Bilgi, çalışanlarınızın tehditlere karşı ilk savunma hattı olmasını sağlayan güçlü bir silah olduğu için ekibiniz siber güvenlik farkındalığına sahip olmalıdır.
Ekim ayı, Siber Güvenlik Farkındalığı Ayı (CSAM) olarak kabul ediliyor. Bu hem tüketici hem de kurumları kapsayan bir farkındalık artırma girişimidir. Ancak bu iki grubun sınırları net değildir çünkü her çalışan aynı zamanda bir tüketicidir. Aslında giderek daha fazla evden veya tercih ettiğimiz uzak çalışma noktasından çalışmaya başladığımız için, aradaki sınır hiç bu kadar bulanık olmamıştı. Ne yazık ki aynı zamanda güvenlik açığı riskleri de hiçbir zaman bu kadar fazla olmamıştı.
Daha siber güvenli bir dünya inşa etmenin başlangıç noktası burasıdır. Peki BT yöneticileri şimdi ve 2024’te güvenlik farkındalığını artırma programlarına neleri dahil etmeli? Geçmişteki risklerle değil, bugünün ve yarının siber tehditleriyle uğraştığınızdan emin olmanız gerekiyor.
Eğitim neden önemlidir
Verizon’a göre, geçtiğimiz yıldaki tüm küresel ihlallerin dörtte üçü (%74) “insan unsuru” içeriyor; bu da birçok durumda hata ve ihmallerin olduğunu, sonucunda da kullanıcıların kimlik avı ve sosyal mühendislik kurbanına dönüştüğünü gösteriyor. Güvenlik eğitimi ve farkındalık programları bu riskleri azaltmanın önemli bir yoludur. Ancak başarıya giden hızlı ve kolay bir yol yoktur. Aslında istenilen şey çok fazla eğitim ya da bilinçlendirme değil çünkü her ikisi de zamanla unutulabilir. Önemli olan uzun vadede kullanıcı davranışlarını değiştirmektir.
Bunu yapabilmenin yolu, öğrendiklerinizi her zaman akılda tutmak için sürekli olarak program yapmaktır. Aynı zamanda geçici personel, anlaşmalı kuruluşlar ve C düzey yöneticiler dahil herkesin programlara dahil olduğundan emin olmalısınız. Herkes hedef olabilir ve kötü adamların içeri girmesine izin vermek için tek bir hata yeterlidir. Ayrıca mesajların daha iyi hatırlanmasını sağlamak için oturumları küçük gruplar halinde düzenleyin. Mümkün olduğunda, belirli bir tehdidi canlandırmak için simülasyon veya oyunlaştırma uygulamaları yapın.
Daha önce de belirttiğimiz gibi, dersler belirli rollere ve sektörlere göre kişiselleştirilerek kişiye daha uygun hale getirilebilir. Ve oyunlaştırma teknikleri, eğitimi daha kalıcı ve ilgi çekici hale getirmek için faydalı olabilir.
Şimdi ve 2024’te dahil edilecek 3 alan
2023’ün sonuna geldiğimiz bu aylarda, gelecek senenin programlarına neleri dahil edebileceğimizi düşünmeliyiz. Aşağıdakileri göz önünde bulundurun:
1. BEC ve kimlik avı
Hedefli kimlik avı mesajlarından yararlanan İş e-postalarının güvenliğinin ihlal edilmesi (BEC) dolandırıcılığı, en çok kazandıran siber suç kategorilerinden biri olmaya devam ediyor. Geçen yıl FBI’a bildirilen vakalarda kurbanlar 2,7 milyar dolardan fazla para kaybetti. Bu, genellikle mağdurun, dolandırıcının kontrolü altındaki bir hesaba kurumsal kaynak transferini onaylaması için kandırılması yoluyla, temelde sosyal mühendisliğe dayanan bir suçtur.
Bunu başarmak için bir CEO veya tedarikçinin kimliğine bürünmek gibi çeşitli yöntemler vardır. Bu yöntemler, kimlik avı farkındalığı uygulamalarında doğru bir şekilde ele alınabilir. Bunlar, gelişmiş e-posta güvenliği, güvenli ödeme yöntemleri ve ödeme taleplerinin birden fazla kontrol edilmesi gibi konularla birleştirilmelidir.
