Şirketler büyük miktarlarda veri toplar ve saklar. Faturalardan müşterilerin kredi kartı bilgilerine kadar, işinizin büyük bir kısmı özel verilere odaklanır.
Başarılı olmak için bu verileri çalışanlara emanet etmeniz gerekir. Ancak bazen, en iyi niyetli çalışan dahi şirketinizin siber saldırılara karşı savunmasız kalmasına neden olacak hatalar yapabilir.
Kısa süre önce, ne kadar işletmenin çalışan hatalarından kaynaklanan siber ataklar konusunda endişe duyduğunu belirlemek için bir çalışma yürüttük. Çalışmaya dahil edilen işletmelerin yarısından fazlası; çalışanın bilgi eksikliğinin, dikkatsizliğinin veya kötü niyetinin bir siber saldırıya yol açabileceğini düşünüyor. ComputerWeekly.com’a göre diğer araştırmalar, siber saldırı mağdurlarının %84’ünün saldırının kısmen de olsa insan hatasından kaynaklandığını düşündüğünü gösteriyor. Peki ne tür çalışan hataları şirketinizi siber saldırılara karşı savunmasız bırakır? Aşağıda en sık karşılaşılan yedi çalışanın hatasını içeren bir liste sağlanmış ve bunları düzeltmek için neler yapabileceğiniz açıklanmıştır.
1. Tanınmayan Kişilerden Gelen E-postaları Açma
E-posta, işletmelerin tercih ettiği iletişim biçimidir. The Radicati Group’a göre, ortalama bir kişi her gün 235 e-posta almaktadır. Bu kadar çok e-posta söz konusu olduğunda, bazı e-postaların dolandırıcılık amaçlı olması mantıklı bir çıkarımdır. Bilinmeyen bir e-postanın veya bir e-posta ekinin açılması, siber suçlulara şirketinizin dijital evinin arka kapısını açan bir virüsün serbest kalmasına neden olabilir.
Çözümler:
- Çalışanlara bilmedikleri kişilerden gelen e-postaları açmamaları yönünde tavsiyede bulunun.
- Çalışanlara bilinmeyen ekleri veya bağlantıları asla açmamaları yönünde tavsiyede bulunun.
2. Zayıf Oturum Açma Bilgilerine Sahip Olma
Mashable’a göre, yetişkinlerin %81’i her şey için aynı parolayı kullanmaktadır. Takma ad veya adres bilgileri gibi kişisel bilgileri içeren tekrarlayan parolaların kullanılması bir sorun teşkil eder. Siber suçlular, herkese açık profilleri olası parola kombinasyonları için tarar ve biri doğru denk gelene kadar olasılıkları dener. Ayrıca, eşleşme bulana kadar otomatik olarak farklı sözcükler deneyen sözlük saldırılarından faydalanır.
Çözümler:
- Çalışanların benzersiz parolalar kullanmasını zorunlu kılın.
- Daha fazla güvenlik için parolaya rakam ve sembol ekleyin. Örneğin, "Edirne" yerine "3dirne” kullanın.
- Çalışanların en az 12 karakterden oluşan benzersiz, karmaşık parolalar oluşturmalarını zorunlu kılan kurallar getirin ve riske maruz kaldığına inanması halinde parolaları değiştirin.
- Birden çok uygulama, web sitesi ve cihaz için otomatik olarak farklı güçlü parolalar oluşturan bir parola yöneticisi yazılımı kullanarak zahmetli işlemlerden kurtulun.
3. Post-it Üzerine Parola Not Etme
Hiç ofisinizde dolaşırken bir ekran üzerinde parola içeren bir post-it gördünüz mü? Bu durum düşündüğünüzden daha sık görülüyor. Kuruluşunuz bünyesinde belirli bir güven seviyesi sağlamak isteseniz de parolaların görünür şekilde bırakılması tehlikeli bir güven seviyesine işaret ediyor.
Çözümler:
- Çalışanların parolalarını not alması gerekiyorsa parolaları içeren kağıtların kilitli çekmecelerde tutulmasını isteyin.
4. Tüm Verilere Erişim Sahibi Olma
Bazı durumlarda şirketler verileri kategorilere ayırmamaktadır. Başka bir deyişle, stajyerlerden kurul üyelerine kadar herkes aynı şirket dosyalarına erişebilmektedir. Herkese aynı veri erişiminin sağlanması, bilgileri sızdırabilecek, kaybedebilecek veya hatalı şekilde kullanabilecek kişi sayısını artırır.
