Siber güvenlik, kötü niyetli saldırıları önlemek amacıyla fiziksel ve dijital verileri korumak için vardır. Dolayısıyla bir dizi aksamayı ve mali kayıp olasılığını önlediği için kuruluşlar için gerekli bir yatırımdır.
Sorun, işletmelerin sanal ortamdaki kötü niyetli ajanların faaliyetleriyle mücadele etmek için sıklıkla en ileri çözümlere yatırım yapmasına rağmen çok önemli bir hususu gözden kaçırmasıdır: Çalışanlarını eğitmenin ve onları bu tehditlerle baş etmek için gerekli becerilerle donatmanın önemi. Bu kılavuzda, kuruluşların ekiplerini neden siber güvenlik konusunda bilinçlendirmeleri gerektiğini ve bilgi güvenliği eğitiminde ele alınması gereken ana hususların neler olduğunu açıklıyoruz.
Siber güvenlik farkındalığı
Çalışanların siber güvenlik konusunda bilinçlendirilmesi her şirket için çok önemlidir ve bu konunun bir kenara bırakılması tahmin edilemez kayıplara yol açabilir.
Çünkü teknolojinin sürekli gelişimi, belirli bir sistemi istila etme amacında olanlar için giderek daha sofistike araçlar sağlamaktadır.
Bu nedenle, çalışan eğitimi yoksa güvenlik teknolojilerine yatırım yapmak yeterli değildir. Çalışanların; finansal dolandırıcılıklara düşmek, fahiş miktarlarda tazminat ödemek zorunda kalmak ve tüketicilerin ürün ve hizmetlerine olan güvenini kaybederek işi tehlikeye atmak gibi kuruluşun ve müşterilerin verilerinin ihlalini içeren tüm riskleri bilmeleri gerekir.
Şirketler bu risklerden kaçınmak için ekiplerinde bir zihniyet değişikliğini teşvik etmelidir.
Siber güvenlik eğitimi neden önemlidir?
Şirketler, personelin siber güvenliğin önemi konusunda bilinçlenmesini sağlayan kültürel bir değişimi teşvik etmenin yanı sıra herkesin güvenliğin risk altında olduğu durumları anlamasını sağlamak için eğitime yatırım yapmalıdır. Aşağıda eğitimin önemini gösteren bazı istatistikler yer almaktadır:
- İnsanların %75’i çevrimiçi güvenliğin nasıl sağlanacağını bilmiyor (kaynak: NCSC)
- Dünyada siber saldırılardan en çok etkilenen ülkeler arasında Türkiye 5.sırada yer alıyor (kaynak: Teknopark İstanbul)
- Kötü niyetli bir saldırının doğrudan sorunlarını çözmek için geçen ortalama süre 50 gündür (kaynak: Accenture)
Bu rakamlar, çoğu kuruluşun ve çalışanlarının henüz bilgi güvenliğini sağlamaya hazır olmadığına işaret ediyor ve bu da onları bilgisayar korsanları karşısında savunmasız bir duruma düşürüyor.
Bu nedenle eğitim sadece BT ekibine yönelik bir mekanizma olmamalıdır. Siber güvenlik herkesin sorumluluğu olarak görülmelidir.
Siber güvenlik eğitiminde hangi konular zorunludur?
Artık işletmelerin sanal güvenliği sağlamak için kaynak sağlayan siber farkındalık ve eğitime yatırım yapmasının neden kritik olduğunu biliyorsunuz. Şimdi bu faaliyetlerde hangi konuların ele alınması gerektiğini detaylandıralım.
E-Posta güvenliği
Çalışanlarınız hesaplarını izinsiz girişlerden korumak için eğitilmediyse e-postaları korumak için teknolojik çözümlere yatırım yapmanın bir anlamı yoktur.
Çünkü e-posta günümüzde saldırganlar tarafından spam ve kimlik avı saldırıları, kötü amaçlı yazılım yaymak ve gizli verileri elde etmek amacıyla sosyal mühendislik uygulamak için sıklıkla kullanılan bir kanaldır.
