Bu, Güvenliği Nasıl Etkiler?
Metin Kortak, Bilgi Güvenliği Başkanı, Rhymetec
Pandemi sonrası iş toparlanması devam ederken, yöneticiler işçileri ofise dönmeye ikna etmek için çok çalışıyor. Çalışanlar buna inanmıyor ve McKinsey tarafından yapılan bir araştırma, ankete katılan kişilerin %58’inin uzaktan çalışmayı tercih ettiğini gösteriyor. Bu eğilim, şirketlerin ağ güvenliğini etkiler ve yasal uyumluluğu sağlama ve sürdürme becerilerini olumsuz etkileyebilir. Kuruluşlar, çalışanların uyum sağlaması için mücadele etmek yerine, uzak iş gücü için tasarlanmış sağlam siber güvenlik önlemlerini uygulamaya odaklanmalıdır. İşletmenize yönelik ana tehditleri, sistemlerinizi korumak için atabileceğiniz adımları ve uzaktan çalışanların şirketinizi veya müşterilerinizi riske atmamasını nasıl sağlayacağınızı anlamak önemlidir.
Uzak İş Gücünün Potansiyel Güvenlik Riskleri
Uzaktan erişim teknolojileri daha fazla dış tehdide maruz kalmaktadır. Ulusal Standartlar ve Teknoloji Enstitüsü’ne göre kuruluşlar, kötü niyetli tarafların hassas verileri çalmak veya ağa erişim elde etmek için uzaktan çalışma cihazlarının kontrolünü ele geçirmeye çalışacağını varsaymalıdır. Uzak iş gücüne sahip şirketlerin karşılaştığı yaygın tehditler şunları içerir:
İnsan Faktörü
İnsanlar her zaman bir kuruluşun birincil siber güvenlik riskidir. İnsan hatası, çalışan ihmali, sosyal mühendislik, kasıtlı veya kasıtsız sabotaj, kimlik bilgilerinin kazara sızdırılması ve kimlik avına veya kötü amaçlı yazılıma kurban gitme, nerede çalışırlarsa çalışsınlar personelin bir saldırıyı kolaylaştırabileceği yollardan bazılarıdır. Çalışanlar ofis dışında çalıştıklarında, bu riskler aşağıdakiler de dahil olmak üzere çeşitli nedenlerle artar:
- Şirket sistemlerine erişmek için kişisel bilgisayarları ve mobil cihazları kullanmak
- Halka açık Wi-Fi gibi güvenli olmayan internet bağlantıları üzerinden bağlanma
- Gizli bilgilerin kasıtsız olarak çevrelerindeki yabancılara ifşa edilmesi
- Uzaktan çalışırken daha kolay kaybolabilecekleri veya çalınabilecekleri için uç noktaların fiziksel güvenliği
Bir kuruluş, ağlarını ve verilerini kötü amaçlı saldırılara karşı korumak için mevcut en sıkı siber güvenliğe sahip olabilir, ancak bu, çalışanların güvenlik olaylarına neden olan hatalar yapmasını engelleyemez. Uygun çalışan güvenlik bilinci eğitimi ve uzak uç nokta güvenlik kontrollerinin uygulanması, çalışanların bu hataları yapmasının önlenmesine yardımcı olabilir.
PII’ye Maruz Kalma
Kişisel olarak tanımlanabilir bilgilerin (PII) izinsiz olarak ifşa edilmesi, insan faktöründen kaynaklanabilecek sorunlardan biridir. PII, bir müşteriyi veya başka bir paydaşı doğrudan veya dolaylı olarak tanımlayabilen herhangi bir materyaldir. Bireysel PII olgularının çoğu kendi başlarına kullanılamaz, ancak bir veya daha fazla ek kimlik bilgisi ile birleştirildiğinde insanları tanımlayabilirler. Hassas PII şunları içerebilir:
- Ad ve soyadlar
- Doğum tarihi veya yeri
- Konut veya iş adresi
- Telefon numaraları
- Fotoğraflar veya parmak izleri
- Sosyal güvenlik numaraları
- Finansal bilgi
- Dijital kimlik bilgileri
- IP adresleri
- Mülkiyet kayıtları, örneğin, VIN veya tapu
- Biyometrik veri.
