Veri ihlalleri söz konusu olduğunda, kuruluşlar genellikle riskler ve bunları hafifletmeye yönelik prosedürler hakkında bilgilendirilir. (Tipik olarak) minimum tali hasarla yanıt verebilirler. Ancak bir veri ihlalinin bireyler üzerindeki etkisi yıkıcı olabilir; belli belirsiz normalliğe benzeyen bir şeye geri dönmek çok zordur. Bu insanlara yardım ederken, yeni bir telefon numarası almanın ve hatta yeni bir şehre taşınmanın işe yarayıp yaramayacağı defalarca sorulmuştu.
İnsanlara ve şirketlere yardım etmek
Güvenlik konusunda bireyler ve kuruluşlar arasında çok büyük farklılıklar olduğu açıktır. Bireyler için genellikle genel bir güvenlik farkındalığı ve çok faktörlü kimlik doğrulama, güvenlik ürünleri ve kişisel düzeyde büyük bir sızıntının onlar için ne anlama gelebileceği gibi şeyleri anlama eksikliği vardır. Kişisel verilerinin güvenliği konusunda da kayıtsız kalabilirler.
Ama sonuçta, bir kişi alüminyum folyo şapkasını çok sıkı takmış olsa bile, kuruluşlar verilerini korumak için doğru adımları atmadıkça yapabilecekleri pek bir şey yoktur.
Kuruluşlar kişisel verileri korumak için hangi adımları atabilir?
En temel düzeyde, iletişim her şeyin anahtarıdır: kurbanlara neyin sızdırıldığını, nasıl etkilenebileceklerini ve gerekli azaltma eylemlerini açıklığa kavuşturmak.
Bir kuruluşun veri ihlallerini önlemek için atabileceği birkaç adım vardır:
Etkili varlık yönetimine sahip olun – Sahip olduğunuzu bilmediğiniz şeyi koruyamazsınız. Kuruluşlar ve şirketler için varlık yönetimi tam bir kabus olabilir. Ancak bakımı yapılmayan ve düzenli olarak güncellenmeyen sunucular ve hizmetler bulmak önemlidir (çünkü kimse bunların ne olduğunu ve bunlardan kimin sorumlu olduğunu bilmiyordu). Peki ya güvenlikle ilgili olmayan personel? Hangi hesapları var ve nasıl korunuyorlar? Parola yeniden kullanıldı mı? Çok faktörlü kimlik doğrulama etkinleştirildi mi? Bunun gibi küçük güvenlik önlemleri bir dünya fark yaratabilir.
Açık, güncel bir güvenlik kültürüne sahip olun – Çalışanları en son güvenlik sorunları ve uygun şekilde nasıl davranılacağı konusunda bilgilendirmek ve eğitmek çok önemlidir. Ne de olsa savunmanın ön saflarında yer alan onlar. Ayrıca, kuruluşunuzun bir sosyal mühendislik kampanyası tarafından hedef alındığını fark ederseniz, personelinizi bilgilendirin ve durumu izleyin. Kültürü bilgi güvenliğine karşı olumlu tutmak ve çalışanları kuruluşun ve verilerinin güvenliğini etkileyebilecek bir hata yapmaları durumunda öne çıkmaya teşvik etmek de önemlidir (sonuçta biz insanız).
Sistem erişimini yakından izleyin (ve sınırlayın) – En az ayrıcalık ilkesini ve bilinmesi gerekenler ilkesini aklınızda bulundurun! Bunlar saldırganın çabalarını engelleyebilir. İhtiyacı olmayan kişilere gereksiz erişim izni vermeyin. Örneğin, yalnızca iş e-postalarını yanıtlayan çalışanlar için yönetici erişimi gerekli değildir.
Güçlü kimlik doğrulaması kullanın – Parolalar “genel” ve tahmin edilmesi kolaysa verileriniz daha fazla risk altındadır. Çalışanlar, hesaplarını ve cihazlarını güçlü bir parola ve mümkünse ek kimlik doğrulama faktörleriyle korumalıdır. (Ancak bilgisayarları kullanırken yalnızca biyometrik kimlik doğrulamaya güvenmeyin.)
Uzaktan çalışırken dikkatli olun – Çalışanların seyahat etmeden ve uzaktan çalışmadan önce cihazları yedeklediğinden ve işletim sistemlerini güncellediğinden emin olun. Seyahat ederken bir VPN kullanmak da iyi bir fikirdir.
Son olarak, kuruluşların kritik iş süreçlerine veya işlevlerine erişimin kaybedilmesi durumunda yardımcı olacak bir stratejisi olmalıdır. Bir veri ihlali meydana gelirse, kurbanlarla açık kriz iletişimi kurmaları, soruşturmalara yardımcı olmaları ve temizlikçilere götürülmemelerini ummaları gerekir!
Neyse ki birçok ülkede, Finlandiya’daki KyberVPK’ye dahil olanlar gibi gönüllüler, bir saldırı durumunda siberle ilgili sorunları olan hastaneler ve okullar gibi kuruluşlara yardımcı olmak için kolları sıvadı ve “gönüllü siber itfaiye ekipleri” oluşturdu. Ulusal siber güvenlik merkezleri ayrıca daha güvenli olmak ve bilgi güvenliği risklerinin farkında olmak isteyen kişiler için iyi bir bilgi kaynağıdır. Victim Support Europe, insanların kendi topluluklarına kurban desteği getirmesine yardımcı oluyor ve CyberPeace Institute, dünya çapında siber saldırıların insanların hayatlarına verdiği zararı azaltmak için ilgili ortaklarla işbirliği içinde çalışıyor.