Eski çalışanlarınızın kurumsal bilgilere erişimi olmadığından ne kadar eminsiniz? Pratikte de görüldüğü gibi, bu yersiz bir soru değil. Çalışanlarımız son araştırmalarında, ne olacağı kestirilemeyen dünyada küçük ve orta ölçekli işletmelerin (KOBİ’ler) siber olaylara ne kadar hazırlıklı olduğunu analiz etti. Araştırma, ankete katılan KOBİ’lerin yaklaşık yarısının, eski çalışanların bulut hizmetlerini veya kurumsal hesapları kullanarak işletme verilerine erişemeyeceğinden %100 emin olmadığını ortaya koydu.
Kurumsal verilere erişebilen eski bir çalışanın ne zararı olabilir?
Eğer işine yarar bir şeyse, eski bir çalışan işletme hizmetlerine veya bilgi sistemlerine eriştiğinde, eski işverenine sandığınızdan daha çok zarar verebilir. Genelde KOBİ’ler, eski bir çalışanın kendi rakip işletmesini kurmak için kurumsal verileri kullanması veya bir rakiple iş ortaklığı yaparak şirketin müşterilerini çalması gibi oldukça hayali tehditler konusunda endişeleniyor. Ancak ticari zarar söz konusu olduğunda, bunlar listenin altında yer alıyor.
Eski çalışanınız kişisel verileri içeren müşteri veri tabanına erişebiliyorsa, bu verileri sızdırabilir (işten çıkarılmanın intikamı olarak) veya dark web’de satabilir. Öncelikle, bu işletmenizin itibarını zedeler. İkincisi, müşterilerinizi riske atabilir. Zarar için olmasa bile, müşterileriniz en azından kişisel verilerinin sızdırılması sebebiyle yasal işlem başlatabilir. Üçüncüsü ise, denetmenlerden ağır bir para cezası alabilirsiniz. Sonuncusu elbette faaliyette bulunduğunuz ülkenin yasalarına bağlı. Ancak dünya çapında, bu tarz veri sızıntılarına yönelik cezaları sıkılaştırmaya doğru bir eğilim var.
Karşılaşılabilecek kötü niyetli olmayan sorunlar
Bazı sorunların sebebi, eski çalışanların entrikaları veya bilgi sızdırmaları değildir. Eski bir çalışan, bu tarz bir kaynağa erişimi olduğunu hatırlamayabilir bile. Ancak aynı denetmenlerin rutin bir kontrolü, yetkisiz kişilerin gizli bilgilere erişimi olduğunu ortaya çıkarabilir. Bu durum da, yine para cezasıyla sonuçlanabilir.
Eski çalışanlarınızla yollarınızı iyi bir şekilde ayırdığınızdan emin olsanız bile, bu, tehlikede olmadığınız anlamına gelmez. Eski çalışanlarınızın, saldırganların kaba kuvvet uygulayabilecekleri veya hiç alakası olmayan bir veri sızıntısıyla karşılaşabilecekleri işletme sistemlerine erişmek için zayıf veya benzersiz olmayan bir parola kullanmadıklarının garantisini kim verebilir? İster ortak çalışma ortamı, ister iş e-postası veya sanal makine, bir sisteme fazladan bir kişinin erişimi, saldırı ihtimalini artırır. Çalışanlar arasında geçen işle ilgili olmayan konular hakkındaki basit bir sohbet bile sosyal mühendislik saldırılarında kullanılabilir.
Riskler nasıl en aza indirilir
Eski çalışanların hesaplarını kullanarak yapılan veri sızıntılarına yönelik alınan önlemlerin birçoğu kurumsal çapta gerçekleştirilir. Bu yüzden, önerimiz:
- Önemli kurumsal verilere erişebilen kişi sayısını en aza indirin.
- E-posta, paylaşılan klasörler ve çevrimiçi belgeler dahil kurumsal kaynaklar için sıkı erişim politikaları belirleyin.
- Sıkı bir erişim günlüğü tutmak. Kimin nereye eriştiğinin kaydını tutun. Çalışanın şirketten ayrılması durumunda, vakit kaybetmeden erişimi kaldırın.
- Parola oluşturma ve parola değişimi için anlaşılır, net yönergeler oluşturun.
- Çalışanlarınıza düzenli siber güvenlik bilinci eğitimi sağlayın.