Günümüzün hızlı tempolu organizasyonlarında, son kullanıcılar bazen kısa yollara başvurmaya çalışır. Hepimiz bunu yaşadık — bir son teslim tarihine yetişmek için acele etmek, birden fazla görevi bir arada yürütmek veya sadece yardımcı olmaya çalışmak. Ancak gerçek şu ki, iyi niyetli eylemlere bile izin vermek sizi ısırabilir.
Şunu hayal edin: Bir çalışan, masumca bir aile üyesinin evde iş dizüstü bilgisayarını kullanmasına izin veriyor ve “Zararı ne?” diye düşünüyor. Ancak, çalışanın bilmediği bir şey var: Sevdiği kişi yanlışlıkla şirketinizin ağında yayılan ve hassas verileri ve kritik sistemleri altüst eden bir kötü amaçlı yazılım indiriyor.
Bir anda o küçük iyilik, milyonlarca dolarlık bir kabusa dönüştü.
Bu sadece varsayımsal bir senaryo değil. Dünya Ekonomik Forumu, tüm siber güvenlik olaylarının %95’inin insan hatasına dayandığını buldu. Tüm son teknoloji güvenlik teknolojilerine ve sağlam protokollere rağmen, iyi niyetli son kullanıcıların kasıtsız yanlış adımları genellikle felakete kapı aralıyor.
Peki bu hataların bedeli ne oldu?
IBM’e göre, 2023’te bir veri ihlalinin ortalama küresel maliyeti, son üç yılda %15 artışla 4,45 milyon ABD dolarına ulaştı. Bu yalnızca finansal bir darbe değil; aynı zamanda potansiyel olarak işi bitirebilecek bir olay.
Çalışanların siber güvenlikte yaptığı beş yaygın yanlış adım
Riskleri daha iyi anlayabilmek için iyi niyetli çalışanların en sık yaptığı beş siber güvenlik hatasını inceleyebiliriz.
1. Yetkisiz cihaz erişimine izin verme
Proofpoint’in Kullanıcı Riski Güvenlik Raporu, çalışan yetişkinlerin yarısının arkadaşlarının ve aile üyelerinin iş cihazlarını evde kullanmasına izin verdiğini ortaya koyuyor. Yeterince zararsız görünüyor, ancak bu sevdikleriniz hassas şirket verilerine rastlayabilir veya farkında olmadan güvenli olmayan web sitelerine ve uygulamalara erişebilir. Peki ya yetkisiz kullanıcı kötü amaçlı yazılım indirirse? Siber suçlular kurumsal verilere, bulut uygulamalarına ve depolamaya erişebilir ve veri ihlalleri, fikri mülkiyet hırsızlığı ve itibar kaybı gibi güvenlik risklerinin Pandora’nın kutusunu açabilir.
Bu riski ortadan kaldırmak için parola koruması ve iki faktörlü kimlik doğrulama gibi sıkı güvenlik kontrolleri uygulamalı ve cihaz gizliliğinin önemini çalışanlarınızın zihnine yerleştirmelisiniz.
Tek seferlik bir oryantasyon güvenliği eğitimi yeterli olmayacaktır; bunun yerine, tüm çalışanların uyması gereken kapsamlı bir bilgi güvenliği planı oluşturun ve ekip liderlerini ekipleri içinde siber güvenlik disiplinini uygulamaya teşvik edin.
2. Hassas bilgilerin yanlış iletilmesi
Son kullanıcılarınızdan birinin yanlışlıkla gizli verilerle dolu bir e-postayı yanlış alıcıya gönderdiğini düşünün. Bu, düşündüğünüzden daha sık gerçekleşen bir şeydir, özellikle de yanlış teslimatın veri ihlaline yol açan en yaygın hata olduğu sağlık sektörü gibi sektörlerde.
Bu karışıklıkları önlemek için hassas e-postalar için şifreleme zorunluluğu getirmeyi, adresleri iki kez kontrol etmek için açılır hatırlatıcılar uygulamayı ve güvenlik ağı görevi gören veri kaybını önleme çözümlerini devreye sokmayı düşünebilirsiniz.