Her türlü PII, yetkisiz kullanıcılardan korunmalı ve aktarımlar ve veri analizi sırasında korunmalıdır.
Yetersiz Şifreler
İnanması zor ama araştırmalar 23 milyondan fazla kişinin çevrimiçi oturum açmak için hala “123456” şifresini kullandığını gösteriyor. Ele geçirilen kimlik bilgileri ihlallerin bir numaralı nedeni olduğundan ve tüm siber saldırıların %61’inden sorumlu olduğundan, bu sorunu çözmenin bir şirketin bilgi güvenliğinde büyük bir fark yaratabileceği mantıklıdır. Güçlü parolalar ve güvenli oturum açma kimlik bilgileri gerektirmek, bir kuruluşun sistemlerini korumak için kritik öneme sahiptir.
Güvensiz İşbirliği
Uzaktan çalışma eğilimi devam ederken, şirketler işbirliğine, belge paylaşımına ve Microsoft Teams, Slack ve WhatsApp gibi mesajlaşma uygulamalarına giderek daha fazla güveniyor. Bu uygulamaların uzaktan çalışmadan önce kullanıldığı doğrudur, ancak geleneksel bir ofis ortamında deneyimleyeceğiniz insandan insana etkileşimin kaldırılmasıyla bağımlılık önemli ölçüde arttı. Çalışanlar artık bu iletişim platformlarını özgürce kullanmaya alıştı, ancak bunlar kurumsal düzeyde güvenli olacak şekilde tasarlanmamıştı. Bu nedenle uygulamalar, bilgisayar korsanlarının kurumsal ağlara sızması ve hassas şirket verilerine erişmesi için ideal bir fırsat sunuyor.
Sağlam Siber Güvenliği Desteklemek İçin En İyi Uygulamalar
Tıpkı çoğu şirket binasında fiziksel izinsiz girişleri önlemek için tesis içi güvenlik olduğu gibi, kuruluşlar da çalışanlarının şirket içinde veya uzaktan çalışmasına bakılmaksızın siber güvenliklerini sağlamak için çeşitli adımlar atabilir. Uygulanması gereken en temel önlemlerden bazıları şunlardır:
- Uç Nokta Yönetim Araçlarını Kullanın
Tüm uzaktan çalışanlar, güvenilir virüsten koruma yazılımı, etkinleştirilmiş şifreleme ve güçlü parolalar gibi temel güvenlik denetimlerine sahip bilgisayarları kullanmalıdır. Kuruluşlar genellikle uçtan uca veri şifrelemenin sürdürülmesine yardımcı olmak için uzaktan çalışan çalışanların VPN kullanmasını gerektirir. Bir uç nokta yönetim yazılımı, bu güvenlik kontrollerini uzaktan uygulamak için çok önemli bir ilk adımdır.
- Parola Yöneticisi kullanın
Şirketler, uzaktaki ve şirket içindeki her çalışanın 1Password veya Dashlane gibi bir parola yöneticisi programı kullanmasını şart koşmalıdır. Bu uygulamalar, benzersiz parolalar oluşturur, birden çok kullanıcı oturum açma kimlik bilgilerini depolar ve yönetir. Çalışanların kimlik bilgilerini veya anahtarları diğer yetkili kullanıcılarla paylaşması gerektiğinde, parola yöneticileri bunları şifreleme protokollerini kullanarak güvenli bir şekilde paylaşabilir.
Programlar ayrıca bireylerden şifrelerini düzenli olarak değiştirmelerini ister ve bazılarında, bir kullanıcının kimlik bilgileri bir dark web satışına veya veri ihlaline karıştığında uyarı veren ve izleyen araçlar bulunur.
- Çalışan Siber Güvenlik Eğitimi Sağlayın
Uzaktaki ve başka türlü tüm çalışanları temel bilgi güvenliği ve toplum mühendisliğinin nüansları konusunda eğitin. Tüm çalışanlara cihazlarını her zaman kilitli tutmanın ve cihazlarını (veya şifrelerini) başkalarıyla paylaşmamanın önemini anlatın.
- PII’yi Protokollerle Koruyun
Şirket PII’sini korumak için güvenlik protokolleri uygulayın. Bunlar, erişim denetimi, zaman aşımları ve diğer kullanıcı kısıtlamalarını içerebilir. Tüm çalışanların, istemeden de olsa PII paylaşmanın risklerini ve sonuçlarını anladığından emin olun.
