EN ÇOK OKUNAN MAKALELER
Makaleler Yükleniyor...
E-BÜLTENİMİZE ABONE OLUN!
Sektördeki son haberleri takip etmek
için ücretsiz haftalık bültenimize
abone olun...
Sektörden İş Fırsatları
Güvenlik sektöründeki iş fırsatlarını buradan takip edebilirsiniz! Aradığınız kariyer fırsatları burada...
MAKALE DETAYI
Siber güvenlik efsaneleri ve gerçekler
Güvenliğe dair yanlış algılar işletmelerin karar verme süreçlerini etkiliyor.
Özellikle son birkaç yıldır siber suçlular tarafından kullanılan metodolojide belirgin bir değişim yaşandı. Geleneksel 'hack' ve zararlı yazılımlar hala yaygın olmakla birlikte, diğer saldırı türlerinde, özellikle ransomware- veri fidyeciliğinde patlama oldu. Peki neden?
Siber güvenliği çevreleyen ve karar verme süreçlerini etkileyen yanlış algılar, işletmelerin zarar görmesine neden oluyor.
''Casus filmlerini aratmayan bilgisayar korsanları''
Bilgisayar korsanı denilince bir çok kişi zeki, yüksek teknolojili odalarda çalışan gizemli kişiler algısına sahiptir. Yüksek profilli bir işletme gibi yüksek değere sahip bir hedef iseniz, bu algı geçerli olabilir.
Bununla birlikte, işletmelerin çoğuna karşı, bu tür saldırıları gerçekleştirmek için gereken yatırım buna değmez. Otomatik olmayan saldırıların büyük bir kısmı yalnızca e-postaya zararlı bir ek yükleyen ve 'gönder'i tıklayan nispeten düşük vasıflı işgücü tarafından yürütülür.
''Bilgisayar korsanlarının isteyebileceği bir şey yok''
Yukarıda belirtildiği gibi "değerli hedef" kategorisinde değilseniz, işletmenizin bilgisayar korsanlarının ilgisini çekmeyeceğini düşünmeyin. İşletmeler için sahip oldukları veriler son derece değerlidir. Veri olmadan birçok işletme faaliyet gösteremez hale gelebilir. Dolayısıyla, tüm şirket verilerinize erişimi kaybettiğinizde, geri kazanmak için yüklü ödemelerde bulunabilirsiniz.
''Başkasının görevi''
Geleneksel olarak bizi güvende tutan teknik önlemler hayati önem taşır. Ancak, bu önlemlerin ihlal edilmesi zorlaştığından siber suçlular da sistemlere girmek için yaratıcı tekniklere başvurur. Hedefli saldırılarda çalışanların posta kutusu daha çok kullanılır. Saldırı otomatikleştirilmediği için anti-virüs / anti-malware yazılımları tarafından algılanmasına izin veren göstergelere her zaman sahip değildir.
Hileli e-postalar BT savunmasını aştığında, söz konusu çalışanın siber saldırılardan haberdar olmadığı ve siber saldırıları durdurmanın BT departmanın sorumluluğu olduğu düşünülür. Ancak hiçbir önlem % 100 etkili değildir, bu yüzden herkes uyanık olmaktan sorumludur.
Siber saldırıları önlemek için BT altyapısının kendisi kadar siber güvenlik kültürünü yerleştirmeye yönelik eğitim ve iş yönetimi de önemlidir. Herhangi bir sistemde olduğu gibi siber güvenlikte de üç unsur bulunur. Etkili siber güvenlik ancak teknolojinin, kişilerin ve sürecin uyum içinde çalıştırılmasıyla başarılabilir.
Teknoloji: Mobil cihazlar, yazıcılar, erişim kontrol sistemleri ve CCTV de dahil olmak üzere tüm BT varlıklarının, güvenlik önlemlerine sahip olduğundan emin olarak, saldırıya uğrama riskini azaltır. Ayrıca, bu önlemlerin de düzenli olarak güncellenmesi gerekir. Çünkü tehditler sürekli olarak gelişirken, sistemler de güncellenmeye ihtiyaç duymaktadır.
İnsanlar: Teknik güvenlik önlemlerinin aşılması durumunda, düzgün bir şekilde bilgilendirilmiş, durumun farkında olan bir işgücü, son savunma hattını oluşturur.
Eğitim ise üç kademeli olarak yapılmalıdır:
• Yöneticiler için eğitim - risklerin farkında olma, yönetişim gereksinimleri vb.
• Herkes için eğitim
• Yüksek riskli gruplar için eğitim, örneğin finans departmanı
Bununla birlikte, eğitim tek defaya mahsus değil, düzenli yenileme ve güncelleme oturumları ile devam eden bir çalışma programı olmalıdır.
Süreç: Her çalışanın bankacılık ve muhasebe yazılımına erişmesine izin verilmediği gibi, personelin ağın gereksiz alanlarına erişimini sınırlayarak siber riskler önemli ölçüde azaltılabilir. Çalışanlara yalnızca görevlerini yapmak için gerekli izinleri vererek, yanlışlıkla yapabilecekleri işlemler önlenebilir. Suçlular parayı takip ediyor ve bu yüzden yanlış yere yanlışlıkla para gönderme riskini azaltmak için finansal politikalara sahip olunması gerekir. Örneğin 'CEO Sahteciliği' ile bir işletmenin CEO'su gibi davranan bir suçlu, işletmenin finans bölümüne, bir banka hesabına ödeme yapılması için bir e-posta gönderebilir. Ödeme emri alan finans personeli binlerce lirayı tanımadığı dolandırıcılara aktarabilir.
