Genel

En Etkili 9 Güvenlik Eğitimi Konusu 

0 1

Siber güvenlik eğitimleri son günlerde sıkça konuşulan ve tartışılan bir konu. Bunun bir sebebi de siber güvenliğine yönelik en büyük risklerden birinin çalışan hataları olması. 2020 yılında gerçekleşen oltalama ve fidye yazılımı saldırılarının neredeyse hepsi insan hatalarından kaynaklanıyordu. Açıklanan istatistiklere göre veri ihlallerinin en bilinen kaynağı insan hatası. Bilinçsiz çalışanlar saldırılara sebep olurken bilinçli çalışanları şirkette siber güvenliği sağlamak için önemli bir kaynak olabilir. Bunu geçtiğimiz yıl çalışanlarını etkili ve ilgi çekici siber güvenlik programlarıyla eğiten şirketlerde de gördük. Eğitimler aracılığıyla siber tehditleri tanımlamaları için ihtiyaç duydukları bilgilere erişen çalışanlar sayesinde bu şirketler, oltalama saldırı sayılarını ciddi oranda azalttı. Peki bu şirketler çalışanlarına nasıl programlar uyguladı? Bu yazımızda sizlere en etkili 9 siber güvenlik eğitimi konusu hakkında bilgi vereceğiz.

En Etkili 9 Güvenlik Eğitimi Konusu: Şirkete Özgü Riskler

Bu konulara ek olarak şirketler siber güvenlik programlarını oluştururken, kendi şirketlerini ve çalıştıkları alanı ilgilendiren en kritik riskleri göz önünde bulundurmalıdır. Siber güvenlik eğitimi programlarının karşı karşıya kalabileceğiniz kritik tehditleri kapsadığından emin olun. Bu tehditleri analiz ettikten sonra siber güvenlik programınızı günümüzde en çok karşılaştığımız güvenlik bilinci konularıyla destekleyin.

İşte en etkili 9 güvenlik eğitimi konusu:

1. E-posta oltalaması

2020 yılı verilerine göre saldırılarda hackerların en çok yararlandığı metotlardan biri oltalama. Oltalama saldırılarında hackerlar siber şirket ağına sızabilmek için çeşitli iletişim araçları aracılığıyla çalışanları hedef alıyor. Çalışanlara mesajlar göndererek, onlara ücretsiz hediyeler, yüksek maaşlı iş imkanları hakkında bilgi veriyorlar. Bu tekliflerin kısa süreli olduğunu vurgulayarak kurbanlarda bir aciliyet duygusu yaratmayı ve onları harekete geçirmeyi amaçlıyorlar. Panikleyen kullanıcılar kolaylıkla bu tekliflere inanıyor ve dolandırıcılığa kurban gidiyor.

Bu yüzden oltalama, siber güvenlik farkındalığı eğitimlerinin ana bileşeni olmalı. Özellikle oltalama e-postalarına dair örnekler eğitimlere dahil edilmeli. Çalışanlarınıza aşağıdaki durumlarda aldıkları e-postalardan şüphelenmeleri gerektiğini sıkı sıkı tembihlemelisiniz:

  • E-posta tanımadığınız birinden geliyorsa,
  • E-postayı gönderen kişi sizden para veya bir ödeme talep ediyorsa,
  • E-posta sisteminiz düzgün bir şekilde çalışıyorsa ve şüpheli e-posta spam kutunuzda bulunuyorsa,
  • E-posta bilinmeyen bir bağlantı içeriyorsa,
  • E-posta kötü amaçlı gibi gözüken bir ek içeriyorsa,

Bu gibi durumlarda e-postaya tıklamadan önce e-postayı gönderen kişinin iddia ettiği kişi olup olmadığını telefonla arayarak veya başka bir iletişim kanalıyla doğrulayın. Oltalama saldırılarının sadece e-posta aracılığıyla değil SMS, kurumsal platformlar, telefon görüşmeleri vb. herhangi bir iletişim aracı üzerinden de gerçekleşebiliceğini aklınızdan çıkarmayın.

Güvenli ve düzgün çalışan bir güvenlik veya antivirüs programı kullanın, kullandığınız programı sıklıkla güncelleyin.

2. Kötü Amaçlı Yazılım

Hackerlar siber saldırılarında sistemlerinize sızmak için genellikle kötü amaçlı yazılımlardan yararlanır. Bu yazılımlar bilgisayarınıza sızarak siz farkında olmadan kimlik bilgileriniz, banka hesap numaranız gibi hassas verilerinizi ele geçirir. Hackerlar ele geçirdikleri bu bilgileri kullanarak çalıştığınız şirketin de ağına sızabilir. Şirketlere  yönelik düzenlenen saldırılarda en çok fidye yazılımı kullanılır. Bu yazılımlar oltalama e-postaları, güvenli olmayan sitelerden indirdiğiniz dosyalar veya USB bellekler gibi birçok farklı yolla sisteminize girebilir.

