Bilgi Güvenliğini Sağlamak İsteyen Şirketler Nereden Başlamalı?

Tarık Üstüner | 20 Mart 2024

İlgili Konular: Siber Güvenlik, Siber Saldırılar, Genel Bilgi Güvenliği

Bir kurum ne yaparsa yapsın tam anlamıyla korunaklı olamaz, bu mümkün değil. Öncelikle bence şirketlerin bunu kabul etmesi lazım. Bu en büyük farkındalık çünkü bir şeyden endişe duymaya başlarsanız onunla ilgili önlem almaya başlarsınız. Ben bu son dönemdeki pandemiyi aslında bu noktada çok önemli bir örnek olarak görüyorum. İnsanlar ne zamanki bu virüsün insan hayatını tehdit ettiğini ve çok kolay bir şekilde insanları öldürdüğünü fark etti, eve gelen makarna poşetini bile üç kere çamaşır suyuyla yıkamaya başladılar. Halbuki normalde de çok fazla mikrop ve zararlı var o paketin üstünde. Ama bu verdiği zararın büyüklüğü insanların farkındalığına girince çok ani çözümlere gitmeye başladılar ve bu bir müddet devam etti. Bu çözümler neticesinde de bu virüs kontrol altına alındı bir noktada diyebiliriz. Aslında benzer şey şirketler için de geçerli. Siz ne yaparsanız yapın saldırıya uğrayacaksınız ve ne yaparsanız yapın mutlaka bir zarara uğrayacaksınız. Yani bizim camiamız, biz şirketleri ikiye ayırırız: henüz bilgi güvenliği ihlaline uğramayanlar ve uğradığının farkında olmayanlar diye. Dolayısıyla burada alınacak önlem şudur: Tabii ki zayıf halkaları güçlendirmek en önemli şey. Çok fazla yatırım yapılabilir, çok fazla teknoloji uygulayabilirsiniz ama artık günümüzde saldırganlar bu taraflarla çok ilgilenmiyor çünkü bunlar zaten neredeyse standart çözümler haline geldi. Bir sistemin zafiyetlerini araştırdığımız zaman önce teknik taraftan başlamıyoruz, artık farkındalıktan başlıyoruz. Çünkü bir şirketi örnek veriyorum, bunun firewall’ına veya güvenlik sistemlerine saldırarak bir yılda çökertiyorsanız, resepsiyona sosyal mühendislikle ulaşıp aldığınız bir şifreyle bir haftada çökertirsiniz. En kolay ulaşabilecekleri resepsiyonist gibi stajyer gibi kaynaklar, bir de firmaların sahipleri ve yönetim kurulu üyeleri. Çünkü bu ikisinin genelde yetkileri kısıtlı değildir ve kontrolleri zayıftır. Biz genelde bir sosyal mühendislik denemesi yaptığımızda bu iki profili hedef alıyoruz ve başarı oranlarımız sizi çok şaşırtabilir. Bu şekilde çok fazla olay da gördüm geçmişte. Dolayısıyla öncelikle buralardan başlamak lazım çünkü teknik olarak zaten sisteminizi güvenli hale getirirsiniz, orada bir problem yok ama dediğim gibi en zayıf halka hep insan.

Kurumsal Güvenlikte Farkındalık ve İnsan Faktörü

Günümüz dünyasında, kurumlar için güvenlik, sadece teknik önlemlerle sağlanabilecek bir durum olmaktan çıkmıştır. Teknolojinin gelişmesiyle birlikte, saldırganlar da yöntemlerini geliştirmiş ve çeşitlendirmiştir. Bu nedenle, kurumların güvenlik stratejilerini sadece teknik çözümler üzerine kurmaları yeterli değildir. İnsan faktörü, kurumların güvenliğinde en zayıf halka olarak öne çıkmaktadır. Bu makalede, kurumsal güvenlikte farkındalık yaratmanın ve insan faktörünün önemini ele alacağız.

Güvenlikte Farkındalık Yaratmanın Önemi

Kurumlar, güvenlik açıklarını kapatmak için çeşitli teknolojik çözümler ve yazılımlar kullanmaktadır. Ancak, bu çözümler ne kadar gelişmiş olursa olsun, insan faktörü göz ardı edildiğinde güvenlik açıkları kaçınılmaz hale gelir. Çalışanların güvenlik konusunda bilinçlendirilmesi ve farkındalıklarının artırılması, kurumların güvenlik stratejilerinin en önemli parçalarından biri olmalıdır.

Sosyal Mühendislik ve İnsan Faktörü

Sosyal mühendislik, saldırganların insan psikolojisini kullanarak bilgi elde etme yöntemidir. Bu yöntem, teknik saldırılardan daha etkili olabilir çünkü insanlar, güvenlik sistemlerine göre daha kolay manipüle edilebilir. Kurumlar, sosyal mühendislik saldırılarına karşı çalışanlarını eğitmeli ve bu tür saldırılara karşı farkındalık yaratmalıdır.

Yönetim ve Çalışanlar Arasındaki Güvenlik Açıkları

Kurumlarda, yönetim kurulu üyeleri ve üst düzey yöneticiler genellikle geniş yetkilere sahiptir. Bu durum, onları sosyal mühendislik saldırıları için cazip hedefler haline getirir. Aynı şekilde, stajyerler ve resepsiyonistler gibi daha düşük seviyedeki çalışanlar da kolay hedefler olabilir. Bu nedenle, kurumlar tüm çalışanlarını kapsayan bir güvenlik eğitimi programı oluşturmalıdır.

Teknik Çözümler ve İnsan Faktörünün Dengelenmesi

Teknik çözümler, kurumların güvenlik stratejilerinin önemli bir parçasıdır. Ancak, bu çözümler insan faktörüyle dengelenmediğinde etkisiz kalabilir. Kurumlar, teknik çözümlerini insan faktörünü göz önünde bulundurarak tasarlamalı ve uygulamalıdır. Bu denge, kurumların güvenlik açıklarını minimize etmelerine yardımcı olacaktır.

Güvenlik Kültürünün Oluşturulması

Kurumlar, güvenlik kültürünü oluşturmak için çalışanlarına sürekli eğitimler vermeli ve güvenlik bilincini artırmalıdır. Güvenlik kültürü, sadece teknik çözümlerle değil, aynı zamanda çalışanların bilinçli davranışlarıyla da sağlanabilir. Bu kültür, kurumların uzun vadede güvenliklerini sağlamalarına yardımcı olacaktır.

Sonuç

Kurumsal güvenlik, sadece teknik çözümlerle sağlanabilecek bir durum değildir. İnsan faktörü, güvenlik stratejilerinin en önemli parçalarından biridir. Kurumlar, çalışanlarının güvenlik konusunda bilinçlenmesini sağlamalı ve sosyal mühendislik gibi insan odaklı saldırılara karşı önlemler almalıdır. Güvenlik kültürünün oluşturulması, kurumların uzun vadede güvenliklerini sağlamalarına yardımcı olacaktır. Bu nedenle, kurumlar hem teknik hem de insan faktörünü göz önünde bulundurarak kapsamlı bir güvenlik stratejisi geliştirmelidir.