Kamu ve özel sektör kurumlarında bilişim teknolojilerine olan bağımlılığın artmasıyla siber alanda yaşanan riskler de artıyor. Siber suçluların bir yöntem olarak kullandığı sosyal mühendislik gibi insan temelli saldırıların riskini azaltmak için çalışanların siber güvenliğe ilişkin konularda daha fazla bilgilendirilmeleri gerekiyor.

Şirketler için en önemli risk unsurları içerisinde yer almaya başlayan siber saldırılara alınacak önlemler artık sadece şirket ekonomisini değil ülke ekonomisini de ilgilendiriyor. ESET Türkiye Genel Müdür Yardımcısı Alev Akkoyunlu, siber saldırıları önlemek için kurumların dikkat etmesi gereken 10 konuyu sıraladı.

  • Mobil cihazların kullanımına dikkat edilmeli: Şirket çalışanlarının mobil cihaz üzerinden şirket maillerine, programlarına ve özelikle gizli verilere mobil cihaz üzerinden ulaşmaya çalışması, gerekli güvenliğin alınmaması taktir de siber saldırı sonucu şirketin tüm bilgilerine ulaşılabilir. Bunun için şirketin bu siber saldırılara karşı büyük bir önlem alması gerekiyor.
  • Kurum içi güvenlik politikası oluşturulmalı: Kurum içinde kullanıcı veya kullanıcılara erişim sınırlandırılması getirilmesi gerekiyor. Herkesin haklarını belirtmelidir. Aksi taktir de
    güvenlik sorunları meydana gelir.
  • Sorumluluklar belirlenmeli: Kurum ve Şirketlerin bilgi güvenliği politikası şirket çalışanlarına görevler ve bilgi güvenliği eğitimleri vermelidir. Rol ve sorumlulukları belgelenmelidir. İşe alınacak personele açıkça bütün güvenlik eğitimleri verilmeli, rol ve sorumluluklar açıkça belirtilmelidir. Mülakatta herşeyin personel tarafından anlaşılır olmasını sağlamak lazım.
  • Çalışanlara eğitim: Çalışanlara sürekli ve düzenli olarak güvenlik eğitimleri verilmelidir. Her eğitim sonunda sınava tabi tutulmalıdır.
  • IT ekibine eğitim: Şirketin IT ekibinin de kullandığı uygulamalar ile her ay boyunca sürekli ve düzenli olarak güvenlik eğitimleri verilmeli. IT ekibinin öğrendiği bilgileri kullandığı programlara eklemek ve çalışanlanlara da göstermek. Herhangi bir hata veya siber saldırı karşısında kuruma bir saldırıyı engeller.
  • Güçlü şifreler kullanılmalı: Çalışanların sistem kullanımında zayıf şifrelere engel olunmalı, rakam ve harflerden oluşan uzun bir şifre istemek. 2 ayda bir değişen bir şifre düzenleme koşulu belirtilmelidir. Benzer şifre ve kullanıcı adını engellemek.
  • Envanter raporu tutulmalı: Dünyada ki tüm teknoloji varlıklarını içeren bir envanter raporu düzenlemek ve bu raporu düzenli olarak tutmak gerekiyor. Yeni çıkan sistemlerin veya mevcut sistemin geliştirilmesi için gerekli tüm ihtiyaçlar giderilmelidir. Bunları yaparken aynı anda güvenlik gereksinimlerini göz önüne alınmalıdır.
  • Yedekleme yapılmalı: sistemlerinde IT ekibi yapılan her türlü değişikliği kontrol etmeli ve denetlemeli. Bunlar için bir kayıt listesi oluşturulmalıdır. Yedekleme politikasına uygun bilgi ve yazılımların yedeklenmesi ve bu yedeklerin test edilmesi. Testten geçen ve geçmeyen yazılımların kayıt altına alınması gerekiyor.
  • İş sürekliliği yönetimi gerekli: Kurum içerisinde bilgi güvenliği konusunda ihtiyaçlara cevap veren iş sürekliliği için bir süreç oluşturulmalı. Bu süreçte kurumun riskleri, kritik noktaları, bilgi güvenliğinden doğacak kesintileri ve önleyici tedbirlerin uygulanması gibi konuları ele alınmalıdır.
  • Güvenlik yazılımı olmalı: Şirket güvenliği için IT ekibi tarafından yazılım ve donanımların tüm çalışanlara nasıl kullanıcağını öğretmelidir. Güvenlik yazılım ve donanımların tüm çalışanlar tarafından kullanılmalıdır. Şirket bünyesin sürekli olarak güncel ve lisanslı yazılımlar kullanılmalıdır. . Eski veya korsan yazılımlar, yeni güvenlik tehditlerine cevap vermekte zorlanır. Aksi takdir de siber saldırı sonucu Şirket yetersiz kalır.
Kategoriler: makaleler

Sümeyra Akbıyık

hakkımdaki her şeyi bu blogda bulabilirsin. Haydi sende bir göz gezdirmeye ne dersin?

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir