Şirketlerin siber güvenlikte başını en çok ağrıtan iç tehditler, son 2 yılda yüzde 47 arttı. Yapılan son araştırmalara nazaran dünya genelinde şirketlerin yüzde 34’ünden fazlası da her yıl içeriden gelen bir tehditten etkileniyor. Şirket içi tehditlerin uzaktan çalışma devrinde artma nedenlerine dikkat çeken Siberasist Genel Müdürü Serap Günal’a nazaran, şirket içi tehditlerden kaynaklı ferdî data ihlalinin yaşanmaması için değerli birkaç adımın derhal atılması gerekiyor.
Ponemon Institute’nin raporuna nazaran, şirket içi tehditler son 2 yılda yüzde 47 arttı. IBM’nin son şirket içi tehdit maliyeti tahliline nazaran de bu tehditlerin şirketlere maliyeti 11 milyon doların üzerindeyken, bir şirket içi tehdidin keşfi ise ortalama 2 ay sürüyor. Şahsî bilgilerin sızdırılması ve ihlalinin şirket içi tehditlerin sıklıkla oluşturduğu ziyanların başında olduğunu lisana getiren Siberasist Genel Müdürü Serap Günal, şirket içi riski artıran 4 ögeye ve alınması gereken tedbirlere dikkat çekiyor.
Uzaktan Çalışma ile Şirket İçi Tehditler Arttı
Pandemi ve akabinde uzaktan çalışmaya geçiş, 2020’de içeriden gelen tehditlerin artan oranına katkıda bulundu. Kuruluşlar öngörülebilir gelecekte uzaktan çalışma programlarını uzatma kararı aldıkça şirket içi tehditlerin de ziyan verme oranları artmaya devam ediyor. Global pandeminin içeriden gelen tehditler üzerinde bu kadar tesirli olmasının birkaç nedenini ise Serap Günal şöyle açıklıyor;
1. Teknik Faktör: Bilhassa meskenlerdeki internet ağları birçok süreç için kullanılırken çalışma ortamını da kirletiyor. Ek olarak mesken ağları, kurumsal ağların sahip olduğu güvenlik ve BT dayanağıyla çabucak hemen tıpkı seviyede olamıyor. Bu da kuruluşları, inançsız ağlarda çalışan akın yüzeyleriyle savaşmaya bırakıyor.
2. Ekonomik Faktör: İşgücü piyasasının meçhullüğü, toplumsal huzursuzluk, karantina zorunlulukları ve alışılmadık bir halde çalışmak, çalışanların zihninde yük oluşturan, dikkat dağınıklığı yaratan ve gerilim düzeylerini yükselten problemlerdir. Bunların tümü kusurlara yahut makus kararlara yol açabilecek faktörlerdir.
3. Ruhsal Faktör: Birçok insan için meskenden çalışmak, iş arkadaşlarıyla hissettikleri topluluk hissini zayıflatır ve patronlarına karşı makus niyetli hareketlerde bulunmalarını kolaylaştırır. Ayrıyeten bilgileri bir USB’ye kopyalamak, meskendeki yazıcıya yazdırmak yahut inançlı olmayan sitelere göz atmak da ofisteki ortamdan çok daha kolaydır.
4. Şahsî Faktör: En tesirli içeriden tehdit programları, kuşkulu davranışları bildiren çalışanlara dayanır. Fakat herkes meskende izole edilmişse, kuşkulu davranışlar nasıl gözlemlenebilir? Bu durum da iç tehditlerin artmasına çok önemli imkan tanıyabiliyor.
İç Tehditler için Bu Adıma 2 Dikkat!
Kişisel bilgilerin korunması ismine atılması gereken değerli adımlardan birinin, şirket içi ferdî bilgilerin korunması ve güvenliğine yönelik idari prosedürlerin uygulanarak departmanlar ortası bilgi akışının gerçekleşmemesi olduğunu belirten Serap Günal, açık isteği alınan ve belli bir departmanın nezaretinde olması gereken şahsî datanın alakasız bir departmana aktarılmasının sonucunda data ihlallerinin yaşanmasının çok kolay olduğunu aktarıyor. İç tehditlerin önüne geçme konusunda uzaktan çalışanların hangi bilgilere erişip erişemeyeceğinin değerli olduğunu lisana getiren Serap Günal, şirketlere 2 teklifte bulunuyor.
1. Şirketlerde yetki matrisi oluşturulmalı. Her departmanın yalnızca kendine özel tutulan bilgilere erişim sağlaması gerekiyor. Aksi takdirde yetkisi olmayan kimselerin sağlayacağı yetkisiz erişimlerle ihlallerin yaşanmaması için bir neden kalmıyor. Şirketlerde paylaşılan her türlü evrak ve bilgi tabanı için kimin erişim yetkisi olduğu, kimin ne vakit, ne biçimde ve hangi aygıttan erişim sağladığı ya da erişim yetkisinin olduğunu bilmek ve belirlemek gerekiyor.
2. Erişim logları kayıt altına alınmalı. Erişim yetkisi verilen çalışanların da ayrıyeten kaydının tutulmasını gerekiyor. Bu yüzden oluşturulan yetki matrisinin fonksiyonelliğini ve verilen yetkilerin berbata kullanılıp kullanılmadığının da tutulan erişim logları ve log kayıtları ile şirketler ölçebiliyor.
Kaynak: (BHA) – Beyaz Haber Ajansı
