İSTANBUL (AA) - Kaspersky Çalışan Sağlığı 2021 raporu, kuruluşların düzenli olarak çalışan veri sızıntısı ile karşı karşıya olduğunu ancak bunların neredeyse yarısının bu olayları kamuya açıklamamayı tercih ettiğini ortaya koydu.
Kaspersky açıklamasına göre, başarılı bir kurumsal siber savunma, her düzeydeki çalışan güçlerini birleştirmeden mümkün olamayacak bir kavram olarak öne çıkıyor.
Teknoloji, siber saldırıları önlemek için önemli olsa da olayların yüzde 85'inde insan faktörleri hala çok önemli bir rol oynuyor. Kaspersky'nin BT karar vericilere yönelik küresel anketi, kuruluşların ve çalışanların bu konuda iş birliğine ne kadar hazır olduğuna ve kendilerini, müşterilerini ve birbirlerini ne kadar iyi koruduğuna ilişkin bilgiler sağlıyor.
Müşteri bilgilerinin çalınmasıyla ilişkili yüksek profilli veri ihlali vakalarına rağmen çalışanların kişisel verileri siber suçlular arasında da oldukça popüler olması dikkati çekiyor. 2021'de kuruluşların üçte birinden fazlası çalışanlarının verilerinin tam güvenliğini sağlayamadı.
Etkilenen kuruluşların yüzde 45'inin kişisel çalışan verilerinin ihlalini kamuya açıklamaması, sorunun göründüğünden daha büyük olduğuna işaret ediyor. Geri kalanların yüzde 43'ü olayla ilgili bilgileri proaktif olarak paylaşırken, yüzde 12'si bunu medyaya sızdırıldıktan sonra yaptı. Bu, kurumsal veya müşteri veri ihlallerine kıyasla bu tür bir sızıntının en az ifşa edilen sızıntı türü olduğunu gösteriyor.
- "Uygun, doğru ve zamanında iletişim finansal kayıpları azaltır"
Açıklamada görüşlerine yer verilen Kaspersky Kurumsal İşlerden Sorumlu Genel Müdür Yardımcısı Evgeniya Naumova, bir kuruluşun siber olayla karşı karşıya kaldığında doğru kriz iletişiminin, müdahale ve kurtarma eylemleri kadar önemli olduğunu vurguladı.
Veri ihlali riskinin her zaman var olduğuna işaret eden Naumova, şunları kaydetti:
"İşletmeler bunu proaktif olarak açıklamanın basında ifşa etmekten daha iyi olduğunu kabul etmelidir. Uygun, doğru ve zamanında iletişim yalnızca potansiyel itibar zararını en aza indirmekle kalmaz, aynı zamanda doğrudan finansal kayıpları da büyük ölçüde azaltabilir. Panik veya karışıklığı önlemek için bir şirketin net bir kriz planı geliştirmeyi düşünmesi ve çalışanları önceden eğitmesi gerekir. Kurumsal iletişim uzmanları ve BT güvenlik ekipleri, siber güvenlik içgörüleri hakkında bilgi alışverişinde bulunmak ve acil bir durumda hem iç hem de dış iletişimleri doğru bir şekilde ele almaya yardımcı olabilecek kılavuzları, araçları, kanalları ve dili belirlemek için iş birliği yapmalıdır."
- "İhlallerin önlenmesi için birlikte hareket edilmesi gerekir"
Rapora göre, kuruluşların yalnızca yüzde 44'ü, çalışanlara önemli bilgiler verilmesini sağlamak için güvenlik eğitimi ve öğretimi uyguluyor. Ayrıca, bu şirketlerin yarısından fazlası bu hizmetlerin kalitesiyle ilgili en az bir sorunla karşılaştığını ifade ediyor. Bu, kursların karmaşasından doğan memnuniyetsizliği ve eğitimleri sunanların destek veya uzmanlık konusundaki eksikliğini içeriyor.
Koruyucu önlemlerin önemi hakkında temel bilgiler verilmeyen çalışanların kurallara uyması doğal olarak beklenmiyor. 2021'de BT güvenliği söz konusu olduğunda, personelin uyumluluğu ve yetersiz son kullanıcı güvenlik kültürüyle uğraşmak işletmeler açısından en büyük üç endişeden biri oldu.
Ankete katılanların yüzde 42'si bunu en endişe verici konular arasında belirtti. Şirketler düzenli olarak bilgi güvenliği ihlalleri, uygunsuz BT kaynağı kullanımı ve mobil cihazlar aracılığıyla verilerin uygunsuz paylaşımı durumuyla karşı karşıya kaldıklarını ifade etti. Türkiye'de bu oranlar sırasıyla yüzde 49, yüzde 51 ve yüzde 46 oldu.
İhlallerin önlenmesi, kurumsal sistemlerle etkileşime giren saldırganlar için potansiyel bir hedef olabilecek herkesin birlikte hareket etmesini gerektiriyor. Çalışanların güvenliğini güçlendirmek için şirketlerin güvenilir koruyucu önlemleri ekipleri arasındaki güvenlik bilinciyle bir araya getirmesi gerekiyor.
Kaspersky, veri sızıntılarına karşın şunları tavsiye ediyor:
"Saldırganların sisteme sızmasını önlemek için yazılımın hızlı bir şekilde yamalanmasını ve güncellenmesini sağlayın. Hassas veriler için yüksek dereceli şifreleme uygulayarak güçlü kimlik bilgileri eşliğinde çok faktörlü kimlik doğrulamayı zorunlu kılın. Erişim girişimlerini engellemek için tehdit algılama ve yanıt yetenekleriyle etkili uç nokta korumasını, verimli saldırı araştırması ve uzman yanıtı için yönetilen koruma hizmetlerini kullanın.
Önemli verilere erişimi olan kişi sayısını en aza indirin. İhlallerin, çok sayıda çalışanın gizli ve değerli bilgilerle çalıştığı kuruluşlarda meydana gelme olasılığı daha yüksektir. Çalışanlarınızı ihtiyaç duydukları siber güvenlik becerileriyle donatın. Gerekli ve güncel tüm bilgileri ilgi çekici bir formatta sunan eğitimleri tercih edin. Zamandan tasarruf etmek ve kaliteli bir hizmet almak için şirketler, verimli bir öğrenme süreci sağlayabilecek, dünya çapında tanınmış hizmet ve eğitim sağlayıcılarla çalışmalıdır."