Yeni çalışanların oryantasyonu her organizasyon için önemli bir zamandır; sonuçta, yeni ekip üyelerini şirketinize ve şirketinize entegre etme fırsatınızdır. Ancak oryantasyon zaman dilimi, organizasyona yeni katılan kişilerle hassas bilgiler paylaştığınızda benzersiz bir güvenlik riski kümesi de yaratır.
Bu makale, oryantasyon sürecinin (ve yeni çalışanların) siber suçlular için neden çekici hedefler olduğunu araştırıyor. Oryantasyon sırasında en riskli alanları belirleyin ve bu riskleri azaltmak için en iyi uygulamaları öğrenin.
Yeni çalışanlar neden bilgisayar korsanları için iyi hedeflerdir?
Yeni çalışanlar organizasyonunuza katıldığında, şirketinizin süreçleri, iletişim stilleri veya güvenlik protokolleri hakkında çok az (veya hiç) bilgi ve anlayışa sahip olmadan tamamen yabancı bir bölgede olurlar. Ve bu bilgi eksikliği onları sosyal mühendislik saldırıları için birincil hedef haline getirir.
Şirket içindeki meslektaşları veya otorite figürlerini taklit eden bilgisayar korsanları, çabalarını yeni katılanları hassas bilgilerini ifşa etmeye veya güvenli sistemlere erişim sağlamaya kandırmaya odaklıyor.
Ek olarak, yeni çalışanlar genellikle meslektaşları ve yöneticileri üzerinde olumlu, olumlu bir izlenim bırakmak için oldukça isteklidir. İlgili, duyarlı ve işbirlikçi görünmek isterler ve bu coşku onları meşruiyetlerini iyice doğrulamadan bağlantılara veya eklere hızla tıklamaya yönlendirebilir. Bilgisayar korsanları, yeni katılanlar üzerinde başarılı olma olasılığı daha yüksek olan hedefli kimlik avı kampanyaları düzenleyerek bu istekliliği istismar eder.
Bilgisayar korsanları yeni katılan kurbanlarını nasıl tespit ediyor? Bir meslektaşın veya eski patronun yeni bir işe girip girmediğini öğrendiğimiz şekilde — LinkedIn veya diğer profesyonel ağ platformları aracılığıyla.
Bilgisayar korsanları, yeni çalışanları ve kuruluştaki yeni pozisyonlarını belirlemek için LinkedIn’i inceler, ardından bu bilgileri kullanarak yeni bir çalışanı aldatma olasılığı en yüksek olan son derece kişiselleştirilmiş kimlik avı e-postaları veya sosyal mühendislik girişimleri oluştururlar.
Onboarding sürecinde risk nerede oluşuyor?
Yerleştirme sürecinde çok sayıda risk alanı vardır. Bunlardan en büyüğü hassas bilgilerin, özellikle de parolaların paylaşılmasıdır. Birçok kuruluş, yeni çalışanlarla parolaları paylaşmak için hâlâ güvenli olmayan yöntemlere güvenmektedir; bunlara düz metin SMS veya e-posta yoluyla göndermek de dahildir.
Bu yöntemler, saldırganların iletişimi keserek parolaya erişebildiği aracı saldırılara karşı savunmasızdır.
Bazı şirketler, yöneticilerin yeni çalışanlara parolaları sözlü olarak iletmelerini sağlayarak bu riski azaltmaya çalışır. Ancak bu yaklaşım daha güvenli görünse de, gerçekte bu, gözetim zincirinde başka bir potansiyel tehlikeye atma noktası oluşturur. Özünde, yöneticiyi ek bir hacker hedefi haline getirerek parolanın tehlikeye atılma olasılığını artırır.
Specops araştırması, ihlal edilen parolalar söz konusu olduğunda başka bir endişe verici eğilim buldu: çalışanlar genellikle BT ekibinin ilk oturum açma işlemleri için sağladığı “geçici” oturum açma parolalarını değiştirmeyi başaramıyor. Yeni çalışanlara işe alım sırasında geçici parolalar verildiğinde, bunları güçlü, benzersiz parolalara değiştirmeyi önceliklendirmeyebilirler. Bu gözetim, bu geçici parolaların zayıf veya kolayca tahmin edilebilir olma olasılığı daha yüksek olduğundan, kuruluşu saldırılara karşı savunmasız bırakıyor.
