Kaspersky Çalışan Sıhhati 2021 raporu, kuruluşların nizamlı olarak çalışan bilgi sızıntısı ile karşı karşıya olduğunu, lakin bunların neredeyse yarısının (45) bu olayları kamuya açıklamamayı tercih ettiğini ortaya koyuyor. Türkiye’de ise bu oran 19 ile nispeten pek düşük kalıyor. İşletmelerin sırf 44’ü BT güvenliği eğitimi sunduğundan, işçi kendilerini korumak için temel siber güvenlik bilgisinden mahrum kalabiliyor.
Başarılı bir kurumsal siber savunma, her seviyedeki çalışan güçlerini birleştirmeden mümkün olamayacak bir kavram. Teknoloji siber hücumları önlemek için değerli olsa da, olayların 85’inde insan faktörleri hala fazlaca kıymetli bir rol oynuyor. Kaspersky’nin BT karar vericilere yönelik global anketi, kuruluşların ve çalışanların bu mevzuda ne iş birliğine ne kadar hazır olduğuna ve kendilerini, müşterilerini ve birbirlerini ne kadar âlâ koruduğuna ait bilgiler sağlıyor.
Müşteri ayrıntılarının çalınmasıyla bağlı yüksek profilli bilgi ihlali hadiselerine karşın, çalışanların şahsi bilgileri siber hatalılar içinde da çok tanınan. 2021’de kuruluşların üçte birinden çoksı (35) çalışanlarının datalarının tam güvenliğini sağlayamadı ve bu çeşit ayrıntıları içeren olaylarla karşılaştı. Türkiye’de bu oran 42 oldu.
Etkilenen kuruluşların 45’inin şahsi çalışan datalarının ihlalini kamuya açıklamaması, sorunun göründüğünden daha büyük olduğunun bir işareti (Türkiye için bu oran 19 ile global ortalamanın çok ilerisinde). Geri kalanların 43’ü olayla ilgili ayrıntıları proaktif olarak paylaşırken (Türkiye’de 69), 12’si bunu medyaya sızdırıldıktan daha sonra yaptı (Türkiye’de oran aynı). Bu, kurumsal yahut müşteri data ihlallerine kıyasla bu çeşit sızıntının en az ifşa edilen sızıntı tipi olduğunu gösteriyor.
Kaspersky Kurumsal İşlerden Sorumlu Genel Müdür Yardımcısı Evgeniya Naumova, sonuçları şöyleki yorumluyor: “Bir kuruluş siber olayla karşı karşıya kaldığında gerçek kriz bağlantısı, müdahale ve kurtarma aksiyonları kadar değerlidir. Bilgi ihlali riski her vakit vardır ve işletmeler bunu proaktif olarak açıklamanın basında ifşa etmekten daha düzgün olduğunu kabul etmelidir. Uygun, gerçek ve vaktinde irtibat sadece potansiyel prestij ziyanını en aza indirmekle kalmaz, hem de direkt finansal kayıpları da büyük ölçüde azaltabilir. Panik yahut karışıklığı önlemek için bir şirketin net bir kriz planı geliştirmeyi düşünmesi ve çalışanları öncesinden eğitmesi gerekir. Kurumsal irtibat uzmanları ve BT güvenlik takımları, siber güvenlik içgörüleri hakkında bilgi alışverişinde bulunmak ve acil bir durumda hem iç birebir vakitte dış bağlantıları yanlışsız bir biçimde ele almaya yardımcı olabilecek kılavuzları, araçları, kanalları ve lisanı belirlemek için iş birliği yapmalıdır.”
Potansiyel siber güvenlik olayları hakkında harici bilgi eksikliği çoklukla dahili uğraşlarla azaltılamaz. Araştırmaya nazaran, kuruluşların sadece 44’ü, çalışanlara kıymetli bilgiler verilmesini sağlamak için güvenlik eğitimi ve öğretimi uygulamış. Ayrıyeten bu şirketlerin yarısından fazlası (64) bu hizmetlerin kalitesiyle ilgili en az bir sıkıntıyla karşılaştığını tabir ediyor. Bu, kursların karmaşasından doğan memnuniyetsizliği ve eğitimleri sunanların dayanak yahut uzmanlık konusundaki eksikliğini içeriyor.
