Yazan: Concentric.ai CEO’su Karthik Krishnan
Ekim ayı Siber Güvenlik Farkındalık Ayı ve her yıl güvenlik hijyeni ve güvende kalmayla ilgili ipuçlarının çoğu değişmedi. Bunların hepsini gördük; güçlü parolalar kullanın, çok faktörlü kimlik doğrulama (MFA) uygulayın, kimlik avı saldırılarını tespit etme konusunda dikkatli olun, yazılımı düzenli olarak güncelleyin ve sistemlerinize yama uygulayın. Bunlar, tavsiye edilen ve devam eden harika ipuçlarıdır ve bugün de her zamankinden daha günceldir. Ancak zaman değişti ve bu en iyi uygulamalar artık asgari düzeyde olamaz.
Verilerinize yönelik hem harici hem de dahili tehditlerin sayısı katlanarak artıyor, bu nedenle sağlam bir veri güvenliği duruşunun sürdürülmesi son derece önemlidir. Veri koruma açısından bakıldığında belki de ele alınması en zor zorluk, korunmaya değer iş açısından kritik verilerin artık çok farklı biçimlerde olmasıdır. Fikri mülkiyet, finansal Veriticari gizli bilgiler, PII, PCI verileri ve daha fazlası çok karmaşık bir ortam oluşturur.
Hangi verilerin korunmaya değer olduğunu belirlemek için kural yazmak gibi geleneksel veri koruma yöntemleri, günümüzün bulut merkezli ortamında yeterli değildir. Çalışanlarınızın hassas içerik oluşturmasının, değiştirmesinin ve herkesle paylaşmasının ne kadar kolay olduğunu düşünün. Hassas verileriniz sürekli olarak veri kaybı riski altındadır ve verilerin her zaman doğru kişilerle paylaşıldığından emin olmak için çalışanlara güvenmek etkisizdir.
Aslında 2023’e göre Verizon Veri İhlali Araştırmaları raporuTüm ihlallerin %74’ü sosyal mühendislik hatası, ayrıcalıkların kötüye kullanılması veya çalıntı kimlik bilgilerinin kullanılması yoluyla insan unsurunu içeriyor. Eşmerkezli yapay zekanın kendine ait 2023 Veri Riski Raporu Araştırma, ortalama olarak her kuruluşun aşırı paylaşım nedeniyle risk altında olan 802.000 veri dosyasına sahip olduğunu, yani çalışan başına 402 dosya olduğunu bildiriyor. Verilere yönelik risk çok büyüktür.
Siber Güvenlik Farkındalık Ayı yaklaşırken şunu hatırlatmak isteriz: veri güvenliği duruş yönetimi (DSPM), kuruluşların veri güvenliği riskinin nasıl azaltılacağına ilişkin eyleme dönüştürülebilir öngörülerin görünürlüğünü sağlamak için uygulamaları kritik öneme sahiptir. DSPM kuruluşlara şunları yapma yetkisi verir:
• Tüm hassas verileri tanımlayın
• İş açısından kritik verilere yönelik riskleri izleyin ve belirleyin
• Bu bilgiyi düzeltin ve koruyun
Aşağıdaki Veri Güvenliği Duruş Yönetimi (DSPM) kontrol listesi Siber Güvenlik Farkındalık Ayı için yeni girişimlerle birleştirilen öğeler, Farkındalık, Eylem ve Bilmeniz Gerekenler başlıklı beş adımlı kapsamlı bir kılavuz oluşturmanıza yardımcı olabilir:
1. Veri Hassasiyeti: Güvenliğin Temeli
Farkındalık: Risk altındaki verilerinizi keşfedip tanımlayabilmek kritik öneme sahiptir. Hassas verilerinizin nerede bulunduğunu bilmek, onları güvence altına almanın ilk adımıdır.
Aksiyon: Çalışanlarınızı kuruluşunuzdaki hassas veri türleri (PII, IP vb.) ve bunları korumanın neden önemli olduğu konusunda eğitmek için atölye çalışmaları ve web seminerleri düzenleyin.
Ne bilmek istiyorsun: İşlediğiniz veri türlerini anlamak büyük bir etki yaratabilir. Çalışanlar, hassas verilerin nelerden oluştuğunun ve bu verilerin yanlış kullanılmasıyla ilişkili risklerin farkında olmalıdır. Atölye çalışmaları veri sınıflandırması, kişisel bilgilerin güvenli bir şekilde işlenmesi ve veri şifrelemenin önemi gibi konuları kapsayabilir.
2. Bağlamsal Farkındalık: Veri Türlerinden Daha Fazlası
Farkındalık: Kuruluşlar, verilerinin içeriğini anlayabilmelidir. Veriler yalnızca türlerle ilgili değil, aynı zamanda etrafındaki bağlamla da ilgilidir.
Aksiyon: Verilerin bağlamdan çıkarıldığında nasıl kötüye kullanılabileceğini göstermek için gerçek dünyadan örnekler kullanın. Çalışanlarınızı paylaşmadan önce düşünmeye teşvik edin.
