firataverbek
Güvenlik Uzmanı
- Katılım
- 16 Ara 2020
- Mesajlar
- 42
- Tepki
- 19
ÇALIŞANLAR İÇİN SİBER FARKINDALIK
Bilişim teknolojilerinin gelişimi ile beraber siber saldırılar da artmaktadır. Özel ve tüzel kişiler, bu saldırılara teknoloji kullanarak karşılık koysalar da yapılan çalışmalar, kurumlardaki veri sızıntılarının çoğunlukla çalışan kaynaklı olduğu gerçeği, siber güvenlikte “insan faktörünün” önemine dikkat çekmektedir. Siber saldırılarda en büyük hedefi oluşturan çalışanlar, daha çok e-posta ve sosyal medya kanalları üzerinden hedef alınmaktadır. Bu nedenle çalışanlar için siber güvenlik farkındalığı oluşturmak hayati önem taşımaktadır.
Çalışanların Siber Güvenlik Eğitimi
Kurum ve kuruluşlar, saldırılara karşı ne kadar yüksek teknoloji kullanırlarsa kullansınlar çalışanların güvenli internet kullanımından habersiz olmaları durumunda güvenlik önlemleri göreli kolay bir şekilde atlatılabilmektedir. Siber güvenliği sağlanması için hem doğru teknolojilerin doğru süreçler ile kullanılmasına hem de (en az bunlar kadar önemli olmak üzere) tüm çalışanların da siber güvenlik konusunda bilinçlendirildiği bir güvenlik kültürü oluşturulmalıdır.
Çalışanlara Bilgi Güvenliği Farkındalığı Eğitimi
Bilgisayar sistemine saldırılar sadece internet üzerinden yapılmamaktadır. Ofisinize ziyaretçi, temizlikçi, bilgisayar teknik destek uzmanı gibi çeşitli ünvanlarla gelen kimseler ya da art niyetli çalışanlar da teknolojik saldırıların parçası olabilir. Bu nedenle masa üzerinde ya da Monitör yanına iliştirilmiş Wi-Fi parolası, bilgisayar parolaları ya da kredi kartı bilgisi gibi bilgi kırıntıları saldırganlar için fırsat oluşturmaktadır. Bu nedenle bir saldırı esnasında kullanılabilecek bilgilerin ortada bırakılmaması, çalışma masaları üzerinde kıymetli evrak bırakılmaması, bilgisayar ve telefon gibi ekipmanların yanından ayrılırken mutlaka ekran kilidi uygulanması hayatidir. Benzer biçimde parola ve pin giriş ekranlarını kullanırken omuz üstünden kimsenin görmediğinden emin olunmalıdır.
Sistemin korunduğu gibi giriş bilgilerinin de korunması önemlidir. Sisteme yetkisiz kişilerin girmesini önlemek için bütün girişler herkese ayrı atanmış kişisel kullanıcı adları ve parolalar ile yapılmalıdır. Böylece bir aksilik olduğunda kimin hesabının probleme neden olduğu net şekilde tespit edilip izlenebilir hale gelecektir; paylaşılan parolalar tehlikelidir.
Bilgisayarlar ve programlar için parola seçerken parolaların kolayca tahmin edilemeyecek sözcükler seçilmesi önemlidir; harf, rakam ve noktalama işaretlerinin karışımından oluşan asgari 8 basamaklı parolaların kullanılması önerilir. Bu parolalar akılda tutulmalı, kağıda ya da bir bilgisayar dosyasına not edilmemelidir.
Çalışanlara bu temel konuları aktarmak üzere “Bilgi Güvenliği Farkındalığı” eğitimleri verilmelidir. Görevinden bağımsız tüm çalışanlara verilecek birkaç saatlik temel eğitimler ile çalışanların da kuruluşun güvenliğini sağlamaya katkısı sağlanabilir; bugün harcanacak birkaç saat yarın kuruluş açısından hayat kurtarıcı olabilir.
Zararlı Yazılımlar ile Mücadele
Siber saldırılar sıklıkla virüs vb. zararlı yazılımlarla yapılmaktadır.
Zararlı yazılımlar bilgisayarlara (kişisel bilgisayarlar ve sunuculara);
Oltalama ile Mücadele
Oltalama (phishing), kuruluş çalışanlarından bir ya da daha fazlasına yem olarak nitelendirilen e-posta mesajlarının gönderilmesi ve onların mesajdaki yemi yutarak beklenen davranışı sergilemesi üzerine kurulmuş basit ancak etkili bir saldırı tekniğidir.