Esirgeyici tedbirlerin değeri hakkında temel bilgiler verilmeyen çalışanların kurallara uyması doğal olarak beklenemez. 2021’de BT güvenliği kelam konusu olduğunda, işçinin uyumluluğu ve yetersiz son kullanıcı güvenlik kültürüyle uğraşmak işletmeler açısından en büyük üç tasadan biri oldu. Ankete katılanların 42’si bunu en telaş verici bahisler içinde belirtti. Şirketler sistemli olarak bilgi güvenliği ihlalleri (41), uygunsuz BT kaynağı kullanması (42) ve taşınabilir aygıtlar aracılığıyla bilgilerin uygunsuz paylaşımı (38) durumuyla karşı karşıya kaldıklarını tabir etti. Türkiye’de bu oranlar sırasıyla 49, 51 ve 46 oldu.
İhlallerin önlenmesi, kurumsal sistemlerle etkileşime giren saldırganlar için potansiyel bir maksat olabilecek her insanın birlikte hareket etmesini gerektiriyor. Çalışanların güvenliğini güçlendirmek için şirketler, muteber hami tedbirleri takımları içindeki güvenlik şuuruyla bir ortaya getirmelidir. Bunun için şu adımları uygulamak gerekir:
Başarılı bir kurumsal siber savunma, her seviyedeki çalışan güçlerini birleştirmeden mümkün olamayacak bir kavram. Teknoloji siber hücumları önlemek için değerli olsa da, olayların 85’inde insan faktörleri hala fazlaca kıymetli bir rol oynuyor. Kaspersky’nin BT karar vericilere yönelik global anketi, kuruluşların ve çalışanların bu mevzuda ne iş birliğine ne kadar hazır olduğuna ve kendilerini, müşterilerini ve birbirlerini ne kadar âlâ koruduğuna ait bilgiler sağlıyor.
Müşteri ayrıntılarının çalınmasıyla bağlı yüksek profilli bilgi ihlali hadiselerine karşın, çalışanların şahsi bilgileri siber hatalılar içinde da çok tanınan. 2021’de kuruluşların üçte birinden çoksı (35) çalışanlarının datalarının tam güvenliğini sağlayamadı ve bu çeşit ayrıntıları içeren olaylarla karşılaştı. Türkiye’de bu oran 42 oldu.
Etkilenen kuruluşların 45’inin şahsi çalışan datalarının ihlalini kamuya açıklamaması, sorunun göründüğünden daha büyük olduğunun bir işareti (Türkiye için bu oran 19 ile global ortalamanın çok ilerisinde). Geri kalanların 43’ü olayla ilgili ayrıntıları proaktif olarak paylaşırken (Türkiye’de 69), 12’si bunu medyaya sızdırıldıktan daha sonra yaptı (Türkiye’de oran aynı). Bu, kurumsal yahut müşteri data ihlallerine kıyasla bu çeşit sızıntının en az ifşa edilen sızıntı tipi olduğunu gösteriyor.