Bu türden kimlik avı saldırıları yıllardır yapılıyor ancak hala kurumsal ağlara yönelik saldırılarda en çok kullanılan yol olma özelliği taşıyor. Evden ve mobil çalışan kişilerin dikkatlerinin kolayca dağılması nedeniyle de kötü adamların hedeflerine ulaşma ihtimali daha da artıyor. Çoğu durumda taktikler değişiyor ve kimlik avı farkındalığı uygulamaları da aynı şekilde değişmeli. Burada canlı simülasyonlar kullanıcı davranışlarını değiştirmeye gerçekten yardımcı olabilir. 2024 için, kısa mesaj veya mesajlaşma uygulamaları (smishing), sesli aramalar (vishing) ve çok faktörlü kimlik doğrulamanın (MFA) bypass edilmesi gibi yeni teknikler yoluyla kimlik avına ilişkin içerik eklemeyi düşünün.
Belirli sosyal mühendislik taktikleri sıklıkla değişmektedir, bu nedenle içeriğini buna göre güncelleyebilecek bir eğitim kurumu ile ortaklık kurmak iyi bir fikirdir.
2. Uzaktan ve hibrit çalışma güvenliği
Uzmanlar uzun süredir, evden çalışanların güvenlik yöntemlerini/ilkelerini önemsememe veya unutma ihtimalinin daha yüksek olduğu konusunda uyarılar yapıyordu. Yapılan bir çalışma, çalışanların %80’inin, örneğin yaz aylarında cuma günleri evden çalışmanın kendilerini daha rahat hissettirdiğini ve dikkatlerinin dağıldığını kabul ettiğini gösterdi. Bu durumda, özellikle ev ağları ve cihazları kurumsal ortamlarda kullanılanlara göre daha az korunuyor ise, çalışanlar daha yüksek risk altında olabilir. Dizüstü bilgisayarlar için güvenlik güncellemeleri, parola yönetimi ve yalnızca kurumsal onaylı cihazların kullanımına ilişkin tavsiyelerle eğitim programlarının devreye girmesi gereken yer burasıdır. Bunun kimlik avı farkındalığı eğitimiyle birlikte olması gerekir.
Buna ek olarak, hibrit çalışma bugün birçok işletme için standart hale geldi. Yapılan bir çalışma, işletmelerin yüzde 53’ünün bu yöntemi bir şirket politikası olarak benimsediğini ve bu sayının giderek büyüyeceğini iddia ediyor. Ancak ofise gidip gelmenin veya halka açık bir yerden çalışmanın bazı riskleri vardır. Bunlardan biri, mobil çalışanları, ortadaki düşman (AitM) saldırılarına ve “şeytani ikiz” tehditlerine maruz bırakabilecek halka açık Wi-Fi bağlantı noktalarından gelen tehditlerdir. Bu tehditler, bilgisayar korsanları bir ağa erişip bağlı cihazlar ile yönlendirici arasında dolaşan verileri gizlice dinlemek için, belirli bir konumda meşru bir erişim noktası gibi görünen yinelenen başka bir Wi-Fi erişim noktası kurduğunda oluşur.
Ayrıca dışarıda, “ileri teknoloji” çok ilgisi olmayan riskler de vardır. Eğitimlerde, çalışanlara toplum içinde birinin omzunuzun üzerinden ekranınıza bakmasıyla ilgili tehlikeleri hatırlatabilirsiniz.
3. Veri koruma
Düzenleyicilerin uyumsuzluklara karşı önlem alması nedeniyle GDPR cezaları 2022’de yıllık %168 artarak 2,9 milyar Euro’nun (3,1 milyar ABD Doları) üzerine çıktı. Bu, kuruluşların personellerinin veri koruma politikalarını doğru bir şekilde takip ettiğinden emin olmaları açısından oldukça önemlidir.
Düzenli eğitim, en doğru veri işleme uygulamalarını akılda tutmanın en iyi yollarından biridir. Bu, güçlü şifreleme kullanımı, iyi parola yönetimi, cihazların güvende tutulması ve herhangi bir olayın anında ilgili kişiye bildirilmesi gibi önlemler anlamına gelir.
Personel ayrıca, sık yapılan bir hata olan, istenmeyen e-posta veri sızıntılarına yol açan kör karbon kopya (BCC) kullanımı konusunda bilgilendirilebilir ve diğer teknik eğitimlerden de yararlanabilir. Ve yine çalışanlar sosyal medyada paylaştıklarının gizli tutulup tutulmadığı konusunu her zaman göz önünde bulundurmalıdır.
Eğitim ve farkındalık kursları tüm güvenlik stratejilerinin kritik bir parçasıdır. Ancak tek başlarına yeterli değildir. Kuruluşların ayrıca güçlü kontroller ve mobil cihaz yönetimi gibi araçlarla uygulanan çok sıkı güvenlik politikalarına sahip olması gerekir. Yüksek siber güvenlikli bir kurum kültürü oluşturmaya yönelik denklemin ögeleri “insanlar, süreç ve teknoloji”dir.