Yanlışlıkla iletilmiş bir ‘Yıllık Maaş Artışları Planı’ eki pek çok çalışanı cezbedebilirdi. Ekli dosya zararlı yazılım barındırabilir ya da maaş artış planlarına ilişkin bir yem linki çalışanları tıklamak için cezbedebilir.
Oltalama saldırıları tüm çalışanlara yaygın olabileceği gibi dikkat çekmemek üzere az sayıda çalışanı da hedef alabilir. Unutulmaması gereken kuruluştaki bir bilgisayara sızmayı başaran saldırganın diğer bilgisayarlara sıçramasının artık çok daha kolay olacağıdır.
Bu bağlamda kaynağı belli olmayan veya olağan dışı mesajlar alınması halinde mesajın açılmadan kuruluşun siber güvenlik uzmanlarına iletilmesi sağlanmalıdır.
Çalışanlar İçin Yetki Sınıflandırılması
Kuruluşlar tüm çalışanlarının bilgisayarları ve programları aynı yetki seviyesi ile kullanmasına imkan vermemelidir. Her çalışana özel ve ayrı birer kullanıcı giriş ve şifresi tanımlanmalı, hangi çalışanın hangi program üzerine hangi işlemleri yapabileceği net olarak tanımlanmalıdır.
Kimin hangi program üzerinde ne yapıp ne yapamayacağı net şekilde tanımlandığında hem çalışanların hatalarından kaynaklanabilecek riskler azaltılır hem de bir çalışanın hesabını ele geçiren saldırganın yapabilecekleri kısıtlanmış olur.
Lisanslı Ürün Kullanımı Eğitimi
İşletme ve kurumlar, bilgisayar ve sunucularını siber saldırılardan korumak için güvenlik yazılımları ve programları kurmaları önemli bulunduğundan bu sektörde deneyimli ve alanında uzman firmalarla anlaşma yapmaları gerekmektedir. Bu firmalardan yardım-destek alınarak sistemler güvenli hale getirilebilir ve bu firmalardan personel eğitimi de alınabilmektedir.
Kurum ve çalışanların lisanssız ürünlerden uzak durmaları gerekmektedir. Lisanslı olmayan bir programın kurulması ve crack yapılması, bilgisayarın kötü niyetli kişiler tarafından ele geçirilmesine veya çökmesine yol açabilir!
Çalışanların Siber Güvenlik Eğitimi
Kurum ve kuruluşlar, saldırılara karşı ne kadar yüksek teknoloji kullanırlarsa kullansınlar çalışanların güvenli internet kullanımından habersiz olmaları durumunda güvenlik önlemleri göreli kolay bir şekilde atlatılabilmektedir. Siber güvenliği sağlanması için hem doğru teknolojilerin doğru süreçler ile kullanılmasına hem de (en az bunlar kadar önemli olmak üzere) tüm çalışanların da siber güvenlik konusunda bilinçlendirildiği bir güvenlik kültürü oluşturulmalıdır.
Çalışanlara Bilgi Güvenliği Farkındalığı Eğitimi
Bilgisayar sistemine saldırılar sadece internet üzerinden yapılmamaktadır. Ofisinize ziyaretçi, temizlikçi, bilgisayar teknik destek uzmanı gibi çeşitli ünvanlarla gelen kimseler ya da art niyetli çalışanlar da teknolojik saldırıların parçası olabilir. Bu nedenle masa üzerinde ya da Monitör yanına iliştirilmiş Wi-Fi parolası, bilgisayar parolaları ya da kredi kartı bilgisi gibi bilgi kırıntıları saldırganlar için fırsat oluşturmaktadır. Bu nedenle bir saldırı esnasında kullanılabilecek bilgilerin ortada bırakılmaması, çalışma masaları üzerinde kıymetli evrak bırakılmaması, bilgisayar ve telefon gibi ekipmanların yanından ayrılırken mutlaka ekran kilidi uygulanması hayatidir. Benzer biçimde parola ve pin giriş ekranlarını kullanırken omuz üstünden kimsenin görmediğinden emin olunmalıdır.
