İnsan faktörü herhangi bir işletmedeki en büyük güvenlik açığıdır. Çalışanlar bir şirketin en önemli varlığı olsa da aynı zamanda en büyük güvenlik riskini oluşturmaktadır.
Son yıllarda ortaya çıkan güvenlik ihlallerine bakıldığında, yanlışlıkla veya kasıtlı olarak kötü amaçlı yazılım girişi yapılıp yapılmadığına bakılmaksızın, insan faktörü güvenlik açığı açısından en önemli tek başarısızlıktır. Donanım veya işletim sistemleri güncellenirken, açıklar yamalarla kapatılmakta ve güvenlik riskleri ortadan kaldırılmaktadır. Benzer şekilde, çalışanlar da sürekli güncellemeli ve ortaya çıkan yeni saldırılardan nasıl kaçınacağı konusunda bilinçlendirilmelidir.
Çalışanlar işletmelerin varlıkları olduğu için onlara sürekli yatırım yapılmalıdır. Yüzlerce çalışanı olan bir şirkette bir kişinin güvenlik konusunda yetersiz olması, bütün çalışanları etkileyebilecek sonuçların doğmasına sebep olabilmektedir.
Keepnet Labs iş birliğiyle hazırlanan bu yazıda, tüm çalışanların siber riskleri ve en iyi uygulamaları anlamalarına yardımcı olacak ipuçlarını bulabilirsiniz:
1.Egzersiz yaparak gerçek saldırılara hazırlanın.
Günümüzde yapılan en iyi eğitim, kullanıcılara özgü hazırlanan simülasyon çalışmalarıdır. Bu tür saldırılar “canlı” ve tecrübe sağlayan eğitim niteliğindedir. Keepnet Labs, siber güvenlik platformu ücretsiz olarak kullanıcılara “özelleştirilebilir” simülasyon kampanyaları hizmeti vermektedir. Buradan çalışanlarınızı gerçek senaryolarla eğitebilirsiniz. Hazırlayacağınız bir güvenlik departmanından gelen mesaj ya da bir satıcı tarafından düzenlenen bir saldırı senaryosuyla çalışanlarınızı gerçek bir riski yaşatarak, bundan ders almalarını sağlayabilir ve bu saldırıdan öğrendikleri dersleri ve iş üzerindeki etkilerini, kişisel yaşamlarında görmelerine yardımcı olabilirsiniz. Çalışanlar, bu deneyimleri daha sonra iş arkadaşlarıyla paylaşabilirler.
Düzenli phishing testleri gerçekleştirilerek, kurum içerisinde kaç kişinin oltaya düştüğü ölçülebilir. Ardından, sorunlu kişi veya dapartmanlara eğitim verilebilir ve şirketin ilerlemesi değerlendirilebilir.
2. İşe başlayanların ilk önce siber farkındalık hakkında eğitim almalarını sağlayın
Çalışanlar ilk defa işletmelerin kapısından girer girmez güvenlik eğitimi alırlarsa, bu yönde zihniyetlerini geliştireceklerdir. Bu kişiler, gerekirse tüm gün eğitilmelidir. Bu şekilde işe başlayan çalışan stabil bir şekilde çalışma hayatına devam edecektir.
3. Değerlendirmelerde bulunun
Kurumunuzun ne kadar savunmasız olduğunu öğrenmek için hem çalışanların hem de sistemlerin değerlendirmelerini yapmaktan çekinmeyin. Bunu yapana kadar güvenlik durumunuzun ne kadar kötü ya da iyi olduğunu bilmezsiniz.
4. İletişim kurun
Tüm çalışanların siber güvenlik bilgilerini nasıl en iyi şekilde iletebileceğini sağlayan bir plan hazırlayın. Siber güvenlik konusunda birimler, departmanlar ve kişiler kolayca iletişim kurabilmeli. Bunu sağlayabilen bütüncül bir süreç yönetimi tertip edin.
5. Resmi bir plan oluşturun
IT ekipleri, saldırı vektörleri ve diğer risklerle ilgili en yeni bilgilerle resmi planlarını yapmalı ve siber güvenlik eğitimi için bu planı sık sık güncellemelidir.
6. Siber güvenlik kültürü oluşturun
Her bölümünde siber güvenliği savunan ve bunu iyi bilen birisinin olması gerekir. Bu kişiler çalışanları eğitebilir ve onları motive edebilir. Bu, sıklıkla göz ardı edilen bir durumdur. Bu tür kaynakları kullanmaktan çekinmeyin.
7. Sürekli eğitim sağlayın
Siber güvenlik eğitimi, işletmelerin her kademesinde, her çalışanın işine özel olarak yıl boyunca devam etmelidir. Son kullanıcılar maruz kalabilecekleri saldırı türleriyle ilgili eğitim almalıdır. Örneğin e-postanıza yapılan saldırılar veya bulunduğunuz iş türüne yönelik saldırılar gibi.
8. İş güvenliği hem evde hem de iş yerinde sağlanmalı
Çalışanlar sadece iş yerinde değil, aynı zamanda evde de siber hijyeninin sağlanmasının önemini anlamalı. Kullanıcılara gizlilik, güvenlik konusunda eğitimler verilmeli; işte öğrenilen derslerin evde ve kişisel yaşamlarında uygulanması sağlanmalı. Alınan eğitimlerin sadece işyerinde değil, her zaman uygulamaları vurgulanmalı.
9. Çalışanları ödüllendirin
Zararlı e-postaları bulan kullanıcıları ödüllendirmek ve kullanıcıların siber saldırılara nasıl engel olduğuna ilişkin hikayeleri paylaşmak önemlidir. Aynı zamanda hata yapanlarla empati kurmak gereklidir. Birçok çalışan, günde yüzlerce e-posta gönderip alabilmektedir. Bu nedenle bunlardan birini kaçıranlara empatiyle yaklaşmak gerekir.