Bu tip kötü amaçlı yazılımlara karşı şirketi savunabilmeleri için çalışanlara gerekli eğitimlerin verilmesi şart. Farkındalık eğitimi, şirket politikalarını, karşı karşıya olduğu tehditleri ve bu yazılımların etkileri içermeli. İşte çarlışanlarınıza verebileceğiniz birkaç tavsiye:

  • Orijinal olmayan veya resmi gözükmeyen yazılımları indirmeyin.
  • Aldığınız e-postalarda, şüpheli sitelerde veya herhangi bir yerde karşılaştığınız dosyalara karşı temkinli yaklaşın.
  • Antivirüsün programınızın düzgün çalışıp çalışmadığını kontrol edin ve düzenli olarak güncelleme yapın.
  • Bilgisayarınıza kötü amaçlı yazılım bulaştığında şüpheleniyorsanız hızlıca IT sorumlunuza haber verin.

3. Güvenli parola kullanımı

Birçoğumuz websitelerine giriş yaparken kimliğimizi doğrulamak için parolalardan yararlanıyoruz. Çoğu çalışan da şirket sistemine giriş yaparken bu şekilde bir kullanıcı adı ve parola kullanarak çevrimiçi hesabına erişim sağlıyor. Kullanıcı adları da genellikle e-posta adresleri oluyor. Parolanızın zayıf olması durumunda tehditlere açık hale geliyorsunuz. İşte güvenli parola kullanımıyla ilgili birkaç tavsiye:

  • Tüm hesaplarınızda aynı parolayı kullanmaktan kaçının, hesaplarınızda birbirinden farklı parolalar kullanın.
  • Rastgele oluşturulmuş parolalardan kaçının.
  • Parolalarınızda en az bir harf, bir rakam ve bir simge bulundurun.
  • Hesaplarınızda kullandığınız birbirinden farklı ve hatırlaması zor parolalarınızı saklamak için parola yönetimi uygulamarından yararlanın.
  • Mümkün olduğu koşullarda çok faktörlü kimlik doğrulama (MFA) ile kimliğinizi doğrulamayı tercih edin.

4. USB bellek, CD gibi araçların kullanımı

Yukarıda da açıkladığımız gibi kötü amaçlı yazılımlar genellikle USB bellekler veya CD’ler gibi çıkarılabilir medya araçlarından bulaşıyor. Bu araçlar aracılığıyla sisteminize sızan yazılım şirketin ağ tabanlı savunmalarını aşabiliyor. Özellikle otomatik çalıştır tercihiyle kullandığınız araçlar çok tehlikeli. Hackerlar çalışanları kandırmak için  bu dosyaları ilgi çekici biçimde adlandırıyor. Kötü amaçlı bu dosyaları çalıştırdığınızda yazılım verilerinizi çalabiliyor, fidye yazılımı yükleyebiliyor ve hatta bilgisayarınızdaki her şeyi yok edebiliyor. Çalışanlarınıza bu gibi saldırılardan kaçınabilmeleri aşağıdakileri öğretmelisiniz:

  • Güvenli olmadığını düşündüğünüz çıkarılabilir medya araçlarını kullanmayın.
  • Şpühelendiğiniz bir durum olursa çıkarılabilir medya aracını hemen IT ekibine teslim edin.
  • Herhangi bir cihazınızda çıkarbilir bir medyayı otomatik çalıştırmaktan kaçının.

5. Güvenli internet kullanımı

Günümüzde işgücünün internete bağlı olmadan çalıştığı çok az sektör var. Özellikle koronavirüs salgınıyla birlikte neredeyse tüm çalışanlar internet üzerinden çalışmaya başladı. Bu yüzden çalışanlarınızın güvenli internet kullanımıyla ilgili bilinçli olması çok önemli. İnternette gezinirken ne yapmaları ve ne yapmamaları gerektiğini çalışanlarınıza siber güvenlik eğitimleri aracılığıyla öğretebilirsiniz. İşte siber güvenlik eğitiminde kullanılabilecek güvenli internet kullanımını ilgilendiren birkaç konu:

  • Meşru olmayan alan adları. Örneğin facebook.com yerine facebook.org veya faceb00k.com yazılması.
  • Güvenli olan, güvenli olmayan bağlantılar ve bunların nasıl ayırt edileceği. Örneğin, HTTP ve HTTPS yazısının kontrol edilmesi.
  • Kaynağı bilinmeyen ve lisanssız yazılımlar ve bunları indirdiklerinde karşı karşıya kalabilecekleri tehlikeler.
  • Şüpheli web sitelerinde kişisel bilgilerin paylaşımı.
  • Güvenli olmayan, üçüncü parti indirmeler, watering hole saldırıları, solucan oltalama saldırıları ve şüpheli sitelerle ilgili diğer saldırı türleri.

