Geçen sene gerçekleşen ve ABD tarihindeki en büyük korsan saldırı skandallarından biri olan Equifax veri ihlalinin ayrıntıları gözler önüne serilirken, şirketin eski CEO’su Richard Smith’in bu fiyaskonun tamamı için tek bir BT teknisyenini sorumlu tuttuğunu öğrendik. Söz konusu teknisyen, Equifax çalışanlarına Apache Struts sistemindeki bir güvenlik açığını ortadan kaldıracak bir yamayı yüklemelerini söylememiş.
Bu durum, BT güvenliğinin ne kadar kolay kırılabileceğini ve kurumunuzdaki herkesin BT risk yönetimi programına etkin olarak katılımda bulunmalarının ne kadar önemli olduğunu gösteriyor. Siber güvenlik tehditleri yakın zamanda ortadan kaybolacak gibi görünmüyor. Aslına bakılırsa bu tehditler, 2021 yılına kadar şirketlere yıllık 6 trilyon ABD dolarına mal olacak. Başka bir deyişle bu durum “tarihteki en büyük ekonomik sermaye aktarımını temsil ediyor.”
Elbette siber güvenlikteki bir kusurdan kaynaklanan kayıpların çoğunluğu büyük kurumsal şirketlerden gelecek, ancak bu küçük ve orta büyüklükteki işletmelerin de kendilerini koruyacak her türlü önlemi almalarının gerekmediği anlamına gelmiyor. Hatta personeliniz ve müşterilerinizle kişisel bir düzeyde çalıştığınız için diğer herkesten daha fazla şey kaybedebilir ve geçim kaynağınız, kişisel ilişkileriniz, itibarınızdan olabilirsiniz. Neyse ki büyüklükleri fark etmeksizin tüm şirketlerin güvenliklerini her düzeyde geliştirmek ve bu tehditlerle doğrudan baş etmek için yapabileceği bazı şeyler vardır:
- Personelinizi Eğitin: Basit bir konu olsa da Equifax ihlalinde görüldüğü gibi çevrimiçi güvenlik eğitimi ve şirketiniz genelinde en iyi yöntemleri belirlemek dijital felaketleri azaltmada çok faydalı olabilir. Kimlik sahtekarlığı e-postalarını saptama ve bunlarla başa çıkma, güvenlik sisteminizi güncel tutma, güvenli çevrimiçi davranışları gibi konu başlıklarını kapsayan bir ders (çevrimiçi olarak veya bizzat katılabileceğiniz) bulun ve ekibinizin her üyesini eğitin.
- Doğru E-posta İstemcisini Belirleyin: E-postalarınıza istediğiniz yerden, hemen hemen her cihaz üzerinde erişmek önemlidir, ancak güvenliğiniz için rahatlığınızı feda etmek zorunda kalmamalısınız. Bu nedenle, istenmeyen posta ve kimlik avı ile güvenli iletileri ayırt edip uygun şekilde filtreleyebilen bir e-posta hizmeti bulun. Ayrıca e-posta filtrelerinizin köprüleri devre dışı bırakmanızı ve ekibinizin zararlı iletileri yanıtlama özelliğini kaldırmanızı sağlaması çok daha iyi olur. Mümkünse kişisel veya grup düzeyinde ayarlanabilen e-posta filtreleri sunan programlar bulun. Bu sayede şirketinize uygun seçenekleri belirleyebilirsiniz.
- Cihaz ilkenizi güncel tutun: Cihazları korumak için en iyi yöntemleri belirten şirket ilkeleri oluşturarak fiziksel güvenliğe öncelik verin. Bir cihaz kaybolduğunda izlenecek protokolleri oluşturun, ekibinize kimlerle iletişime geçeceklerini bildirin ve teknik açıdan izlenecek adımları netleştirin. Korumayı güçlendirmek adına tüm çalışanların cihazlarında iki öğeli kimlik doğrulamasını etkinleştirmesini gerektirin. Böylece bir cihaz çalınsa bile çalan kişinin oturum açma ekranını geçip verilere erişebilmesi için bir iletişim yöntemi gerekir.
- Yazılımınızı Güncelleştirin: Equifax ihlalinden çıkarılacak en önemli ders, baştan aşağı tüm çalışanların yazılımlarını güncel tutmalarının çok önemli olduğudur. Bulut tabanlı yazılım kullanıyorsanız, BT güvenlik güncelleştirmeleri otomatik olarak yapılır. Ancak henüz bulut tabanlı yazılım kullanmaya geçmemiş bir şirkete sahipseniz veya böyle bir şirketi yönetiyorsanız, güncelleştirmeleri yine de otomatikleştirebilir ve personelinize gönderebilirsiniz. Böyle bir seçeneğiniz yoksa ya da böyle bir işe kalkışmayı tercih etmiyorsanız, ekibinizin her üyesine güncelleştirmeleri kendi makinelerine yükleme sorumluluğu verebilirsiniz. Yazılımınızı, güncelleştirme hazır olduğunda kullanıcılardan yüklemesini isteyecek şekilde ayarlamanız yeterlidir.
Ekibinizi eğitmekten zaten bahsettik ancak bunu ne kadar vurgulasak azdır. Ne kadar çok korumanız olsa da ekibinizin bunları düzgün kullanacak şekilde eğitilmesi gerekir. Ayrıca yenileme malzemelerinin ve bu önlemleri almanın önemiyle ilgili anımsatıcıların personelinize düzenli olarak gönderilmesi de gerekir. Bu sayede, güvenlik tehditlerini tanımalarına yardımcı olmakla kalmayıp, gereksiz riskleri almalarını önlemek için gereken bilgileri de sunmuş olursunuz.
Growth Center ekibi, işinizi kurmanıza, yönetmenize ve sürdürmenize yardımcı olmaya odaklanmıştır.