Sosyal mühendislik
Sosyal mühendislik, insanları suçluların lehine eylemlerde bulunmaya ikna etmek için sosyal manipülasyon ve sosyal psikolojiye dayanan araç ve uygulamaların kullanılmasından oluşur.
En çok kullanılan yöntemler arasında şunlar öne çıkmaktadır: Finansal dolandırıcılık, kimlik bilgisi hırsızlığı, gelişmiş kalıcı hırsızlık ve teknik destek kimliğinin tahrif edilmesi.
Oltalama
Bu siber suçta, kötü niyetli ajan bir kurumun kimliğine bürünerek kurbanlarından veri çalmak için yetki kazanır. Bu tür eylemler oldukça yaygındır: BT liderlerinin %56’sı kimlik avı sorunu yaşadığını iddia etmektedir.
Bu nedenle ekibin oltalama yönteminin varlığından haberdar olması yeterli değildir. Aşağıdakiler gibi çeşitli alt türlerde olabilen oltalama e-postalarıyla başa çıkmak için hazırlıklı da olunması gerekir:
- Vishing
- Smishing
- Büyük balık avcılığı
- C Seviyesi e-posta kimlik hırsızlığı
- Web oltalama
- Spear phishing
- Kitlesel pazarlama kimlik avı
Kimlik avı en yaygın siber saldırılardan biridir. Bu nedenle, çalışanlarınız bu tuzağa düşmemek için eğitilmelidir.
Fidye yazılımı
Fidye yazılımları adından da anlaşılacağı üzere gerçek ve tüzel kişilerden zorla para almak için kullanılan bir türdür. Yöntem, suçluların belirli bir miktar ödenmediği takdirde verileri şifreleme ve çoğu durumda kuruluştan verileri çalma tehdidinden oluşur.
Kurbanlardan birinin bilgisayar ekranında, verilerin şifrelendiği ve şifre çözme anahtarının yalnızca gereksinimler karşılanırsa sağlanacağı konusunda uyarıda bulunan bir mesaj görünebilir.
Parolalar
Doğru kullanıldığı takdirde parolalar, basit bir mekanizma olmasına rağmen verileri ve BT sistemlerini siber saldırılardan korumak için çok faydalıdır.
Basit bir mekanizma olmasına rağmen parolaların doğru kullanılması verileri ve BT sistemlerini siber saldırılardan korumak için oldukça faydalıdır.
Güçlü parolalar seçmenizi ve her web sitesi veya yazılım için farklı bir parola kullanmanızı öneririz. Bunun için bir Ayrıcalıklı Erişim Yönetimi (PAM) çözümüne güvenebilirsiniz.
Kötü amaçlı yazılım
Kötü amaçlı yazılımlar temel olarak cihazlara ve sistemlere zarar vermek ve veri çalmak için tasarlanmış yazılımlardır. Neden olduğu hasarı kontrol etmek, bir olayı önlemekten daha az karmaşıktır.
Bu nedenle şirketler ekiplerini bu tür tehditlerle başa çıkmaya hazırlamalıdır.
Bilgi sızıntıları
Bilgi sızıntıları, verilerin yetkisiz bir kuruluştan harici bir alıcıya iletilmesidir. Bu bilgiler elektronik ya da fiziksel olarak aktarılabilir.
Bu sızıntılar genellikle web veya e-posta yoluyla gerçekleşse de optik medya, USB anahtarlar ve dizüstü bilgisayarlar dahil olmak üzere veri depolayan mobil cihazlar da kullanılabilir.
Bununla birlikte genellikle kimlik avı ile başlayan kazara veri sızıntılarını önlemek için çalışanları eğiterek bunun meydana gelmesini önleyebilirsiniz.