Sistemin korunduğu gibi giriş bilgilerinin de korunması önemlidir. Sisteme yetkisiz kişilerin girmesini önlemek için bütün girişler herkese ayrı atanmış kişisel kullanıcı adları ve parolalar ile yapılmalıdır. Böylece bir aksilik olduğunda kimin hesabının probleme neden olduğu net şekilde tespit edilip izlenebilir hale gelecektir; paylaşılan parolalar tehlikelidir.
Bilgisayarlar ve programlar için parola seçerken parolaların kolayca tahmin edilemeyecek sözcükler seçilmesi önemlidir; harf, rakam ve noktalama işaretlerinin karışımından oluşan asgari 8 basamaklı parolaların kullanılması önerilir. Bu parolalar akılda tutulmalı, kağıda ya da bir bilgisayar dosyasına not edilmemelidir.
Çalışanlara bu temel konuları aktarmak üzere “Bilgi Güvenliği Farkındalığı” eğitimleri verilmelidir. Görevinden bağımsız tüm çalışanlara verilecek birkaç saatlik temel eğitimler ile çalışanların da kuruluşun güvenliğini sağlamaya katkısı sağlanabilir; bugün harcanacak birkaç saat yarın kuruluş açısından hayat kurtarıcı olabilir.
Zararlı Yazılımlar ile Mücadele
Siber saldırılar sıklıkla virüs vb. zararlı yazılımlarla yapılmaktadır.
Zararlı yazılımlar bilgisayarlara (kişisel bilgisayarlar ve sunuculara);
- USB flash bellek takılması,
- Mail yoluyla gelen dosya/dosyaların açılması,
- İnternetten program/dosya indirilmesi,
- Anlık mesajlaşma ile gelen dosya eklentileri,
- Ziyaret edilen siteler
Oltalama ile Mücadele
Oltalama (phishing), kuruluş çalışanlarından bir ya da daha fazlasına yem olarak nitelendirilen e-posta mesajlarının gönderilmesi ve onların mesajdaki yemi yutarak beklenen davranışı sergilemesi üzerine kurulmuş basit ancak etkili bir saldırı tekniğidir.
Yanlışlıkla iletilmiş bir ‘Yıllık Maaş Artışları Planı’ eki pek çok çalışanı cezbedebilirdi. Ekli dosya zararlı yazılım barındırabilir ya da maaş artış planlarına ilişkin bir yem linki çalışanları tıklamak için cezbedebilir.
Oltalama saldırıları tüm çalışanlara yaygın olabileceği gibi dikkat çekmemek üzere az sayıda çalışanı da hedef alabilir. Unutulmaması gereken kuruluştaki bir bilgisayara sızmayı başaran saldırganın diğer bilgisayarlara sıçramasının artık çok daha kolay olacağıdır.
Bu bağlamda kaynağı belli olmayan veya olağan dışı mesajlar alınması halinde mesajın açılmadan kuruluşun siber güvenlik uzmanlarına iletilmesi sağlanmalıdır.
Çalışanlar İçin Yetki Sınıflandırılması
Kuruluşlar tüm çalışanlarının bilgisayarları ve programları aynı yetki seviyesi ile kullanmasına imkan vermemelidir. Her çalışana özel ve ayrı birer kullanıcı giriş ve şifresi tanımlanmalı, hangi çalışanın hangi program üzerine hangi işlemleri yapabileceği net olarak tanımlanmalıdır.
Kimin hangi program üzerinde ne yapıp ne yapamayacağı net şekilde tanımlandığında hem çalışanların hatalarından kaynaklanabilecek riskler azaltılır hem de bir çalışanın hesabını ele geçiren saldırganın yapabilecekleri kısıtlanmış olur.
Lisanslı Ürün Kullanımı Eğitimi
İşletme ve kurumlar, bilgisayar ve sunucularını siber saldırılardan korumak için güvenlik yazılımları ve programları kurmaları önemli bulunduğundan bu sektörde deneyimli ve alanında uzman firmalarla anlaşma yapmaları gerekmektedir. Bu firmalardan yardım-destek alınarak sistemler güvenli hale getirilebilir ve bu firmalardan personel eğitimi de alınabilmektedir.
Kurum ve çalışanların lisanssız ürünlerden uzak durmaları gerekmektedir. Lisanslı olmayan bir programın kurulması ve crack yapılması, bilgisayarın kötü niyetli kişiler tarafından ele geçirilmesine veya çökmesine yol açabilir!
