Veri Güvenliği Hakkında Her Kurumun Sorması Gereken 6 Soru!

YORUM By İNS 06-12-2016

Veri güvenliği günümüzde hemen her kuruluş için bir numaralı öncelik. Fakat birçok şirket sahibi hala mevcut riskler hakkında tam bir fikir sahibi değil. Aşağıda her şirket sahibinin veri güvenliği hakkında sorması gereken sorular yer almakta.

Veri Güvenliği Herkesin, Özellikle de Şirket Sahibinin İşidir.

Günümüzde veri hırsızlıkları şirketlerde saldırı başına ortalama 4 milyon dolarlık bir zarara yol açıyor, bu nedenle siber güvenlik harcamaları ciddi seviyede artmış durumda. Fakat her ne kadar şirketler siber güvenliğe çok büyük yatırımlar yapsalar da, şirket sahipleri bazen şirketlerinin karşılaşabileceği siber saldırılar hakkında yeterli seviyede fikir sahibi olamayabiliyor. Şirket sahiplerinin çoğu siber suçların şirketler için ciddi bir tehdit oluşturduğu bir dönemde kariyerlerinin büyük kısmını bu konuya harcamamış kişilerden oluşuyor. Dolayısıyla siber güvenlik stratejilerini genellikle şirketlerinin güvenlik uzmanlarına veya teknoloji ekiplerine bırakıyorlar. Halbuki şirket saiplerinin de şirketlerinin potansiyel siber zaaflarından, savunma stratejilerinden ve olası bir veri güvenliği ihlali durumunda verilecek tepkilerden haberdar olması gerekiyor. Bu nedenle şirket sahiplerinin siber güvenlik bilgilerini arttırmak ve şirketlerini korumak için aşağıdaki soruları mutlaka sormaları gerekmekte.  

Şirketim en fazla hangi tehdide karşı zafiyet içerisinde?

Bir şirketin zafiyet içinde olduğu siber tehdit çeşitleri şirketin büyüklüğüne ve içinde bulunduğu faaliyet alanına bağlıdır. Fakat şu an için tüm şirket saiplerinin mutlaka farkında olması gereken üç olağanüstü zararlı ve yaygın tehdit bulunmaktadır.

Fidye yazılım

Son zamanlarda hastanelere ve sigorta şirketlerine yönelik siber saldırılarla gündeme gelen fidye yazılımlar, şirketler hackera istediği parayı ödeyene kadar sistemleri veya verileri kilitleyen kötü amaçlı yazılımlardır. Bir tür “siber gaspçı” olarak işleyen fidye yazılımlar şirketlerden çok büyük miktarlarda bilgi ve para talep edebiliyor.

Hedef odaklı kimlik avı (Spear Phishing)

Kimlik bilgilerini almak üzere gönderilen e-postalar olarak tanımlanabilecek bu saldırılar şirket yöneticilerininkine benzeyen e-postalar vasıtasıyla insan kaynakları yöneticileri, operasyon sorumluları vs. gibi çalışanları ve kilit konumdaki karar alıcıları hedefler. Genellikle para transferi veya hassas bilgilere erişim talep eden bu mesajlar çoğu zaman normal e-postalardan ayırt edilemezler ve açıldıkları takdirde tüm sistemi ele geçirebilirler.

Hizmet engelleme saldırıları

Bu saldırılar ağ sistemlerine çok büyük miktarda bilgi akışı yaparak ve dolayısıyla sunucuların kullanıcılar tarafından gönderilen meşru talepler için işlem yapmasını engelleyerek web sitelerini çökertirler. Bu yüzden internet üzerinde operasyonel veya finansal hizmet veren şirketler bu tarz saldırılardan olumsuz etkilenir. Web sitesinin tamamen çökmesi şirketin çalışmasını neredeyse tamamen imkansız hale getirir.

Güvenlik ihlallerini önlemek için hangi adımları atıyoruz?

Bir kuruluşun ağına girilebilecek muhtemel yolları tanımlamak bu ihlalleri önlemenin ilk adımıdır. Bu yollardan ilki o şirketin çalışanlarıdır, çünkü çalışanlar kötü amaçlı yazılım içeren e-postalara veya reklamlara tıklayıp virüslü eklentileri açarak farkında olmadan sistemlerin içine girilmesine neden olabilmektedir. Çalışanları şüpheli davranışlar konusunda eğitmek bu tarz veri güvenliği ihlallerini gerçekleşmeden yakalamak bakımından faydalıdır. Şirketler aynı zamanda IT ekipmanlarını da mutlaka sürekli takip etmelidir. Cihazların ne sıklıkta güncellendiği kontrol altında tutularak gerekli ve önemli güncellemelerin ihmal edilmemesi sağlanabilir. Yine de, bu cihazlar güncel olsa dahi sisteme giriş için bazı belirsiz yollar hala olabilir. Sosyal medya kanalları ve iş başvurusu prosedürleri gibi olgular şirket sistemlerine ekstra giriş yolları açabilir ve dışarıdan kötü amaçlı yazılım ya da spam girişine neden olabilir.

Tehditleri nasıl takip ediyoruz?

