Siber alemde en zayıf olan insandır. Siber güvenlik ve tehditlerin artan karmaşıklığıyla birlikte, bir şirketin kendi çalışanları büyük bir güvenlik açığı olmaya devam ediyor. Dünya çapında faaliyet gösteren bilgisayarlar, sunucular ve cep telefonları dahil olmak üzere dolaşımda olan 20 milyardan fazla cihazla, dijital akıcılık ve okuryazarlık, dönüşen siber güvenlik sorunu olmaya devam ediyor.
Cihazlar, bazılarının farkında bile olmadığımız birçok işlevi yerine getirir. Bunlar, gerçek zamanlı konumu izleme ve kaydetme, şifreleri ve uygulamalarla paylaşılan bilgileri kaydetme ve konuşmalarımızı dinlemeyi içerir.
Şirketlerde Saklanan Kişisel Veriler Oldukça Önemlidir
Birçok şirketin elinde bulunan verilerin bir kısmının veya bir alt kümesinin, aynı zamanda çalışanların kendileri hakkında kişisel olarak tanımlanabilir bilgiler olduğunu tam olarak anlamamaktadır. Bu bilgiler, dijitalleştirilmiş insan kaynakları kayıtları ve bir çalışanın dosyasının bir parçası olan diğer önemli bilgiler biçiminde bulunur.
Dijital dünyadaki tehditleri ve tehditlerle mücadele önlemlerini öğrenmek, çalışanların kendi kişisel verilerini korumalarına yardımcı olmak için dev bir adımdır ve çalışanlar siber güvenlik eğitiminden geçirilmesi gerekmektedir.
Siber Güvenlik Bilinci ve Eğitimi
Kuruluşlar, çalışanları karmaşık şifre gereksinimleri, 2FA/çok faktörlü kimlik doğrulama, ekran kilitleri ve en son yazılım güncellemelerini takip etme konusunda bilgilendirmelidir. Temelleri oluşturmak, siber güvenliği anlamak için ön koşulları oluşturur.
Kuruluşun siber güvenlik politikaları hakkında sloganlar ve istatistikler içeren dikkat çekici grafikler oluşturmak ve bunları ofis genelinde (ekibiniz şahsen ise) e-posta, metin, toplantı ve gönderiler aracılığıyla paylaşmak, güvenlik önlemlerini ön planda tutar.
Tehditler ve Etkileri
Kuruluşlar, bilgisayar korsanlarının nasıl çalıştığına ışık tutmalı ve son tehditler ve bunların etkileri hakkında güncellemeler sağlamalıdır. Son yıllarda siber güvenlik açığı milyarlarca dolar kaybettirdi.
İşverenlerin, çalışanlarını güvenli gezinme konusunda ayrıca aşağıdakileri de eğitmesi gerekir:
- Sosyal medya kullanımı. BT ekipleri, bir çalışan sosyal medya el kitabının oluşturulmasını ve kritik güvenlik en iyi uygulamalarını içermesini sağlamak için kurumsal iletişim ve insan kaynakları ile işbirliği yapmalıdır.
- Uygulamaları ve web sitelerini kullanırken gizlilik seçenekleri. Uygulamalar ve web siteleri, kullanıcılar hakkında bilgi toplar, bu nedenle çalışanlar, gizlilik ayarlarını/seçeneklerini ve web siteleri ve uygulamalar için ayarlamaları gereken belirli gizlilik seçeneklerini gözden geçirme konusunda eğitilmelidir.
- Konum hizmetleri. Uygulamalar konumunuzu takip ederken, çalışanların konumlarından nasıl yararlanılabileceğini ve iş cihazları aracılığıyla izlemeyi sınırlamanın yollarını anlamaları gerekir.
- Çerez bilgileri. Çalışanlar, çerezler ve bir cihazın önbelleğini ve tarayıcı belleğini temizlemenin faydaları hakkında temel bir anlayışa sahip olsalar da, bunun nasıl gerçekleştirileceğini ve hangi sıklıkta yapılması gerektiğini anlayamayabilirler.
Önleme en iyi tedavidir
Kimlik avı e-postaları, bir kuruluşun, iş arkadaşının, yöneticinin veya arkadaş, aile üyesi veya tanıdık olarak tanınan birinin kimliğine bürünmek için tasarlanmıştır. Kimlik avı e-postalarının bir aciliyet duygusu vardır ve genellikle şüpheli e-posta adreslerinden gönderilir.
Çalışanlar, e-postalardaki bağlantılardan haberdar olmalıdır. Alıcı, hedef URL’nin doğruluğunu çözmek için bağlantının üzerine gelebilir. E-postalar, planlar, teklifler ve hızlı nakit kazanma seçenekleri gibi diğer göstergeleri içerebilir ve dilbilgisi veya yazım hatalarıyla kötü yazılmıştır. Kimlik avı e-postasına tıklamadan dikkatlice gözlemleme ve tanımlama yeteneği, temel siber güvenlik önleyici tedbirlerden biridir.
Altın standart güvenlik uygulamaları çalışanlara iletilmelidir. Çalışanlar güçlü bir ilk savunma hattıdır, bu nedenle bir şirketin güvenlik protokollerini önemsemek için ilham almaları gerekir.
Teknoloji liderlerinin, çalışanlarını, kaybolan veya çalınan cihazlar da dahil olmak üzere herhangi bir siber güvenlik sorununu rapor etmeleri için eğitmeleri gerekir. Bir kuruluş, gerekli standartlara ve en iyi uygulamalara uyum yoluyla tehditleri azaltabilir. HIPAA, GDPR ve CCPA, BT ve bilgisayar sistemlerini korumanın yolunu açan düzenlemelerden birkaçıdır.
Kuruluşlar, çok faktörlü kimlik doğrulama, VPN kullanımı, sürekli izleme araçları, güvenlik duvarları, izinsiz giriş tespiti, gelişmiş ERP araçlarının uygulanması, müşteri ilişkileri yönetim sistemleri gibi temel ve karmaşık güvenlik mekanizmalarını kurmaya ve azaltmak için dahili arka ofis otomasyonlarını dijitalleştirmeye çalışmalıdır.
Tüm bunlar, şirketlerinin güvenliğini gerçekten önemseyen motive olmuş çalışanlarla birleştiğinde, çalışanları ve şirket varlıklarını korumak için en iyi şanstır.