6. Sosyal medya kullanımı

Şirketlerde sosyal medya kullanımı marka değerini arttırmak için kullanılan bir araçtır. Fakat hackerlar da sosyal medyayı da kullanmaktan kaçınmıyor. Sosyal medya aracılığıyla şirketlerin sistemlerini ve itibarını riske atan saldırılar düzenliyorlar. Bu tip saldırıları ve sebep olabilecekleri veri ihlallerine karşı şirketler sosyal medya kullanımı politikasını düzgün bir şekilde belirlemeli ve çalışanlarını bu konuda bilgilendirmeli. İşte sosyal medya kullanımında dikkat edebileceğiniz birkaç konu:

  • Oltalama saldırılarılarının sadece e-postanızda değil sosyal medyada da sizi bulabileceğini unutmayın.
  • Hackerlar sosyal medyada ünlü şirketleri taklit ederek sizi kandırabilir, bu saldırılara karşı temkinli olun.
  • Sosyal medyada ne paylaştığınıza dikkat edin, hackerlar paylaştığınız bilgileri hedefli oltalama saldırılarında size karşı kullanabilir.

7. Ofiste veya Ofis Dışı Ortamlarda Güvenli Davranış

Oltalama saldırılarından korunmak için sadece internette gezinirken dikkatli olmanız yetmez. Bilgisayarınızı veya başka cihazlarınızı kullanırken yanınızda bulunan kişilere ve bulunduğunuz ortama dikkat edin. İşte karşılaşabileceğiniz potansiyel güvenlik tehditlerine karşı birkaç öneri:

  • Hesabınıza giriş yaparken sizi izliyor olabilecek kişilere, özellikle de yeni işe alınan kişilere dikkat edin.
  • Müfettiş, görevli veya IT sorumlusu gibi görünen kişilere karşı temkinli yaklaşın.
  • Önemli bir yere, bir odaya girerken sizi takip eden ve içeri girmek için sizi bekleyen kişilere izin vermeyin
  • Şifrenizi herkesin ulaşabileceği alanlarda yazılı bir şekilde bırakmayın.  İşiniz bittiğinde bilgisayarını kapatın ve sürekli olarak şifre koruması kullanın.
  • Şirket işlerini yürüttüğünüz telefonunuzu veya cihazınızı ortalıkta bırakmayın.
  • Kapı kilitlerindeki arızaları kontrol edin.
  • Masanızın üzerinde hassas bilgiler veya kişisel konular barındıran yapışkan notlar, kağıtlar ve çıktılar bırakmayın. Buna temiz masa politikası denir. Şirkette kullandığınız masa ve çevresinde sadece gerekli bilgiler bulunmalı. Eğer başka türden dosyalar varsa bunları saklayın.

8. Veri gizliliği

Günümüzde şirket yüklü miktarda veriyle çalışıyor. Big data özel sektörü ilgilendiren en önemli konulardan biri haline geldi. Peki hassas bilgileri toplama, depolama ve işleme konusunda çalışanlarınız ne kadar bilgili? Bilinçsiz çalışanlar hackerların müşterilerinize, şirket planlarınıza dair bilgileri ele geçirmesine sebep olabilir. Şirketin düzgün çalışabilmesi için bu hassas bilgilerin korunması çok önemli. Aksi takdirde şirketiniz çeşitli cezalara çarptırılabilir veya müşterilerinizin güveni kaybedebilirsiniz. Aşağıdaki konularda çalışanlarınızı eğitebilirsiniz:

  • Şirketinizin veri depolama ve işlemeye dair politikası.
  • Çalışanları ilgilendiren siber güvenlik yasaları ve regülasyonları.
  • Hassas verilerim depolanması için kullanılan depolama alanları ve biçimleri.
  • Hassas verileri içeren dosyalar için karmaşık şifrelerin ve çok aşamalı kimlik doğrulama kullanımı.

9. En etkili 9 güvenlik eğitimi konusu kendi cihazını getir (BYOD) sistemine dair bilgileri de kapsıyor!

Karantine döneminde özellikle önem kazanan BYOD politikaları çalışanlar için oldukça önemli. Kendi cihazını getir politikası kullanan şirketlerde çalışanlar kişisel cihazlarını işyerinde kullanabiliyor. Bu politika yer yer çalışanlara rahatlık sağlayıp verimliliklerinin artmasına sebep oluyor, yer yer de karşılaşabilecekleri tehlikeleri arttırıyor. Bu yüzden Kendi cihazını getir sistemiyle çalışan şirketler çalışanlarına aşağıdaki konularda eğitmeli:

  • Kişisel cihazlarda tam disk şifrelemesi kullanılması.
  • Kişisel cihazlarda kullanılan uygulamaların sadece onaylı ve lisanslı sitelerden indirilmesi.
  • Hırsızlığa karşı, cihazlarda güçlü bir şifre kullanılması.
  • Kişisel cihazlarda kullanılan antivirüs uygulamalarının şirket tarafından onaylanması.
  • Kaynağı bilinmeyen ağlara bağlanırken VPN kullanılması.

En Etkili 9 Güvenlik Eğitimi Konusu Hakkında Çalışanlarınızı Eğittiniz, Sırada Ne Var?

  1. Oltalama Simülasyonlarıyla bilgilerini test edin.
  2. Olay Müdahale araçlarını nasıl kullanacaklarını çalışanlarınıza öğretin.
  3. Tehdit Paylaşımı aracımızı kullanarak şirket içi iletişimi arttırın.

“Bu gönderi orijinal olarak www.oltalama.com.tr adresinde yayımlanmıştır”

RSS Teknoloji Haberleri