2020’nin ilk aylarında dünya çapında milyonlarca insanı etkileyen olağanüstü bir dizi olay yaşandı. Peki güvenlik ihlali?
Kişisel ayrıntılar da dahil olmak üzere sızdırılan milyonlarca veri dosyasıyla güvenlik saldırısına maruz kalan kuruluşlar oldu. Sonra tüm hayatımızı etkileyen bir salgın meydana geldi. Kuruluşların çoğu gerektiği gibi yanıt verdi; bazıları mevcut operasyonel dayanıklılık planlarını yürürlüğe koydu ve hazırladıkları şekilde devam ettirdiler.
Birçok sektörde, çalışanlar yeni bir çalışma tarzına uyum sağlamak zorunda kaldı. Ortak alanlar artık çoğunlukla yasaklanmış olduğundan, operasyonlar uzaktan devam etmek zorunda kaldı ve bununla birlikte ciddi veri ihlali ve altyapı arızası tehdidi önemli ölçüde arttı.
Artan riskler ve yeni saldırı yönelimleri
Bu yeni şeklinin doğrudan bir sonucu, uzak yerlerden bağlanan çalışanların sayısındaki büyük artıştır. Buna doğrudan iş altyapısına bağlanan kişisel cihazlar da dahildir. Bunların her ikisi de önemli bir güvenlik tehdidini temsil eder.
ISO 27001 kuruluşların bu riskleri işlerinin bağlamına göre dikkate almalarını, anlamalarını, kontrol etmelerini, test etmelerini ve gözden geçirmelerini zorunlu kılar.
Evde güvenlik
ISO 27001 sertifikasına sahip kuruluşlar, personelin politika ve uygulamalardan haberdar olmasını sağlamak için zaten bir yetkiye sahiptir. Bununla birlikte, uzaktan çalışma, anlamlarını yerel veya geleneksel olmayan bir ortama genişletme konusunda benzersiz zorluklar getirir. Kuruluşlar, çalışanlarına uzaktan çalışmadan kaynaklanan tehditlere karşı koyabilecekleri araçları sağlamalıdır.
Tüm kuruluşlar, operasyonel olarak etkili olmak için büyük ölçüde e-postalara ve web’e güvenir, tehdit göstergeleri konusunda farkındalık yaratmak, bu tehditlerin sonucun gerçekleşmesine karşı yeni bir zorunlu faaliyettir.
Uzaktan çalışırken nasıl güvende olunur
VPN, Bu sadece bir iç ortam sorunu değil. Pandeminin dışında, normalde çoğumuz kafelerden, otellerden, havalimanlarından ve restoranlardan halka açık Wi-Fi kanalları aracılığıyla bağlanırdık. Ancak, bu bağlantıları güvenli olmayan bir şekilde kullanan personel, bilgisayar korsanlarının kişisel verilere erişmesi için kolay bir hedef oluşturuyor.
Herhangi bir operasyonel bilginin güvenliğini sağlamak için Sanal Özel Ağ (VPN) kullanımı neredeyse zorunlu kabul edilmelidir. Ayrıca, VPN çözümü beklenen kullanıcı sayısına uygun olmalıdır. Bunu etkili kılmak için altyapının yerinde olduğundan emin olun.
Şifreler ve 2FA
İki faktörlü kimlik doğrulama (2FA), üretkenlik araçlarına ve uygulamalarına erişmenin daha güvenli bir yoludur. Bir kullanıcı adı ve şifresinin yanı sıra, personelden kullanıcıya özel ikinci bir cihazla da kendisini doğrulaması istenecektir, bu bir cep telefonu veya tablet olabilir. Bu basit ama oldukça etkili ikinci adım, gerekli her iki cihaza da doğrudan erişimi olmayan suçlular ve bilgisayar korsanları için yenilmesi zor olacaktır.
Yazılım güncellemelerini ve düzeltmelerini zorunlu kılın
Bu bölümde kısaca tartıştığımız yüksek profilli vakalardan bazıları, mevcut yazılım çözümlerine yönelik güncelleme eksikliğinden kaynaklanan güvenlik sorunları. Evde çalışırken veya kişisel cihazlarımızda normal bir şekilde gezinirken, birçoğumuzun periyodik olarak görünen “tarayıcıyı şimdi güncelle” kutusuna tıkladığımızı tahmin ediyorum.
Kuruluşlar tarafından kullanılmak üzere sağlanan verileri kullanırken durum böyle olmamalıdır. Savunma mekanizmalarındaki güncellemelere ek olarak tanımlanan güvenlik sorunlarına yönelik düzeltmeler geciktirilmemelidir. Kuruluşlar, bu sürecin hem görünürlüğünü hem de sahipliğini sağlamalı ve kullanıcı gruplarından hiçbir şeyin şansa bırakılmamasını sağlamalıdır.
Kağıdı unutma!
Elektronik veriler yanlış kişilerin eline geçebilse de, önemli bir güvenlik ihlali alanı hala basılı kopya belgelerden kaynaklanmaktadır. Her gün kullandığınız kağıt miktarını, suçlular ve bilgisayar korsanları için yararlı olabilecek bilgileri düşünün. Bunu yapacak kaynaklara sahipseniz, parçalama ve güvenli bertarafı ev ofisinizin bir özelliği yapın. Değilse, basılı kopya bilgilerinin minimumda tutulduğundan ve her zaman güvende olduğundan emin olun.
Bu blogda keşfettiğimiz her şeyde, teknoloji kısmi bir çözüm sağlıyor. Uygun varlık kontrolü, erişim yönetimi, şifreleme, güvenli mesajlaşma çözümleri, ağ düzenlemelerinin incelenmesi ve yedekleme / geri yükleme işlevlerinin kullanılması belki de en sık karşılaşılan teknik kontrollerdir. Bununla birlikte, daha yeni ihlal vakalarından bazılarını daha derinlemesine okuyun ve tüm ihlal faaliyetlerinden elde edilen istatistikleri inceleyin; insan hatasının hala önemli bir rolü olduğunu keşfedeceksiniz.