Şirketlerin siber tehditleri gerektiği şekilde takip edebilmek için ilk olarak hackerlar için ne derece cazip bir hedef olduklarını tanımlamaları gerekir. Kimi zaman şirketler hackerların aslında pek ilgilenmedikleri bilgilere sahip olmalarına rağmen gereğinden fazla güvenlik önlemi alabilmekte. Her ne kadar bir şirketin hackerlar için ne derece cazip bir hedef olduğunu belirleyecek kesin kurallar olmasa da, mutlaka göz önünde bulundurulması gereken bazı hususlar da var. Şirketler ellerinde ne tip veriler bulundurduklarını ve bu verilerin kendileri için ne derece hassas veya kritik olduğunu dikkatle değerlendirmeli. Çalışanların sosyal güvenlik numaralarının, banka bilgilerinin veya kredi kartı detaylarının olduğu tüm veriler hackerlar için cazip hedeflerdir. Bunun yanı sıra, büyümeye, başka bir şirketle birleşmeye veya başka bir şirketi satın almaya yönelik planlar da bir şirketi hackerların hedef alanına sokar. Bu veri analizi yapıldıktan sonra, şirketlerin muhtemel veri güvenliği ihlali durumlarında vereceği acil durum tepkileri mutlaka saldırı sonucunda kaybetmeleri muhtemel olan veriyle orantılı seviyede olmalıdır.

Elimizdeki tüm hassas veriler kriptolanmış durumda mı?

Siber güvenlik alanındaki son gelişmelere rağmen birçok şirket en temel güvenlik zafiyetleri nedeniyle elinde büyük ölçüde risk altında bilgi bulundurmakta. Çalışanlarının dizüstü bilgisayarları ve cep telefonları gibi cihazlarını kriptolayabilecek teknolojiye sahip olmalarına rağmen birçok şirket bu imkanı değerlendirmemekte. Çalışanlar çoğu zaman bu cihazlarda oturum açarken güvenli ve sürekli güncellenen bir parola kullanmak veya yazılım ve güvenlik güncellemelerini sık sık yapmak gibi, kriptolamayla birlikte yapılması gereken işlemlere gerekli zamanı ayırmamakta. Şirket çalışanlarına bu işlemlerin mutlaka yapılması gerektiği düşüncesini benimsetmek büyük güvenlik açıklarının kapatılmasını sağlayacaktır. 

Bir siber saldırı şirketimize ne seviyede bir zarar verir?

Veri güvenliği ihlalleri sonucunda ortaya çıkan zararın giderilmesinin maliyeti giderek arttığı için şirketlerin hangi sistemlerin operasyonel süreçleri için en hayati konumda olduğunu belirlemeleri giderek daha önemli bir hal almakta. Bu sistemleri tanımlamak yönetici kadrosunun bir siber saldırının şirketlerine para, zaman ve iş anlamında ne seviyede zarar vereceğini daha iyi kavramalarını sağlar. Kaybedilen verinin telafisi için harcanan paranın fazlalığının yanı sıra, satışlarda yaşanacak ciddi düşüşler ve sistemi olabildiğince hızlı bir şekilde ayağa kaldırmak için yapılacak masraflar işin maddi kısmını daha da külfetli bir hale getirir. Şirketlerin paranın yanında itibarlarını ve verimliliklerini kaybedecek olmaları da cabası.  

Siber sigortamız var mı ve bu sigorta yeterince güvence sağlıyor mu?

Şirket sahiplerinin zarar telafisi için gereken giderleri akıllarından çıkarmadan şirketlerine siber güvenlik sigortası yaptırmanın faydalarını gözden geçirmeleri gerekmekte. Siber sigorta şirketlerin veri güvenliği ihlali durumlarında göreceği zararları telafi edebilmelerini sağlar. Ancak şirket sahiplerinin sadece siber güvenlik sigortası yaptırdıkları için rahat davranmamaları gerekir çünkü büyük güvenlik açıkları muhtemelen olmaya devam edecektir. Şirketlerin mutlaka ellerindeki siber güvenlik planının neleri kapsadığını öğrenmesi ve incelemesi gerekir. Çünkü bazı durumlarda fidye yazılımlar ve üçüncü parti güvenlik ihlalleri siber poliçe kapsamına alınmamakta, dolayısıyla bu tarz saldırılara maruz kalan şirketler büyük zararlara uğramaktadır.

Sağlıklı siber koruma üç aşamalı bir stratejidir

Siber sigorta çok önemlidir ama iyi bir siber güvenlik stratejisinin yalnızca bir aşamasıdır. Birçok şirket sigortayı oldukça karmaşık bir soruna yönelik bütüncül bir çözüm olarak görmek gibi hayati bir hata yapar. Şirketlerin siber güvenliği kendilerini koruma altına almanın üçüncü aşaması olarak görmeleri, bunun öncesinde ciddi siber tehditler hakkında bilgilenmeli ve cihazlarını ve süreçlerini takip edecekleri veri güvenliği çözümleri tercih etmeleri gerekmektedir. Şirket sahipleri içinse bu anlamda hangi soruların sorulacağını bilmek şirketlerinin çıkarlarını korumanın ve sağlam bir siber güvenlik stratejisi belirlemenin en önemli kısmını oluşturmaktadır.

İHS