3. Parolaların tekrar kullanılması
Etkili bir parola politikanız olabilir, ancak çalışanlarınız parolalarını daha az güvenli kişisel cihazlarda, web sitelerinde ve uygulamalarda tekrar kullanıyorsa, siber suçlular için hala açık kapı bırakmış oluyorsunuz.
Son kullanıcıların parolaları tekrar kullanma hatasını yapmasını engellemenin %100 kesin bir yolu olmasa da, Specops Password Policy gibi çözümler en azından parolalarının tehlikeye girip girmediğini anlamanıza yardımcı olabilir.
Çözüm, 4 milyardan fazla benzersiz ihlal edilmiş parolanın yer aldığı bir veritabanına karşı Active Directory’nizi sürekli olarak kontrol eder ve ihlal edilmiş bir parola kullandıkları tespit edilirse kullanıcıları değiştirmeleri konusunda uyarır.
4. Uzak arayüzleri açığa çıkarma
Uzaktan çalışma aynı zamanda yeni bir dizi zorluğu da beraberinde getirdi. BT ekiplerinin sıklıkla uzaktan yönetim görevlerini yerine getirmesi gerekir, ancak idari arayüzleri internete açmak, krallığınızın anahtarlarını Wi-Fi bağlantısı olan herkese teslim etmek gibidir.
Sanal ön kapınızı açmadan uzaktan erişime izin vermek için, çevrimiçi olarak neyi ifşa ettiğiniz konusunda seçici olmalısınız. Ayrıca, otomatik bakım çözümleri kullanmak, güvenlik açıklarını ve riskleri en aza indirmenize yardımcı olacaktır.
5. Ayrıcalıklı hesapların kötüye kullanılması
BT çalışanlarınızın da insan olduğunu ve almamaları gerektiğini bildikleri riskleri alabileceklerini unutmamak önemlidir. Örneğin, bir BT yöneticisinin günlük BT görevlerini yerine getiriyor olsalar bile ayrıcalıklı hesaplarından çalışması cazip gelebilir; bu uygundur ve yönetici ve kullanıcı hesapları arasında geçiş yapmalarını engeller.
Ancak bu kolaylığın bir bedeli var; yönetici hesaplarının ele geçirilmesi durumunda bu büyük bir risk.
En güvenli bahis? Günlük işler için sınırlı ayrıcalıklara sahip ayrı kullanıcı hesapları oluşturmak, yönetici yetkilerini yalnızca kritik görevler için saklamak.
En az ayrıcalık ilkesini (PoLP) uygulayın ve çalışanların yalnızca belirli iş işlevlerini yerine getirmek için gerekli kaynaklara ve izinlere erişebildiğinden emin olun. Ve kullanıcı izinlerini düzenli olarak inceleyin ve denetleyin, gereksiz ayrıcalıkları derhal iptal edin.
Siber güvenlik bir takım sporudur
Sonuç olarak, siber güvenlik bir takım sporudur. Teknik savunmalarınız ne kadar güçlü olursa olsun, çalışanlarınız genellikle savunmanın ilk hattıdır ve en zayıf halkanızdır.
Yaygın tuzakları anlayarak ve akıllı politikalar ve eğitimler uygulayarak, siber tehditlere karşı mücadelede iş gücünüzü bir yükümlülükten bir varlığa dönüştürebilirsiniz. Sonuçta, işinizi korurken, bir ons önlem milyonlarca tedavi değerindedir.
Active Directory’nizde kaç tane açık riskin gizlenebileceğini bilmek ister misiniz? Ücretsiz denetim aracıyla salt okunur bir tarama çalıştırın ve parolayla ilgili güvenlik açıklarınız hakkında dışa aktarılabilir bir rapor alın.
Specops Password Auditor’ı buradan indirin.
Specops Yazılım tarafından desteklenmiş ve yazılmıştır.