Stajyerler: gizlenmiş siber güvenlik tehdidi

Bir stajyer, işletmenizin siber güvenliği için nasıl tehdit oluşturabilir ve bu konuda neler yapabilirsiniz.

Yaz yaklaşırken birçok işletme, öğrencileri dönemsel stajyer olarak işe alır. Bu da, muhtemelen siber güvenlik hakkında bilgi sahibi olmayan genç ve tecrübesiz kişilerin iş süreçlerinize dahil olacağı anlamına geliyor.

İşletmeler bu konuyla ilgili riskleri pek değerlendirmez ve bu duruma karşı tedbir almazlar. Stajyerlerin işletmede geçici bir süre için bulunduklarını ve herhangi bir gizli bilgiye erişme ihtimallerinin düşük olduğunu düşünüyorlar. Bu doğru. Ancak yeterli bilgisi olmayan tecrübesiz stajyerlerin bir kimlik avı bağlantısına tıklayarak, iş hesaplarında zayıf parolalar oluşturarak veya sosyal mühendislik tuzağına düşerek işletmenizin güvenliğini ciddi şekilde tehlikeye atabileceğini de aklınızda tutmalısınız. Bunlardan herhangi birini önlemek için, özellikle dikkat etmeniz gereken birkaç önerimiz var.

Oryantasyon

Stajyerleriniz işletmenin altyapısına ve ekipmanına erişim sağlamadan önce, onları işletmenin temel prensipleri hakkında bilgilendirmek iyi bir fikir. En önemlisi ise, işletmenin güvenlik politikaları, iki faktörlü kimlik doğrulama ve parolalarla ilgili kabul edilen standartlar hakkında bilgi verin.

Stajyerleri operasyonlarınıza dahil ettiğinizde, parola oluşturmaları gerekir. Parola güvenliği, üzerine epey tartışılmış bir konu gibi görünse de, stajyerler, birden fazla hizmet için aynı parolayı kullanmamaları gerektiğini düşünemeyebilir. Ayrıca, “güçlü parola”nın tam olarak ne anlama geldiğini bilemeyebilirler.

En az ayrıcalık ilkesi

Stajyerlerin işletme kaynaklarına erişimine izin verdiğinizde, en az ayrıcalık ilkesini benimsemelisiniz. Yani herkes, sadece kendi işleri için gereken minimum erişime sahip olmalı. Bu genel olarak bağlı kalınması gereken bir prensip, ancak özellikle stajyerlerle çalışırken daha da önemli.

Gizlilik sözleşmeleri

Birçok işletme, stajyerleri önemsiz ve geçici olarak gördükleri için onlarla gizlilik sözleşmesi imzalamaz. Yine de, sözleşme imzalamak iyi bir fikir. Stajyerler bir şirket sırrının yakınından geçemeyecek olsalar bile, bir Gizlilik Sözleşmesi, bu acemi çalışanlara kişisel sohbetlerinde iş süreçleri hakkında konuşmamaları gerektiğini belirtmenin harika bir yolu.

Kişisel sosyal medya hesaplarında bilgi güvenliği

Stajyerler genellikle genç insanlar. Gençler ise günümüzde hayatlarını sosyal ağlarda paylaşmayı seviyor. İlk iş gibi önemli bir olayı sosyal medya hesaplarında paylaşmak için ne kadar istekli olacaklarını hayal etmek zor değil.

Bir yandan, stajyerler sosyal medyada işlerinin ilginç olduğundan heyecanla bahsederlerse, işletme bundan kesinlikle fayda sağlayabilir. Ancak öte yandan, stajyerler, arka plandaki şirket içi belgelerle farkında olmadan selfie çekerlerse, gönderilerinde önemli bilgileri istemeden ifşa edebilirler.

Bu yüzden, işletmenizin sosyal medya kullanım politikasını stajyerlerinize net bir şekilde açıklamanızı öneriyoruz. Ancak, baştan sona okunma ihtimali epey düşük olacağından sayfalarca yönergeyi e-postayla göndermeyin. Sözlü açıklama yapmak daha etkili bir yaklaşım.

Staj sonrası iş kaynaklarına erişim

Stajlar da dahil her güzel şeyin bir sonu var. Bazı öğrenciler staj sonrası işletmenizde sizinle devam edebilir, ancak bazıları mutlaka gidecek. Özelliklere gidenlere dikkat edin. Stajyerin stajı bittikten sonra işletmenin iç kaynaklarına tüm erişimini kaldırdığınızdan emin olun. Erişime sahip fazladan bir hesap bile, potansiyel bir güvenlik açığı oluşturur.

Stajyerleri siber güvenliğin temelleri konusunda eğitmek

Önerimiz, genel bir prensip olarak tüm çalışanlara, siber güvenliğin temel ilkeleri konusunda eğitim vermeniz. Ancak, stajyerler bu tür eğitimlere pek dahil edilmez. Bu bir hata. Stajyerlerin eğitimi, işletmenizin siber güvenliğini sağlarken riskleri de azaltacak. Ayrıca, stajyerler işletmenizden ayrılırken önemli bilgiler edinerek ayrılmış olacak.

Bu eğitim için büyük meblağlar harcamanıza gerek yok. Stajyerlerinizle de paylaşabileceğiniz, siber güvenliğin temel ilkelerini açıklayan çevrimiçi açık kaynaklı materyaller mevcut. İşletmelerin, çalışanlarının siber saldırılara karşı daha hazırlıklı olmalarını sağlamak için kısa süre önce Kaspersky Automated Security Awareness Platform’umuzun (ASAP) bir parçası olan sosyal ağ kullanımı ve sosyal mühendislik tuzaklarından kaçınma yöntemleri hakkında ücretsiz bir çevrimiçi kursu piyasaya sürdük.

İpuçları