Güvenliği ihlal edilmiş kurumsal e-posta
Güvenliği ihlal edilmiş kurumsal e-posta, suçlunun hesabına para aktarmak için bir kuruluşla ilişkili birini manipüle eden gelişmiş bir aldatma aracı olarak tanımlanabilir.
CEO Dolandırıcılığı olarak da bilinen bu dolandırıcılık genellikle üst düzey yöneticilere odaklanır ve dolandırıcının yararına sosyal mühendislik uygulamalarını kullanır.
Uzaktan çalışma
Ev-ofis konsepti, özellikle Covid-19 pandemisinden sonra giderek yaygınlaşıyor. Ayrıca birçok insan iş için seyahat ediyor ve her yerden çalışıyor. Bu durum siber güvenliği zayıflatıyor ve bir şirketin bilgilerinin ihlal edilmesini önlemek için daha fazla özen gösterilmesini gerektiriyor.
Bu nedenle veri aktarımı için TSL (veya Taşıma Katmanı Güvenliği) ve koşullu erişim gibi güvenli protokollerin yanı sıra verilere erişimi yönetmek, cihazları şifrelemek ve çok faktörlü kimlik doğrulama gibi mekanizmalar aracılığıyla parola korumasını güçlendirmek için Kurumsal BT için Mobil Cihaz Yönetimi gibi çözümlerin kullanılmasını öneriyoruz.
Siber güvenliğe katkıda bulunabilecek bir diğer önlem de şirket güvenlik gerekliliklerine uymayan ve kurumsal düzeyde yönetilmeyen cihazlar aracılığıyla verilere erişimin yasaklanmasıdır. Bu tedbir, Sıfır Güvene dayalı politikalar uygulanarak gerçekleştirilebilir.
Güvenlik standartları
Bilgi güvenliği standartları, kuruluşunuzun çalışanlarınızın karşılaşabileceği her türlü saldırıyı kontrol edebildiğini doğrulamak için kullanılmalıdır. Bu standartlar veri toplamayı, tehditleri sınıflandırmayı ve bunlara nasıl tepki verileceğini belirlemeyi mümkün kılar.
Siber güvenlik standartları sektöre göre değişiklik gösterebilir. En yaygın olanları arasında aşağıdakiler öne çıkmaktadır:
- PCI DSS (Kredi kartı verileri için)
- NERC / CIP (Enerji ve kamu hizmeti şirketleri)
- FISMA / NIST (Federal kurumlar veya devlet yüklenicileri)
- HIPAA (Sağlık hizmetleri)
- NYCRR (New York tarafından düzenlenen finansal hizmetler kurumları)
- SOX (Kamu ve özel kuruluşlar)
- KVKK (Gerçek ve tüzel kişiler)
Sonuç
Bu kılavuzda, BT güvenliğine yapılan yatırımların nasıl zorunlu olduğunu ve kuruluşlarda siber farkındalığı teşvik etmenin neden gerekli olduğunu gösterdik.
Ayrıca ekiplerin eğitimden geçmesinin neden gerekli olduğunu ve bu eğitimlerde keşfedilmesi gereken ana konuların neler olduğundan bahsettik.
senhasegura hakkında
senhasegura, şirketlerin eylemler ve ayrıcalıklı bilgiler üzerindeki dijital egemenliğini garanti eder.
Bunu yapmak için veri hırsızlığına karşı; ağlar, sunucular, veri tabanları ve çok sayıda cihaz üzerindeki yönetici eylemlerinin izlenebilirliği yoluyla çalışır.
Ayrıca şirketleri denetim gereklilikleri ve KVKK, PCI DSS, SOX, ISO 27001 ve HIPAA gibi en zorlu standartlarla uyumlu hale getirir.
Hemen bir deneme sürümü talep edin ve senhasegura‘nın şirketiniz için faydalarını keşfedin.
Telefon numarası dolandırıcılığı! Aradığınız kişi ben miyim?
Siber güvenlik güncelleme süreçlerinin karmaşıklığı
