Gizli şirket bilgilerini ve ağını korumak için güvenlik yazılımlarına yatırım yapmak, siber güvenlik konusunda bilgisiz çalışanlar varken yeterli olmuyor. Bir araştırma şirketinin güvenlik ve gizlilik farkındalığını ölçmek için Amerika’da 1000’den fazla özel sektör ve kamu çalışanı ile gerçekleştirdiği ankette ilginç sonuçlar ortaya çıktı. Ankette katılımcılara oltalama girişimlerini tanımlama, erişim kontrolü, sosyal medya kullanımı ve uzaktan çalışma gibi 8 güvenlik ve gizlilik senaryosu ile ilgili 11 davranış bazlı soru sorularak yeterlilikleri ölçüldü. Cevap verenlerin ancak %12’si güvenlikle ilgili vakaları tam olarak tespit edebildi. Kullanıcıların birçoğu apaçık ortada olan tehditleri dahi belirleyemedi. Bu durum onları, riskli davranışları kasıtlı yapmadıkları halde ideal hedef haline getirdi.
Çalışanların %30’u sosyal medyada şirketini konuşuyor
Şirketler, çalışanlarının zayıf şifreler kullanmaları, e-postalarındaki şüpheli linklere tıklamaları, bilinmeyen kaynaklardan gelen e-posta eklerini açmaları ve kişisel cihazlarını iş amaçlı kullanmaları sebebiyle risk altındalar. Ankete katılanların %26’sı, uzaktan çalışmaları sırasında işle ilgili dosyalarını şirketin uygun gördüğü cihazlar yerine kişisel USB sürücülerinde taşıdıkları halde, %25’i oltalama girişimleri ile ilgili en büyük işaretleri bile fark edemedi. Katılımcıların yaklaşık %30’unun ise sosyal medyada şirketleriyle ilgili konuları paylaşarak şirketin iş ahlakını ihlal ettiği görüldü.
“Şirketler en zayıf halkaları kadar güvendeler.”
1000’den fazla özel sektör ve kamu çalışanı ile gerçekleştirilen araştırma, çalışanların %88’inin siber güvenlik ile ilgili yeterli bilgiye sahip olmadıkları için hassas verileri riske attıklarını gözler önüne serdi. Bitdefender Türkiye distribütörlüğünü üstlenen Laykon Bilişim’in Genel Müdürü Barbaros Akkoyunlu, “Günümüzde, şirket sahipleri ve yöneticiler siber güvenlik tehditleri nedeniyle güvenlik teknolojilerine ciddi yatırımlar yapıyorlar. Bu yatırımlar şirketlerin sürekliliği için çok önemli. Fakat şirket yetkililerinin dikkat etmesi gereken en önemli noktanın maalesef bir çok şirkette atlandığını gözlemliyoruz. Bu önemli nokta, bir şirketin ancak en zayıf halkası kadar güvende olabileceği.” açıklamasında bulundu.
Şirketler nasıl korunacak?
Sosyal mühendislik saldırılarıyla, kötü niyetli olmayan personelin zaaflarından yararlanarak şirket içerisinde açıkları bulmak veya açık yaratmak için çalışan siber saldırganların şirketlerin güvenliği için büyük risk oluşturduğunu belirten Akkoyunlu, bu tür risklerin önüne geçilebilmek için, şirket içindeki personelin bilinçlendirilmesi ve yine şirket içi yetkilerin belirlenmesi gerektiğini vurguladı. Akkoyunlu, “Çalışanlara şirket dışından kişisel elektronik cihazların getirilmesi ve şirket içinde kullanılması ile ilgili prosedürlerin iyice anlatılması gerekiyor. En önemli ve etkilisi güncel tehditlerle ilgili personelin mail yoluyla bilgilendirilmesi ve güvenlik firmalarının blog/sosyal medya hesaplarının takibi için çalışanların teşvik edilmesi.” dedi.