Ne bilmek istiyorsun: Bağlam önemlidir. Zararsız görünen veriler farklı bir bağlama yerleştirildiğinde güvenlik riski haline gelebilir. Çalışanların, işledikleri verilerin diğer verilerle ve sistemlerle nasıl etkileşimde bulunduğu da dahil olmak üzere daha geniş etkilerini dikkate almaları konusunda bilgi sahibi olmaları ve eğitilmeleri gerekir.
Örneğin bir çalışanın adını düşünün. Tek başına “John” gibi bir ad zararsız görünüyor. Ancak soyadı, e-posta adresi veya ofis konumu gibi diğer verilerle birleştirildiğinde ikna edici bir kimlik avı e-postası oluşturmak için kullanılabilir. Size tam adınızla hitap eden ve belirli ofis konumunuza veya son şirket faaliyetlerinize atıfta bulunan bir e-posta aldığınızı hayal edin. Yasal görünebilir ve hiçbir şeyden haberi olmayan bir çalışanı, hassas bilgileri ifşa etmesi veya kötü amaçlı bir bağlantıya tıklaması için kandırabilir.
3. Risk Değerlendirme Tatbikatları: En Kötüye Hazırlık
Farkındalık: Kuruluşların, hassas verileri korumak için riskin nerede olduğunu anlamaları gerekir. Güvenlik açıklarını bilmek, daha iyi güvenlik politikalarının oluşturulmasına yardımcı olabilir.
Aksiyon: Uygunsuz izinler veya riskli paylaşım nedeniyle hassas verilerin risk altında olabileceği senaryoları simüle etmek için deneme tatbikatları gerçekleştirin. Bu düşündüğünüzden çok daha sık gerçekleşir.
Ne bilmek istiyorsun: Sahte tatbikatlar, çalışanların veri ihlallerinin gerçek dünyadaki sonuçlarını anlamalarına yardımcı olabilir. Bu tatbikatlar kimlik avı saldırılarını, yetkisiz veri paylaşımını ve hatta içeriden gelen tehditleri simüle edebilir. Önemli olan çalışanların veri güvenliği protokollerini takip etmenin önemini anlamalarına yardımcı olmaktır. İpucu: Çalışanların bu sonuçları bilmesi gerekirken, kuruluşunuz da çalışanların üzerindeki yükü azaltan çözümlerden yararlanmalıdır.
4. İzin Denetimleri: Kimin Erişimi Var?
Farkındalık: Kuruluşların veri kökenini ve izinlerini takip edebilmesi ve anlayabilmesi çok önemlidir. Kimin hangi verilere erişebileceğini bilmek çok önemlidir.
Aksiyon: Tüm platformlarda veri izinlerini denetlemeye ve düzeltmeye bir hafta ayırın. Bunu şirket çapında bir girişim haline getirin.
Ne bilmek istiyorsun: Veri izinlerinin düzenli olarak denetlenmesi, hassas bilgilere yetkisiz veya riskli erişimi önleyebilir. Siber Güvenlik Farkındalık Ayı boyunca izinleri gözden geçirmeye ve güncellemeye özen gösterin, böylece çalışanların yalnızca işlerini yapmak için gerekli verilere erişmelerini sağlayın. En az ayrıcalık ve sıfır güven ilkeleri burada geçerlidir.
5. Uygulanabilir İçgörüler: İleriye Giden Yol
Farkındalık: Son olarak kuruluşların harekete geçebilmesi ve her türlü riski ortadan kaldırabilmesi gerekir. Proaktif önlemler veri ihlali riskini önemli ölçüde azaltabilir.
Aksiyon: Şirketin veri riski duruşuna ilişkin haftalık öngörüleri paylaşın. Başarılı iyileştirmelerin yanı sıra dikkat edilmesi gereken alanları vurgulayın.
Ne bilmek istiyorsun: Şeffaflık çok önemlidir. Şirketin veri riski duruşuna ilişkin içgörülerin paylaşılması, çalışanların kuruluşun genel güvenliğine katkıda bulunacak bireysel eylemler gerçekleştirmesine olanak sağlayabilir. Kazanımları kutlayın, ancak aynı zamanda azaltılması gereken temel riskleri de vurgulayın.
Siber Güvenlik Farkındalığı Başarısı: Güvenlik farkındalığını güçlü DSPM ile birleştirmek
Siber güvenlik ortak bir sorumluluktur ve Siber Güvenlik Farkındalık Ayı bu mesajı güçlendirmek için mükemmel bir zamandır. Veri güvenliği farkındalığını güçlü DSPM ile birleştirmek, verileri güvende tutmanın anahtarıdır.
Tüm kuruluşlar, sağlam bir siber güvenlik farkındalık programı aracılığıyla ve veri ihlalinin etkisini en aza indirmek için ipuçlarını ve en iyi uygulamaları takip ederek güçlü bir veri güvenliği düzeyine ulaşabilir. Her iki dünyanın da en iyisine sahip olmak, güvenliğe duyarlı bir iş gücü ve sağlam bir DSPM çözümüyle başarılabilir.
Resim: Freepik
Reklam