İşletmenizi siber saldırıdan korumanın anahtarı, dijital riskleri işinizle ilgili diğer risklerle aynı bağlamda görmektir.
Siber güvenliği çevreleyen ve karar verme süreçlerini etkileyen yanlış algılar, işletmelerin zarar görmesine neden oluyor.
''Casus filmlerini aratmayan bilgisayar korsanları''
Bilgisayar korsanı denilince bir çok kişi zeki, yüksek teknolojili odalarda çalışan gizemli kişiler algısına sahiptir. Yüksek profilli bir işletme gibi yüksek değere sahip bir hedef iseniz, bu algı geçerli olabilir.
Bununla birlikte, işletmelerin çoğuna karşı, bu tür saldırıları gerçekleştirmek için gereken yatırım buna değmez. Otomatik olmayan saldırıların büyük bir kısmı yalnızca e-postaya zararlı bir ek yükleyen ve 'gönder'i tıklayan nispeten düşük vasıflı işgücü tarafından yürütülür.
''Bilgisayar korsanlarının isteyebileceği bir şey yok''
Yukarıda belirtildiği gibi "değerli hedef" kategorisinde değilseniz, işletmenizin bilgisayar korsanlarının ilgisini çekmeyeceğini düşünmeyin. İşletmeler için sahip oldukları veriler son derece değerlidir. Veri olmadan birçok işletme faaliyet gösteremez hale gelebilir. Dolayısıyla, tüm şirket verilerinize erişimi kaybettiğinizde, geri kazanmak için yüklü ödemelerde bulunabilirsiniz.
''Başkasının görevi''
Geleneksel olarak bizi güvende tutan teknik önlemler hayati önem taşır. Ancak, bu önlemlerin ihlal edilmesi zorlaştığından siber suçlular da sistemlere girmek için yaratıcı tekniklere başvurur. Hedefli saldırılarda çalışanların posta kutusu daha çok kullanılır. Saldırı otomatikleştirilmediği için anti-virüs / anti-malware yazılımları tarafından algılanmasına izin veren göstergelere her zaman sahip değildir.
Hileli e-postalar BT savunmasını aştığında, söz konusu çalışanın siber saldırılardan haberdar olmadığı ve siber saldırıları durdurmanın BT departmanın sorumluluğu olduğu düşünülür. Ancak hiçbir önlem % 100 etkili değildir, bu yüzden herkes uyanık olmaktan sorumludur.
Siber saldırıları önlemek için BT altyapısının kendisi kadar siber güvenlik kültürünü yerleştirmeye yönelik eğitim ve iş yönetimi de önemlidir. Herhangi bir sistemde olduğu gibi siber güvenlikte de üç unsur bulunur. Etkili siber güvenlik ancak teknolojinin, kişilerin ve sürecin uyum içinde çalıştırılmasıyla başarılabilir.
Teknoloji: Mobil cihazlar, yazıcılar, erişim kontrol sistemleri ve CCTV de dahil olmak üzere tüm BT varlıklarının, güvenlik önlemlerine sahip olduğundan emin olarak, saldırıya uğrama riskini azaltır. Ayrıca, bu önlemlerin de düzenli olarak güncellenmesi gerekir. Çünkü tehditler sürekli olarak gelişirken, sistemler de güncellenmeye ihtiyaç duymaktadır.
İnsanlar: Teknik güvenlik önlemlerinin aşılması durumunda, düzgün bir şekilde bilgilendirilmiş, durumun farkında olan bir işgücü, son savunma hattını oluşturur.
Eğitim ise üç kademeli olarak yapılmalıdır:
• Yöneticiler için eğitim - risklerin farkında olma, yönetişim gereksinimleri vb.
• Herkes için eğitim
• Yüksek riskli gruplar için eğitim, örneğin finans departmanı
Bununla birlikte, eğitim tek defaya mahsus değil, düzenli yenileme ve güncelleme oturumları ile devam eden bir çalışma programı olmalıdır.
Süreç: Her çalışanın bankacılık ve muhasebe yazılımına erişmesine izin verilmediği gibi, personelin ağın gereksiz alanlarına erişimini sınırlayarak siber riskler önemli ölçüde azaltılabilir. Çalışanlara yalnızca görevlerini yapmak için gerekli izinleri vererek, yanlışlıkla yapabilecekleri işlemler önlenebilir. Suçlular parayı takip ediyor ve bu yüzden yanlış yere yanlışlıkla para gönderme riskini azaltmak için finansal politikalara sahip olunması gerekir. Örneğin 'CEO Sahteciliği' ile bir işletmenin CEO'su gibi davranan bir suçlu, işletmenin finans bölümüne, bir banka hesabına ödeme yapılması için bir e-posta gönderebilir. Ödeme emri alan finans personeli binlerce lirayı tanımadığı dolandırıcılara aktarabilir.
İşletmenizi siber saldırıdan korumanın anahtarı, dijital riskleri işinizle ilgili diğer risklerle aynı bağlamda görmektir.
Bu Makalenin Yorumları
Yorum Yazın
Yorum Yazın