Çözümler:
- Kademeli erişim seviyeleri oluşturarak, sadece her seviyede izne ihtiyacı olan kişilere izin verin.
- Sistem yapılandırmalarını değiştirebilecek kişi sayısını sınırlayın.
- Çalışanlara, gerçekten bu tür bir kuruluma gereksinim duymadığı sürece yönetici ayrıcalıkları vermeyin. Yönetici haklarına sahip çalışanlar dahi bu hakları rutin olarak değil, yalnızca gerektiğinde kullanmalıdır.
- CEO dolandırıcılığıyla mücadele etmek üzere, belirli bir tutar üzerindeki ödemelerin işleme alınabilmesi için ikili imza uygulayın.
5. Etkili Çalışan Eğitiminin Olmaması
Araştırmalar, çoğu şirketin siber güvenlik eğitimi sağladığını göstermektedir. Ancak işletme yöneticilerinin yalnızca %25’i eğitimin etkili olduğunu düşünmektedir.
Çözümler:
- Yıllık olarak siber güvenlik farkındalığı eğitimi sağlayın. Konular arasında şunlar bulunur:
- Siber güvenlik eğitiminin nedenleri ve önemi
- Kimlik avı ve çevrimiçi dolandırıcılık
- Bilgisayarları kilitleme
- Parola yönetimi
- Mobil cihazları yönetme
- Duruma ilişkin örnekler
6. Güncellenmeyen Antivirüs Yazılımları
Şirketiniz koruyucu bir önlem olarak antivirüs yazılımı dağıtımı gerçekleştirmelidir ancak bu yazılımın güncellenmesi çalışanların sorumluluğuna olmamalıdır. Bazı şirketlerde, çalışanlardan güncelleme yapması istenir ve güncellemelerin yapılıp yapılmayacağına çalışanlar karar verebilir. Birçok güncelleme programların kapatılmasını veya bilgisayarların yeniden başlatılmasını zorunlu kıldığından, çalışanlar bir projenin ortasında olduğu zaman büyük olasılıkla güncellemeleri reddeder.
Antivirüs güncellemeleri önemlidir, hemen uygulanmalıdır ve çalışanlara bırakılmamalıdır.
Çözümler:
- Tüm sistem güncellemelerini çalışma saatlerinden sonra otomatik olarak yapılacak şekilde ayarlayın.
- Unvanından bağımsız olarak herhangi bir çalışanın bu şirket ilkesini uygulamamasına izin vermeyin.
7. Güvenli Olmayan Mobil Cihazlar Kullanma
Çalışanlarınız cep telefonlarına, tabletlere ya da dizüstü bilgisayarlara sahip mi? Sahipse bu aygıtları güvenli tutmak için uyguladığınız bir protokol mevcut mu? Birçok şirketin mobil cihazlara yönelik yaklaşımı sıkı değildir ancak bu cihazlar siber suçlular için kolay bir hedef teşkil etmektedir.
Çözümler:
- Her cihaz parola korumalı olmalıdır.
- Bir cihazın kaybolması veya çalınması halinde bunun bildirilebileceği bir iletişim noktasını ve cihazı uzaktan devre dışı bırakmak için gerekli adımları sağlayın.
- Mobil cihazları uzaktan yönetmek için uç nokta güvenliği çözümlerini kullanın.
- Güvenli olmayan herkese açık Wi-Fi ağlarını kullanarak gizli işlemler yürütmeyin.
Çalışanlar nihai olarak insandır ve dijital kazalar meydana gelebilir. Ancak cihazları korumak ve çalışanları eğitmek için belirli adımları atarsanız siber tehditleri engelleyebilirsiniz.
Elbette şirketinizin siber güvenliğinin yönetimi çalışanların eğitimiyle sınırlı değildir. Şirketin dijital ayak izini korumak ve tehditleri yönetmek, saygın bir siber güvenlik şirketinin yardımını gerektirir.
İlgili makaleler ve bağlantılar:
- Herkese açık Wi-Fi güvenlik risklerini önleme
- Herkese açık Wi-Fi güvenliği
- Siber suçları önleme
- Antivirüs çözümü seçme