Refleks
Yapılan araştırmalara göre, şirket içi tehditler son iki yılda yüzde 47 arttı. IBM’nin son şirket içi tehdit maliyeti analizine göre de bu tehditlerin şirketlere maliyeti 11 milyon doların üzerindeyken, bir şirket içi tehdidin keşfi ise ortalama iki ay sürüyor. Kişisel verilerin sızdırılması ve ihlalinin şirket içi tehditlerin sıklıkla oluşturduğu zararların başında olduğunu dile getiren uzmanlar, şirket içi riski artıran dört unsura ve alınması gereken önlemlere dikkat çekiyor.
UZAKTAN ÇALIŞMA İLE TEHDİTLER ARTTI
Covid-19 pandemisi ve ardından uzaktan çalışmaya geçiş, 2020’de içeriden gelen tehditlerin artan oranına katkıda bulundu. Kuruluşlar öngörülebilir gelecekte uzaktan çalışma programlarını uzatma kararı aldıkça şirket içi tehditlerin de zarar verme oranları artmaya devam ediyor. Pandeminin içeriden gelen tehditler üzerinde bu kadar etkili olmasının birkaç nedenini ise uzmanlar şöyle açıklıyor:
- Özellikle evlerdeki internet ağları birçok işlem için kullanılırken çalışma ortamını da kirletiyor. Ek olarak ev ağları, kurumsal ağların sahip olduğu güvenlik ve BT desteğiyle hemen hemen aynı düzeyde olamıyor. Bu da kuruluşları, güvensiz ağlarda çalışan saldırı yüzeyleriyle savaşmaya bırakıyor.
- İşgücü piyasasının belirsizliği, sosyal huzursuzluk, karantina zorunlulukları ve alışılmadık bir şekilde çalışmak, çalışanların zihninde ağırlık oluşturan, dikkat dağınıklığı yaratan ve stres seviyelerini yükselten sorunlardır. Bunların tümü hatalara veya kötü kararlara yol açabilecek faktörlerdir.
- Birçok insan için evden çalışmak, iş arkadaşlarıyla hissettikleri topluluk duygusunu zayıflatır ve işverenlerine karşı kötü niyetli eylemlerde bulunmalarını kolaylaştırır. Ayrıca verileri bir USB’ye kopyalamak, evdeki yazıcıya yazdırmak veya güvenli olmayan sitelere göz atmak da ofisteki ortamdan çok daha kolaydır.
- En etkili içeriden tehdit programları, şüpheli davranışları bildiren çalışanlara dayanır. Ancak herkes evde izole edilmişse, şüpheli davranışlar nasıl gözlemlenebilir? Bu durum da iç tehditlerin artmasına çok ciddi olanak tanıyabiliyor.
İÇ TEHDİTLER İÇİN YAPILACAKLAR
Kişisel verilerin korunması adına atılması gereken önemli adımlardan birinin, şirket içi kişisel verilerin korunması ve güvenliğine yönelik idari prosedürlerin uygulanarak departmanlararası veri akışının gerçekleşmemesi olduğunu belirten uzmanlar, açık rızası alınan ve belirli bir departmanın gözetiminde olması gereken kişisel verinin alakasız bir departmana aktarılmasının sonucunda veri ihlallerinin yaşanmasının çok kolay olduğunu aktarıyor. İç tehditlerin önüne geçme konusunda uzaktan çalışanların hangi verilere erişip erişemeyeceğinin önemli olduğunu dile getiren uzmanlar, şirketlere iki öneride bulunuyor:
- Şirketlerde yetki matrisi oluşturulmalı. Her departmanın sadece kendine özel tutulan bilgilere erişim sağlaması gerekiyor. Aksi takdirde yetkisi olmayan kimselerin sağlayacağı yetkisiz erişimlerle ihlallerin yaşanmaması için bir neden kalmıyor. Şirketlerde paylaşılan her türlü dosya ve veri tabanı için kimin erişim yetkisi olduğu, kimin ne zaman, ne şekilde ve hangi cihazdan erişim sağladığı ya da erişim yetkisinin olduğunu bilmek ve belirlemek gerekiyor.
- Erişim logları kayıt altına alınmalı. Erişim yetkisi verilen çalışanların da ayrıca kaydının tutulmasını gerekiyor. Bu yüzden oluşturulan yetki matrisinin işlevselliğini ve verilen yetkilerin kötüye kullanılıp kullanılmadığının da tutulan erişim logları ve log kayıtları ile şirketler ölçebiliyor.
YORUMLAR