Şirketler için ‘İç Siber Güvenlik’ İpuçları

Şirketlerdeki siber güvenliği inceleyen araştırmalarda karşılaşılan yaygın görüşlerden biri de en zayıf halkanın ne olduğuna dair yanıt ile ilgili. Birçok araştırma, çalışanların bu noktada öne çıktığına işaret ediyor.

Siber saldırıların kurumsal ağı aşmasında ileri seviye özellikler taşıması, uzman seviyesindeki siber saldırganların ileri seviye stratejilerle hareket etmesi, diğer deyişle ileri hack’leme şart değil. Kullanıcının ikna edilerek e-posta ekinde yer alan PDF dokümanını açması veya bir URL linkine tıklaması çoğu zaman yeterli oluyor.

Bu kapsamda gerçekleştirilen analizler, veri ihlallerinin çok büyük bir kısmının oltalama e-postalarının bir sonucu olduğunu gösteriyor. Çarpıcı bir örnek olarak, 2017’deki Verizon Veri İhlali Araştırması, veri ihlallerinin yüzde 90’ının oltalama e-postaları kaynaklı olduğunu vurguluyor.

Siber saldırganlar, bir şirket organizasyonuna geçişte öncelikli olarak çalışanları hedef alıyor. Bu arada yine önemli bir dipnot olarak şirketlerle ilgili siber güvenlikte ilk savunma hattının çalışanlar olduğu da unutulmamalı. Bu da çalışanları doğal olarak bir tür muhafız haline getiriyor. Tek fark ellerinde kılıç ya da kalkanların değil, saldırıları tespit etmede kullanacakları enformasyonun bulunması gerekiyor.  Siber güvenlikle ilgili genel stratejilerinde kritik parçalar arasındaki enformasyonun çalışana aktarılması, çoğu şirket tarafından gerektiği şekilde üzerinde durulan bir konu değil, hatta çoğunlukla dikkate alınmıyor. Güvenlikle ilgili kimi kuralların işe yaramaması gibi bir gerçek daha var.

Uzmanların önemli bir kısmı çalışanlara verilecek rafine, anlaşılır ve basit kuralların iç siber güvenlik politikalarına yoğun şekilde katkı sağlayacağını düşünüyor. Güvenliğe dair eğitimlerin etkinliği ile kolaylıkla uygulanabilir ve basit oluşları arasında paralellik olduğu kaydediliyor. Bu noktada uzmanlar tarafından tavsiye edilen iç güvenlik artırıcı ipuçlarını sıralamakta yarar olabilir.

Kısayol

Çalışanlara şifrelerini sıklıkla değiştirmeleri söylenir. Ancak araştırmalara göre çalışanlar, zaman kaybetmemek adına şifrelerinin ilk harfini değiştiriyor ya da sonuna bir harf veya rakam eklemekle kolaya kaçıyor. Genellikle 3 ayda bir şifre değiştirilmesi isteniyor ve bu kolaya kaçışın sıklıkla tercih edildiği görülüyor. Bu durum ve gidişat şifreleri kırmayı daha basit hale getiriyor.

Bu aşamaların bir diğer sorunlu yanı da şirketlerin uzun ve karmaşık şifre talepleri. Uzun ve karmaşık şifre her zaman iyidir, ancak çalışanlar bu noktada da kolaya kaçabiliyor. Genellikle bunu görmezden geliyorlar. Çoğu kuruluş bu etkisiz politikaları sorgulamaya başladı. Şifre yöneticisi kullanımı öne çıkan adımlar arasında. Şifre yöneticileri ile karmaşık şifreler kopyalanıp yapıştırılabiliyor. Ak olarak 2 adımlı doğrulama (2FA) yöntemi öneriliyor. Bu yüksek güvenli yöntem, akıllı cihazlara gönderilen kodlar ile çok aşamalı doğrulamayı esas alıyor.

Daha uygun adımlar 

İç siber güvenlik için çalışanlara yapılması ve yapılmaması gerekenlerle ilgili çok sayıda rehber ve enformasyon aktarılıyor. İç siber güvenlikte önemli bir açıklık olarak çalışanların hepsi tüm rehber ve enformasyonu özümseyemiyor. Zorunlu güvenlik eğitimlerinde yeteri kadar konsantre olamayabiliyor. Akılda tutulamayacak kadar yoğun bilgi oluşabiliyor özetle.

Bu sorunla ilgili çözüm önerilerinden biri çalışmaların kişiye özel hale getirilmesi. Örneğin en tehlikeli oltalama e-postaları, genellikle doğrudan belirli bir çalışanı hedef alır. Bunlara önceden yapılmış özel çalışmalar sonucunda inandırıcılık yönü yüksek ‘zıpkın’ e-postalar da denebilir. Her ayrıntıda özen ve detaycılık, insanların inanmasını beraberinde getirebilir. Saldırılar ‘kişiye özel’ yapılıyorsa savunma da bu şekilde gerçekleştirilebilir. Aynı stratejiden hareketle çalışanlara kılavuz maiyetinde özel eğitimler verilebilir.

Diğer bir unsur da engellemelerle ilgili… İş birliği yazılımlarının (Slack, Trello, Dropbox gibi) engellenmesi gibi durumlarda çalışanlar genellikle benzer başka araçlar bulacaktır. Engelleme yerine BT (bilişim teknolojileri) birimince güvenli kullanıma ilişkin yol göstericilik tercih edilebilir.

Şeffaflık

Şirketlerin büyük bir çoğunluğunda çalışanlar ve güvenlikle ilgili BT ekibi arasındaki ilişki sürücü ile ona dur ya da geç diyen trafik polisi arasındakine benzer. BT ekibi, çalışanlara sürekli olarak yapmaması gerekenleri aktarır. Çalışanlar, BT ekibinin taleplerine geç yanıt vermesinden de yakınır. Aralarında çeşitli koşulları arkasından sürükleyen, kısmen çekişmeli, tuhaf bir ilişki olabilir. Mevcut durumda güvenlik stratejisinin iyileştirilmesi esasıyla çalışanların BT ekibini güvenilir bir danışman olarak görmesini sağlayıcı adımlar atılabilir.

Dinamikler, etkileşimin artırılması ile değişir. Bu da BT ekibinin çalışanların arasına daha fazla karışması, sadece ihtiyaç anında görünmesi şeklindeki alışılagelmiş politikanın bir yana itilmesi ile mümkün olabilir. Çalışanların daha iyi tanınması, ne tip deneyimler yaşadıklarının görülmesi daha iyi iç güvenlik için etkisi yüksek bir değişim rüzgârı anlamına gelir. BT, çalışanları tanırsa güvenlik sorunlarını daha iyi rapor edebilir ve daha ‘nokta atışı’ eğitimler kurgulayabilir aynı zamanda.

Özetle;

• Şifre yöneticisi ve 2 adımlı doğrulama gibi yenilikçi araçlara geçiş, daha iyi iç siber güvenlik için atılabilecek temel adımlar arasındadır,
• Güvenlik eğitimleri kişiye özel hale getirilebilir, bunun birçok faydası vardır,
• BT ekibi ile çalışanlar arasındaki etkileşimin artırılması, şeffaf ve net politikalar oluşturulmasına katkı sağladığı gibi şirket içi kültürle bağlantılı güvenlik stratejilerini daha sıkı hale getirir.