik avıdır. Bununla, kötü niyetli ajanlar kurbanlarını kişisel bilgileri paylaşmaya veya kendi çıkarları için harekete geçmeye ikna eder.
Yapay zeka yoluyla üretilen çok gerçekçi ses kayıtları gibi bazı çok karmaşık kimlik avı saldırıları da vardır.
Mobil cihazlara saldırılar
Uzaktan çalışan birçok kişiyle, kişisel cihazların kurumsal amaçlarla ve kurumsal cihazların ise kişisel amaçlarla kullanılması daha sık meydana gelme eğilimindedir.
Bu, özellikle cihazlara yapılan kötü amaçlı yazılım saldırıları karşısında güvenlik açıklarını artırır.
QR kodlarını kullanan saldırılar
Şu anda siber suçlular, kötü amaçlı yazılım uygulamaları dağıtmak, kurbanlarının telefonlarını etkilemek ve banka bilgilerini çalmak için QR Kodlarını kullanıyor.
Bu nedenle, şirket tarafından sağlanan kodu erişmeden önce kontrol etmeniz önerilir.
Hizmet reddi (DDoS) saldırıları
Bu tür bir saldırı, bilgisayar korsanı bir makineyi trafikle aşırı yüklediğinde, normal çalışmasını bozduğunda ve bir hizmeti kullanıcılar için kullanılamaz hale getirdiğinde gerçekleşir. Uygulamada saldırı tek bir bilgisayar üzerinden gerçekleştirilir.
LotL ve AVT saldırıları
Daha az bilinen, Living off the Land (LotL) saldırılarının, bir şirketin sistemlerine erişmek için kötü amaçlı dosyalar oluşturmasına gerek yoktur, çünkü zaten var olan ağ geçitlerini kullanırlar.
Advanced Volatile Threat (AVT) saldırıları, bir kuruluşun verilerine mümkün olan en kısa sürede erişim sağlar.
Daha detaylı bilgi için ilgili makalemiz: Sık görülen kimlik avı türleri ve alabileceğiniz önlemler!
Sonuç
Bu makalede şunları gördünüz:
- Siber güvenlik, siber saldırıları önlemek için kullanılan bir dizi teknoloji, prosedür ve yöntemdir;
- Dijital dönüşüm, BT yapılarına yeni güvenlik açıkları getirdi;
- Şirketler, kötü amaçlı yazılım, virüsler ve kimlik avı gibi tehditleri önlemek için siber güvenliğe yatırım yapmalıdır;
- Veri koruma yasaları, kuruluşları müşterilerinin, çalışanlarının ve iş ortaklarının hassas bilgilerinin ifşa edilmesinden sorumlu tutar;
- Siber güvenlik projeleri, herhangi bir şirkette dijital güvenliği teşvik etmeyi amaçlar;
- Beş tür siber güvenlik vardır: kritik altyapı güvenliği, uygulama güvenliği, ağ güvenliği, bulut güvenliği ve Nesnelerin İnterneti (IoT) güvenliği;
- Bir siber güvenlik projesinin başarısı için en önemli unsurlar arasında insanlar, süreçler ve teknoloji öne çıkıyor;
- Bir şirket içindeki siber güvenlik projelerinin önceliklerini tanımlamak için; kuruluşun hedeflerini anlamak, her projenin nedenini bulmak, değerini belirlemek, aciliyetini değerlendirmek, başarısını engelleyen yönleri detaylandırmak, projeleri öncelik sırasına göre sıralamak, aynı anda kaç proje yürütmenin mümkün olduğunu tanımlamak, bulguları üst yönetimle paylaşmak ve esnek çalışmak gerekmektedir;
- Şirketlerin karşılaştığı başlıca tehditler fidye yazılımı, kimlik avı, mobil cihaz saldırıları, QR Kodları kullanılarak yapılan saldırılar, hizmet reddi (DDoS) saldırıları ve LotL ve AVT saldırılarıdır.
Siber güvenlik projesi ile ilgili yazımızı beğendiniz mi? Bu konuyla ilgilenen biriyle paylaşın!