Yerleştirme riskini azaltmak için en iyi uygulamalar
Yeni çalışanların işe alınmasıyla ilişkili riski en aza indirmek için kuruluşunuzda aşağıdaki en iyi uygulamalara uyulmalıdır:
- En az ayrıcalık ilkesini izleyin: Yeni kullanıcı hesapları kurarken, çalışanlara yalnızca işlevlerini yerine getirmek için ihtiyaç duydukları izinleri verin. Hassas bilgilere ve sistemlere erişimi sınırlamak, bir hesap tehlikeye atılırsa olası hasarı azaltabilir.
- Net siber güvenlik politikaları oluşturun: Kuruluşunuzun siber güvenliği, en zayıf alanı kadar sağlamdır. Bunu akılda tutarak, kuruluşunuzun dijital ortamının tüm yönlerini kapsayan kapsamlı güvenlik politikaları geliştirdiğinizden emin olun. Bu politikalar, yeni işe alınanlara oryantasyon sırasında açıkça iletilmeli ve güvenli bir çalışma ortamını sürdürmedeki rollerini ve sorumluluklarını anlamalarını sağlamalıdır.
- Düzenli güvenlik farkındalığı eğitimi verin: Yeni işe alınanlar da dahil olmak üzere tüm çalışanlara sürekli eğitim sağlamak, onları en son güvenlik tehditleri ve en iyi uygulamalar hakkında bilgilendirmek için önemlidir. Bu eğitim, kimlik avı girişimlerini belirleme, güçlü parolalar oluşturma ve hassas bilgileri güvenli bir şekilde işleme gibi konuları kapsamalıdır.
- Güvenli parola dağıtımını uygulayın: Bir çalışanın ilk parolasını düz metin veya sözlü olarak paylaşmak yerine, Specops uReset’teki Specops’ First Day Password işlevi gibi güvenli bir çözüm kullanmayı düşünün. Bu araç, yeni çalışanların güvenli, self servis bir portal üzerinden kendi parolalarını belirlemelerine olanak tanır ve düz metin iletimi veya sözlü iletişim ihtiyacını ortadan kaldırır. Ayrıca, Specops Password Policy with Breached Password Protection gibi diğer Specops ürünleriyle entegre olarak, kuruluşunuz yeni çalışanların kuruluşunuzun güvenlik politikalarına uyan güçlü, benzersiz parolalar oluşturmasını sağlayabilir.
Dijital varlıkların korunması
Onboarding süreci kuruluşlara benzersiz güvenlik zorlukları sunar. Dijital varlıklarınızı korumak için, yeni katılanların neden bu kadar çekici hacker hedefleri olduğunu anlamalı ve onboarding süreciniz sırasında risk oluşturan alanları belirlemelisiniz.
En iyi uygulamaları uygulamak — en az ayrıcalık ilkesini takip etmek ve sürekli güvenlik farkındalığı eğitimi yürütmek dahil — veri ihlali olasılığınızı azaltmanıza olanak tanır. Ve daha da fazla koruma için Specops’ First Day Password aracı gibi güvenli bir parola dağıtım çözümü benimsemeyi düşünün.
Yerleştirme sürecinizi güvence altına almak için proaktif önlemler alarak ve yeni çalışanları kuruluşunuzun dijital varlıklarını ilk günden itibaren korumak için ihtiyaç duydukları bilgi ve araçlarla donatarak, maliyetli veri ihlallerinin riskini önemli ölçüde azaltabilir ve şirketinizin hassas bilgilerinin güvende kalmasını sağlayabilirsiniz. First Day Password’ün kuruluşunuzun güvenliğini nasıl artırabileceğini öğrenmek ister misiniz?
Bugün bir uzmanla konuşun.
Specops Yazılım tarafından desteklenmiş ve yazılmıştır.