Dışarıdan tehditlere karşı şirketlerini korumak için büyük uğraş gösteren şirketler, içeriden darbe alıyor. Yapılan araştırmalar kuruluşların 65 …
Dışarıdan tehditlere karşı şirketlerini korumak için büyük uğraş gösteren şirketler, içeriden darbe alıyor. Yapılan araştırmalar kuruluşların 65’inin son 12 ayda bir yahut daha fazla içeriden atağa uğradığını gösteriyor. İç tehditlerin, şirketlere yüksek meblağlara mal olduğunu aktaran Siberasist Genel Müdürü Serap Günal, şirket içi tehditlerden kaynaklanan ferdî data ihlallerini önlemek için tekliflerde bulunuyor.
Şirketlerin siber güvenlik yatırımlarını belirlerken iç tehditleri de göz önünde bulundurması büyük değer taşıyor.Yapılan araştırmalar kuruluşların 65’inin son 12 ayda bir yahut daha fazla içeriden taarruza uğradığını raporluyorken tek bir olayın neden olduğu maddi ziyanların giderilmesi için 100.000 ile 500.000 dolar ortasında harcadığını bildiriyor. “Dışarıdaki hackerlerin şirketin bilgi tabanlarına girmek için güvenlik duvarlarını ve başka güvenlik tedbirlerini aşmanın yollarını bulması gerekiyor lakin birçok dahili kullanıcının aslında bu data tabanlarına erişimi olduğu için içeriden data sızdırmak daha kolaydır.” tabirlerinde bulunan Siberasist Genel Müdürü Serap Günal, şirket içi tehditlerin neden olduğu ferdî bilgi ihlaline karşı yetki matrisi oluşturulması ve departmanlar ortası bilgi akışına müsaade verilmemesi gerektiğini aktarıyor.
Şirketlerin 3’te 2’si Akınlarla Karşılaştı
Dışarıdan gelen tehditler her vakit bir kuruluşun kaygıları listesinde en üst sırada yer alsa da içeriden gelen tehditler de şirketlerin büyük hasarlarla müsabakasına neden oluyor. O denli ki son araştırmalara nazaran üç şirketten ikisi içeriden taarruza uğrarken karşılaştıkları data ihlalleri karşısında da değerli maddi kayıplar yaşıyor. Bilgi güvenliği konusunda yeteri kadar eğitilmemiş çalışanların ekseriyetle hackerlerin dahili data tabanlarına yahut hatalı olarak kendilerinin verimli olabilecek bilgilere erişimini kolaylaştıracağını belirten Serap Günal, şirketleri bu çeşit makus niyetli iç tehditlere karşı dikkatli olması gerektiği konusunda uyarıyor.
Departmanlar Ortası Bilgi Akışına Dikkat Edilmeli
Başta sıhhat, finans ve turizm kesimleri olmak üzere birçok kesim içerisinde yaşanan şahsî bilgi ihlalleri, şirketleri sorunun kaynağını araştırmaya yönlendiriyor. Dış tehditlere karşı idari ve teknik altyapılarını oluşturmaya başlayan şirketlerin gözden kaçırdıkları değerli noktayı şirket içi tehditler oluşturuyor. Şirket içi tehditlerin yaratacağı ziyanlara şirketlerin dikkat etmediğini aktaran Serap Günal, ferdî bilgilerin korunması ismine atılması gereken değerli adımlardan birinin şirket içi ferdî dataların korunması ve güvenliğine yönelik idari prosedürlerin uygulanarak departmanlar ortası bilgi akışının gerçekleşmemesi olduğunu belirtiyor. KVKK uyumluluğu sürecinde tahlil ettikleri şirketlerdeki genel yanlışın elde edilen şahsî bilgiyi şirket içerisinde muhakkak kurallara nazaran koruyamama olduğunu tespit ettiklerini belirten Günal, açık isteği alınan ve muhakkak bir departmanın nezaretinde olması gereken şahsî bilginin alakasız bir departmana aktarılması, sonucunu büyük bir krizin meydana getireceği süreci başlattığını belirtiyor.
Şirketlerde Yetki Matrisi Oluşturulmalı, Erişim Logları Kayıt Altına Alınmalı
Ferdî Bilgilerin Korunması Kanununda mevcut prensiplere terslik riskini daha da artıran departmanlar ortası bilgi akışına karşı şirketlerde bilgi segmentasyonu gerektiğini de hatırlatan Serap Günal, her departmanın yalnızca kendine özel tutulan bilgilere erişim sağlaması gerektiğini, aksi takdirde yetkisi olmayan kimselerin sağlayacağı yetkisiz erişimlerle ihlallerin yaşanmaması için bir nedenin kalmayacağını söz ediyor. Şirketlerde paylaşılan her türlü belge ve bilgi tabanı için kimin erişim yetkisi olduğu, kimin ne vakit ne halde hangi aygıttan erişim sağladığı ya da erişim yetkisinin olduğunu bilmenin ve belirlemenin gerekliliğini değerli bir adım olarak gören Günal, erişim yetkisi verilen bireylerin de ayrıyeten kaydının tutulmasını gerektiğini, bu yüzden oluşturulan yetki matrisinin fonksiyonelliğini ve verilen yetkilerin berbata kullanılıp kullanılmadığının da tutulan erişim logları ve log kayıtları ile ölçülebileceğini söz ediyor.
Kaynak: (BHA) – Beyaz Haber Ajansı
