Veri ihlalleri, insan unsurunun genellikle güvenlik zincirindeki en zayıf halka olmasıyla birlikte her zaman mevcut bir tehdit haline geldi. BT ve güvenlik karar vericilerine yönelik yıllık Apricorn anketi, kuruluşların %55’inin çalışanlarının kurumsal verileri bilerek ihlal riskine attığına inandığını ortaya koydu. Buna ek olarak, son 12 ayda veri ihlallerinin en önemli nedenleri kimlik avı saldırıları (%31), kasıtsız içeriden veri kaybı (%30) ve fidye yazılımı (%29) oldu. Bu istatistikler, çalışan eylemlerinin sıklıkla güvenlik olaylarının merkezinde yer aldığı ve iş gücüne olan güvenin önemli ölçüde aşınmasına neden olduğu rahatsız edici bir gerçeğin altını çiziyor.
Kimlik avı saldırıları, kasıtsız veri kaybı ve fidye yazılımları, çalışan eylemlerinin güvenliği nasıl tehlikeye atabileceğinin belirgin örnekleridir. Kimlik avı, genellikle çalışanların hassas bilgileri ifşa etmeye ve teknolojik zayıflıklar yerine insan zaaflarını kullanmaya kandırılmasını içerir ve bu da sürekli eğitim ve farkındalığa yönelik kritik ihtiyacı vurgular.
İstem dışı içeriden veri kaybı genellikle yanlış alıcıya e-posta göndermek veya gizli belgeleri veya cihazları yanlış kullanmak gibi basit hatalardan kaynaklanır. Bu hatalar kötü niyetli olmasa da bir organizasyonun güvenlik duruşu için ciddi sonuçlar doğurabilir.
Fidye yazılımı, çalışan eylemlerinin önemli olduğu bir başka örnektir. Çalışanların istemeden kötü amaçlı yazılım indirmesi, veri sızdırılmasına, önemli kesintilere ve mali kayıplara neden olabilir.
Bu istatistikler göz önüne alındığında, çalışanlara olan güvenin azalması şaşırtıcı değil. Anket, karar vericilerin %63’ünün uzaktan çalışan iş gücünün gelecekte bir ihlale neden olmasını beklediğini gösteriyor. Bu şüphecilik, siber suçlular için saldırı yüzeyini genişleten uzaktan çalışma düzenlemelerinin artan yaygınlığıyla muhtemelen körükleniyor.
Uzaktan ve hibrit çalışma modellerinin yükselişi yeni zorluklar ortaya çıkardı. Ulusal İstatistik Ofisi, Haziran 2024 itibarıyla Birleşik Krallık iş gücünün %51’inin en azından yarı zamanlı olarak evden çalıştığını bildiriyor. Bu değişim esneklik ve kolaylık getirse de, kuruluşların güvenlik politikalarını izlemesini ve uygulamasını da zorlaştırdı.
Zorluklara rağmen, olaylar açısından olumlu gelişmeler var; anket, ihlallerin yalnızca %14’ünün Bilgi Komiserliği Ofisi’ne (ICO) şirket dışından biri tarafından bildirildiğini, bunun bir önceki yıldaki %32’ye göre önemli bir düşüş olduğunu buldu. Bu, kuruluşların ihlalleri dahili olarak yönetmede daha dikkatli ve proaktif hale geldiğini gösteriyor. Ayrıca, kendi kendine bildirim %40’tan %53’e yükseldi ve bu da şeffaflık ve hesap verebilirliğin öneminin giderek daha fazla kabul edildiğini gösteriyor.
İşletmeler veri güvenliğine yönelik yaklaşımlarını değiştirme ve savunma ve yanıt stratejilerini güçlendirme ihtiyacını fark ediyor. Ancak, ihlallerin birincil nedeni olarak çalışan hatasının devam etmesi, daha fazla çalışmaya ihtiyaç olduğunu gösteriyor. İçeriden gelen tehditle başa çıkmak, teknoloji, politika ve eğitimi birleştiren çok yönlü bir yaklaşım gerektirir.
Kurumsal süreçler ve politikaların uygulanması ve takip edilmesi her zaman kolay değildir ve tüm saldırı hatlarına karşı güvence altına alınması imkansızdır. Politikalar göz ardı edilebilir ve tavsiyeler dikkate alınmayabilir, ancak doğru teknoloji ve eğitimle işletmeler çalışanlarını her ikisinin de değerine ikna edebilir ve potansiyel etkiyi azaltıp riskleri en aza indirebilir.
Böyle bir yaklaşım hayati önem taşımaktadır çünkü kuruluşların neredeyse üçte biri (%34), çalışanların uzaktan/mobil çalışma için kendi BT ekipmanlarını kullanmalarını kapsayan ilgili güvenlik stratejisini/politikasını uygulama yollarının olmadığını kabul etmiştir. Kuruluşların kat etmesi gereken uzun bir yol olduğu ve BT departmanlarının da kişisel üretkenliği gereksiz yere kısıtlamaktan kaçınmak için cihaz türüne ve içerdiği bilgilere uygun güvenlik politikalarını bir araya getirmeleri gerektiği açıktır.
Kuruluşlar kapsamlı güvenlik farkındalığı eğitimine yatırım yapmalıdır. Bu eğitim, uzaktan çalışmanın zorluklarını ele almak için özel olarak tasarlanmalı ve çalışanlara dijital ortamda güvenli bir şekilde gezinmek için ihtiyaç duydukları bilgi ve araçları sağlamalıdır. Düzenli eğitim oturumları, güvenlik protokollerini takip etmenin önemini pekiştirebilir ve çalışanların potansiyel tehditleri tanımasına ve bunlara yanıt vermesine yardımcı olabilir.
Eğitime ek olarak, kuruluşlar insan hatası riskini en aza indiren ve USB depolama, akıllı telefonlar ve dizüstü bilgisayarlar dahil tüm cihazlarda tutarlı olması gereken teknik kontrolleri uygulamayı düşünmelidir. Kuruluşlar, kurumsal ağ dışında çalışırken kurumsal standartta şifrelenmiş bir mobil depolama cihazı araştırmalı, tanımlamalı ve zorunlu kılmalıdır. Ayrıca, cihazın kullanımı, yalnızca onaylı cihazları kabul edebilmeleri için USB bağlantı noktalarını kilitlemek gibi politikalar aracılığıyla kuruluş genelinde zorunlu kılınmalıdır.
İçeriden gelen tehditleri ele almak için bir güvenlik kültürü oluşturmak esastır. Bu, çalışanlar arasında kişisel sorumluluk duygusunu teşvik etmeyi ve onları kuruluşun verilerini korumada aktif bir rol almaya teşvik etmeyi içerir. Öncelikli bir güvenlik zihniyetini teşvik ederek ve çalışanların güvenlik önlemlerine uymak için desteklendiğini ve donatıldığını hissetmelerini sağlayarak, kuruluşlar daha dayanıklı bir güvenlik duruşu oluşturabilir.
Önemli olan güven ve dikkat arasında bir denge kurmaktır. Bu sayede çalışanlar hem yetkilendirilebilir hem de hassas bilgileri korumaktan sorumlu olduklarını bilirler ve bu da kuruluşlara verileri ihlal riskine sokmaktan kaçınma konusunda daha güçlü bir şans verir.
