Bilgi güvenliği rehberleri, sorunları en aza indirmeye yardımcı olabilir ama bu rehberleri sıfırdan yazmak oldukça zordur. Bunun için biz de, içine şirketinizin kuralları ve yönetmeliklerine özel maddeler ekleyebileceğiniz temel bir rehber, bir nevi taslak sunuyoruz. Bize göre bu rehber standart. İçinde gerekli olan her şey var ve sadece özelleştirilmesi gerekiyor. Bunu ihtiyacınız olduğu şekilde düzenledikten sonra bir kenara atmayın. Eski ve yeni tüm çalışanlarınızla paylaşın.
Kurumsal sistem ve servislere erişim
- Tüm hesaplar için güçlü parolalar kullanın. Bu parolalar en az 12 karakter uzunluğunda olmalı, rakamlar ve özel karakterler içermeli ve içinde sözlükte bulunabilecek kelimeler olmamalı. Saldırganlar kaba kuvvet saldırısıyla kolay parolaları kolaylıkla kırabilir.
- Her hesap için benzersiz parolalar oluşturun. Parolaları tekrar kullanırsanız bir hizmette yaşanan sızıntılar diğerlerine de zarar verebilir.
- İstisnasız tüm parolaları gizli Parolaları bir yere yazmayın, herhangi bir dosyaya kaydetmeyin ve diğer çalışanlarla paylaşmayın. Sıradan bir ziyaretçi veya işinden atılmış eski bir çalışan, parolanızı şirkete zarar vermek için kullanabilir. Ne türlü bir zarar olabileceğine dair sınırsız olasılık var.
- İzin veren her hizmette iki faktörlü kimlik doğrulama çalıştırın. Bu şekilde parolanız sızdırılmış olsa da saldırganların hizmete erişim elde etmelerini engelleyebilirsiniz.
Kişisel veriler
- Belgelerden kurtulmak için çöpe atmak yerine, belgeleri parçalayın. Kişiyi tanımlamak için kullanılan bilgiler çöpte bulunursa bu hem denetmenlerin dikkatini çeker, hem de yüklü para cezalarına çarptırılırsınız.
- Kişisel bilgiler içeren dosyaları alıp vermek için güvenli kanalları kullanın (örneğin Google Doc belgelerini belirli çalışanlarla paylaşın, “bağlantısı olan herkesle” değil). Google internetteki herkesin görüntüleyebileceği belgeleri dizinler. Yani bu belgeler arama sonuçlarında gözükebilir.
- Diğer çalışanlarla, müşterilerinizin kişisel bilgilerini paylaşırken sadece bilmeleri gerektiği kadarını paylaşın. Başınızı denetmenlerle derde sokmanın ötesinde, verileri paylaşmak veri sızıntısı riskini artırır.
Sık görülen siber tehditler
- E-postalarınızdaki bağlantılara tıklamadan önce dikkatlice kontrol edin. Unutmayın ki gönderici isminin inandırıcı olması, e-postanın sahici olduğu anlamına gelmez. Siber suçluların, kimlik avı bağlantılarına tıklamanızı sağlamak için kullandığı yöntemlerden bazıları, şirketinize özel mesajlar hazırlamak veya başka bir çalışanın ele geçirdikleri hesaplarını kullanmaktır.
- Bütçe yöneticisiyseniz: Asla sadece e-posta veya doğrudan mesajlara güvenip de bilmediğiniz hesaplara para aktarmayın. Bunun yerine işlemi doğrulamak için, para transferine izin verdiği söylenen kişiyi arayın.
- Sahibi belirsiz flash sürücülere dokunmayın, ortalıkta bulduğunuz taşınabilir aygıtları bilgisayarınıza bağlamayın. Sadece bilim kurgu filmlerinde değil, gerçek hayatta da virüslü flash sürücülerle saldırılar gerçekleştirilebilir. Siber suçlular kamusal alanlara ve ofislere kötü amaçlı cihazlar yerleştirebilir.
- Bir dosyayı açmadan önce “yürütülebilir” olmadığından emin olun (saldırganlar genellikle kötü amaçlı dosyaları ofis belgeleriymiş gibi gizler). Güvenmediğiniz kaynaklardan gelen yürütülebilir dosyaları açmayın veya çalıştırmayın.
Acil durum kişileri
- Şüpheli bir e-posta alırsanız, bilgisayarınıza tuhaf şeyler oluyorsa, bir fidye yazılım notu bulursanız veya benzeri garip durumlarla karşılaşırsanız kiminle iletişime geçmelisiniz veya hangi telefon numarasını aramalısınız? Güvenlik görevlileri, sistem yöneticileri ve hatta şirket sahibiyle konuşabilirsiniz.
Bu anlattıklarımız, her şirketteki herkesin bilmesi gereken temel bilgiler. Modern siber tehdit farkındalığınızı artırmak isterseniz özel eğitim almanızı öneririz.