Kaspersky Kurumsal İşlerden Sorumlu Genel Müdür Yardımcısı Evgeniya Naumova, sonuçları şöyleki yorumluyor: “Bir kuruluş siber olayla karşı karşıya kaldığında gerçek kriz bağlantısı, müdahale ve kurtarma aksiyonları kadar değerlidir. Bilgi ihlali riski her vakit vardır ve işletmeler bunu proaktif olarak açıklamanın basında ifşa etmekten daha düzgün olduğunu kabul etmelidir. Uygun, gerçek ve vaktinde irtibat sadece potansiyel prestij ziyanını en aza indirmekle kalmaz, hem de direkt finansal kayıpları da büyük ölçüde azaltabilir. Panik yahut karışıklığı önlemek için bir şirketin net bir kriz planı geliştirmeyi düşünmesi ve çalışanları öncesinden eğitmesi gerekir. Kurumsal irtibat uzmanları ve BT güvenlik takımları, siber güvenlik içgörüleri hakkında bilgi alışverişinde bulunmak ve acil bir durumda hem iç birebir vakitte dış bağlantıları yanlışsız bir biçimde ele almaya yardımcı olabilecek kılavuzları, araçları, kanalları ve lisanı belirlemek için iş birliği yapmalıdır.”
Potansiyel siber güvenlik olayları hakkında harici bilgi eksikliği çoklukla dahili uğraşlarla azaltılamaz. Araştırmaya nazaran, kuruluşların sadece 44’ü, çalışanlara kıymetli bilgiler verilmesini sağlamak için güvenlik eğitimi ve öğretimi uygulamış. Ayrıyeten bu şirketlerin yarısından fazlası (64) bu hizmetlerin kalitesiyle ilgili en az bir sıkıntıyla karşılaştığını tabir ediyor. Bu, kursların karmaşasından doğan memnuniyetsizliği ve eğitimleri sunanların dayanak yahut uzmanlık konusundaki eksikliğini içeriyor.
Esirgeyici tedbirlerin değeri hakkında temel bilgiler verilmeyen çalışanların kurallara uyması doğal olarak beklenemez. 2021’de BT güvenliği kelam konusu olduğunda, işçinin uyumluluğu ve yetersiz son kullanıcı güvenlik kültürüyle uğraşmak işletmeler açısından en büyük üç tasadan biri oldu. Ankete katılanların 42’si bunu en telaş verici bahisler içinde belirtti. Şirketler sistemli olarak bilgi güvenliği ihlalleri (41), uygunsuz BT kaynağı kullanması (42) ve taşınabilir aygıtlar aracılığıyla bilgilerin uygunsuz paylaşımı (38) durumuyla karşı karşıya kaldıklarını tabir etti. Türkiye’de bu oranlar sırasıyla 49, 51 ve 46 oldu.
İhlallerin önlenmesi, kurumsal sistemlerle etkileşime giren saldırganlar için potansiyel bir maksat olabilecek her insanın birlikte hareket etmesini gerektiriyor. Çalışanların güvenliğini güçlendirmek için şirketler, muteber hami tedbirleri takımları içindeki güvenlik şuuruyla bir ortaya getirmelidir. Bunun için şu adımları uygulamak gerekir:
- Saldırganların sisteme sızmasını önlemek için yazılımın süratli bir biçimde yamalanmasını ve güncellenmesini sağlayın.
- Hassas bilgiler için yüksek dereceli şifreleme uygulayarak kuvvetli kimlik ayrıntıları eşliğinde epey faktörlü kimlik doğrulamayı zarurî kılın.
- Erişim teşebbüslerini engellemek için tehdit algılama ve cevap yetenekleriyle tesirli uç nokta muhafazasını ve verimli hücum araştırması ve uzman cevabı için yönetilen müdafaa hizmetlerini kullanın.
- Değerli datalara erişimi olan kişi sayısını en aza indirin. İhlaller, hayli sayıda çalışanın kapalı ve bedelli bilgilerle çalıştığı kuruluşlarda meydana gelme mümkünlüğü daha yüksektir.
- Çalışanlarınızı gereksinim duydukları siber güvenlik marifetleriyle donatın. Gerekli ve şimdiki tüm ayrıntıları ilgi alımlı bir formatta sunan eğitimleri tercih edin. Vakitten tasarruf etmek ve kaliteli bir hizmet almak için şirketler, verimli bir öğrenme süreci sağlayabilecek, dünya çapında tanınmış hizmet ve eğitim sağlayıcılarla çalışmalıdır.