Şirketlerde içeriden gelen siber tehditlere yönelik gerçekleştirilen son araştırmaya göre, şirket içi siber tehditler son üç yılda üç katına çıktı. Yaşanan her tehdidin şirketlere maliyetinin ortalama 11,45 milyon dolara mal olduğunu aktaran Komtera Teknoloji Kanal Satış Direktörü Gürsel Tursun’a göre, şirketlerde tehditleri oluşturan 3 önemli unsur bulunurken, şirket içi siber tehditlerin önlenmesi için gerekli 10 adımı sıralıyor.
Ponemon Institute’nin şirketlerde içeriden oluşan tehditlere yönelik gerçekleştirdiği 2020 yılı raporu açıklandı. Rapora göre, son üç yılda şirketlerde yaşanan iç tehditler üç katına çıkarken, şirketlerin artan tehditlere karşı da önlem almayı benimsemedikleri raporlandı. Şirketlerin gelişen teknoloji ve siber savunmalarını güçlendirecek doğru uç nokta çözümleri benimseme ihtiyacını görmezden gelmemeleri gerektiğini belirten Komtera Teknoloji Kanal Satış Direktörü Gürsel Tursun, şirketlerde sıklıkla karşılaşılan 3 sorun kaynağına dikkat çekiyor. Şirketlere maliyeti ortalama 11,45 milyon dolar olan şirket içi tehditleri önleyebilmek için dikkat edilmesi gereken adımların olduğunu da aktaran Tursun, şirket içi tehditlere karşı güvenlik sağlayacak 10 öneride bulunuyor.
Şirket İçi Tehditleri Tetikleyen 3 Unsur
Rapora göre, vakaların yaklaşık yüzde 62’sinde, içeriden gelen tehditlerin kötü niyetli olmaktan çok gerçekleşen ihmallerden kaynaklandığı görülüyor. Ancak, gerçekleşme niyetinin yaşanan zarar karşısında önemli olmadığını aktaran Gürsel Tursun, güvenliği ihlal edilmiş ağlarda kritik verilerin riske girmemesi için sıklıkla iç tehdit olaylarına neden olan bu 3 noktaya dikkat çekiyor.
1. Aşırı paylaşım.
İşyerinde sosyal medya kullanımı çalışanların işe katılımını artırabilir. Ancak, aynı zamanda kritik şirket verilerini veya erişim bilgilerini paylaşmak için kolay bir yol sunuyor. Bu da beraberinde şirket içi tehdidi tetikliyor.
2. Shadow IT kullanma.
Çalışanlar, IT departmanın onaylamadığı veya farkında olmadığı, kendileri için çalışan uygulamaları kullanıyor. Son araştırmalar, şirketlerin ağlarında çalışan ve IT tarafından izin verilen uygulamalardan 15 ila 22 kat daha fazla onaysız uygulamaya sahip olduğunu gösteriyor.
3. Kuralları görmezden gelme.
Herkese açık Wi-Fi üzerinden kurumsal ağlara bağlanma gibi katı politikalar, taviz verme riskini azaltıyor. Ancak genellikle çalışan tarafından dikkate alınmıyor. Çalışanları %63’ü iş e-postalarına ve dosyalarına erişmek için genel bağlantılar kullandıklarını söylüyor.
İç Tehditlere Karşı 10 Öneri
1. USB gibi cihazların kullanımına dikkat edin.
Taşınabilir cihazlar aracılığıyla ortaya çıkan veri sızıntılarını engellemek için şirketinizdeki USB girişlerini mümkünse kilitleyin ya da takibine özen gösterin.
2. Yazıcı kullanımını takip edin.
Çıktıların takibini yaparak kritik verilerin kötü niyetli kişilerce şirket dışına çıkmasını engellemek genelde atlanıyor. Basılı kopyalarla verilerin ele geçirilmesini önlemek için yazıcıları sıkı bir şekilde denetleyin.
3. Bulut depolama servislerine kısıtlayıcı kurallar getirin.
Çalışanlarınıza belli bir kurallar bütünü ve uzman gözetimi altında bu hizmetlerden faydalanma izni verebilirsiniz ancak bulut platformlarındaki kullanıcı erişimlerini ve hareketlerini izlemelisiniz.
4. Kişisel ve kurumsal mail adresleri arasındaki trafiği inceleyin.
Uzaktan çalışma artışının da etkisiyle kişisel ve kurumsal maillerin kullanım karışıklığı arttı. Bu durum veri sızıntısı doğurabileceğinden her zaman bir risk faktörü olacağını unutmayın.
5. Mobil cihazlarda uç nokta erişimini yönetin.
Mobil cihaz kullanımı ve erişimiyle ilgili hem bireysel hem de şirket cihazlarını kapsayacak kuralları belirleyin ve uç nokta erişiminin takip ve kontrolünü gerekirse uç nokta programlarıyla yapın.
6. Shadow IT konusunda çalışanlarınızı uyarın.
Çalışanlar, güvenliği etkileyecek pek çok kararı genelde IT uzmanına danışmadan alıyor ve yanlış kararlar risk ihtimalini artırıyor. Böyle kararların işin uzmanına bırakılmasını sağlayın, gereksiz uygulamaların kullanımına dikkat edin.
7. Sosyal medya paylaşımlarına karşı tetikte olun.
Çalışanlar, isteyerek ya da istemeden önemli şirket bilgilerini sosyal medya da paylaşabiliyor. Gerekli sosyal medya politikalarını, çalışanlarınıza uygulatın ve kullanıcı aktivitelerini inceleyin.
8. Ekran görüntüsü yazılımlarının kullanımına izin vermeyin.
Şirket çalışanlarının ekran görüntülerini paylaşan yazılımları kullanması veri sızıntısı açısından oldukça sakıncalıdır ve iç tehdit olasılığını etkiler. Böyle yazılımların kullanımına izin vermeyin.
9. Düzenli olarak eğitim verin.
Veri sızıntısını önlemek için düzenli olarak çalışanlarınıza eğitim verin. Bu eğitimlerde, mevcut olan kuralları hatırlatmanın dışında, çalışanlarınızın iş dışında da faydalanabileceği bilgiler vererek eğitimleri daha ilgi çekici hale getirin.
10. Düzenli ve detaylı takip için profesyonel yardım alın.
İç tehditleri önlemek, pek çok konuda takip gerektirdiğinden profesyonel destek almanız gerekebilir. Doğru çözümlere sahip olmak iç tehdit riskini ortadan kaldırmanıza yardımcı olur.