- Çok Faktörlü Kimlik Doğrulaması Gerektirin
Çok faktörlü kimlik doğrulama (MFA), herhangi bir şirketin kullanması için iyi bir korumadır. Şirket sistemlerine ve verilerine erişimi olan her cihazda MFA etkinleştirilmelidir. Bu, en yetenekli bilgisayar korsanları için bile izinsiz girişleri daha zor hale getirir.
- Güvenlik Uyarılarına Dikkat Edin
Çalışanlara güvenlik uyarılarına, açılır pencerelere ve parola değişikliği bildirimlerine dikkat etmelerini ve hesap etkinliklerini izlemelerini öğretin. Profillerine giriş yapan her cihazı doğrulamalı ve tanımadıkları cihazları kaldırmalıdırlar. İşçileri, yerinde olmayan bir şey fark ettiklerinde alarmı yükseltmeye teşvik edin. Kötü aktörler, düzenli olarak şüphelenmeyen kullanıcıları hedef almanın yeni yollarını keşfeder.
- Cihazları Güncel Tutun
Tüm çalışan cihazlarını güncel tutmak için bir sistem geliştirin. Birçok yazılım güncellemesi, kritik güvenlik gereksinimleri içerir ve bu güncellemeler göz ardı edilmemelidir.
- Spam E-postaları Açmaktan Kaçının
Çalışanları spam e-postaları açmamaları, bağlantıları tıklamamaları, ekleri açmamaları veya tanınmayan gönderenlerden dosya indirmemeleri konusunda eğitin. Virüsler, kötü amaçlı yazılımlar ve bilgisayar korsanları için ağ geçitlerini açmamak için yalnızca işleriyle doğrudan ilgili e-postalarla etkileşime geçmelidirler.
Uzaktan Çalışanlar Tehlikeye Girerse Ne Yapmalı?
Uzak bir iş gücü çalıştırmanın dezavantajlarından biri, BT departmanlarına anında, yüz yüze erişime sahip olmamaları veya tehlikeye atılıp atılmadıklarını belirlemelerine yardımcı olabilecek herhangi birinin olmamasıdır. Herhangi bir çalışan, cihazında veya hesabında şüpheli etkinlik fark ederse şunları yapmalıdır:
- Mevcut ağlarından (WIFI/LAN) hemen ayırın
- bluetooth’u kapat
- Cihazlarını kullanmaktan kaçının
- Kayıp veya çalıntı cihazları gecikmeden bildirin
- BT güvenlik ekibine ulaşın
Müşterilere hizmet vermeyi amaçlayan bir SaaS şirketi, sektörlerinin güvenlik gereksinimlerine uyduklarından emin olmalıdır. Bunlar SOC 2, ISO 27001, HIPAA, PCI, GDPR veya diğer protokolleri içeriyor olsun, bu bilgi güvenliği standartlarını uygulamak, onları uzak bir iş gücünün oluşturduğu risklere karşı korumaya yardımcı olacaktır.
yazar hakkında
Metin Kortak, 2017’den beri Rhymetec’te Bilgi Güvenliği Başkanı olarak görev yapmaktadır. Kariyerine BT Güvenliği alanında çalışarak başlamıştır ve aşağıdakiler gibi uyumluluk ve veri gizliliği çerçeveleri hakkında kapsamlı bilgi edinmiştir: SOC; ISO 27001; PCI; FEDRAMP; NIST 800-53; GDPR; CCPA; HITRUST ve HIPAA.
Metin, Veri Gizliliği ve Uyum hizmet tekliflerini oluşturmak için Rhymetec’e katıldı ve onun liderliğinde hizmet teklifleri 200’den fazla müşteriye ulaştı ve şu anda sektörde lider bir SaaS güvenlik hizmeti sağlayıcısı. Zamanını California ve New York City’deki evleri arasında geçiren Metin, boş zamanlarında seyahat etmeyi, egzersiz yapmayı ve arkadaşlarıyla kaliteli zaman geçirmeyi seviyor.
Metin’e çevrimiçi olarak https://www.linkedin.com/in/mkortak/ adresinden ve şirket web sitesi https://rhymetec.com/ adresinden ulaşılabilir.