Şirket içi tehditler kabusunuz olmasın

Dışarıdan tehditlere karşı ÅŸirketlerini korumak için büyük mücadele gösteren ÅŸirketler, içeriden darbe alıyor. Yapılan araÅŸtırmalar kuruluÅŸların 65'inin son 12 ayda bir veya daha fazla içeriden saldırıya uÄŸradığını gösteriyor. İç tehditlerin, ÅŸirketlere yüksek meblaÄŸlara mal olduÄŸunu aktaran Siberasist Genel Müdürü Serap Günal, ÅŸirket içi tehditlerden kaynaklanan kiÅŸisel veri ihlallerini önlemek için önerilerde bulunuyor.

 

Åžirketlerin siber güvenlik yatırımlarını belirlerken iç tehditleri de göz önünde bulundurması büyük önem taşıyor. Yapılan araÅŸtırmalar kuruluÅŸların 65'inin son 12 ayda bir veya daha fazla içeriden saldırıya uÄŸradığını raporluyorken tek bir olayın neden olduÄŸu maddi zararların giderilmesi için 100.000 ile 500.000 dolar arasında harcadığını bildiriyor. "Dışarıdaki hackerlerin ÅŸirketin veri tabanlarına girmek için güvenlik duvarlarını ve diÄŸer güvenlik önlemlerini aÅŸmanın yollarını bulması gerekiyor ancak birçok dahili kullanıcının zaten bu veri tabanlarına eriÅŸimi olduÄŸu için içeriden veri sızdırmak daha kolaydır." ifadelerinde bulunan Siberasist Genel Müdürü Serap Günal, ÅŸirket içi tehditlerin neden olduÄŸu kiÅŸisel veri ihlaline karşı yetki matrisi oluÅŸturulması ve departmanlar arası veri akışına izin verilmemesi gerektiÄŸini aktarıyor.

 

Åžirketlerin 3’te 2’si Saldırılarla KarşılaÅŸtı

 

Dışarıdan gelen tehditler her zaman bir kuruluÅŸun endiÅŸeleri listesinde en üst sırada yer alsa da içeriden gelen tehditler de ÅŸirketlerin büyük hasarlarla karşılaÅŸmasına neden oluyor. Öyle ki son araÅŸtırmalara göre üç ÅŸirketten ikisi içeriden saldırıya uÄŸrarken karşılaÅŸtıkları veri ihlalleri karşısında da önemli maddi kayıplar yaşıyor. Bilgi güvenliÄŸi konusunda yeteri kadar eÄŸitilmemiÅŸ çalışanların genellikle hackerlerin dahili veri tabanlarına veya suçlu olarak kendilerinin verimli olabilecek bilgilere eriÅŸimini kolaylaÅŸtıracağını belirten Serap Günal, ÅŸirketleri bu tür kötü niyetli iç tehditlere karşı dikkatli olması gerektiÄŸi konusunda uyarıyor.

 

Departmanlar Arası Veri Akışına Dikkat Edilmeli

 

BaÅŸta saÄŸlık, finans ve turizm sektörleri olmak üzere birçok sektör içerisinde yaÅŸanan kiÅŸisel veri ihlalleri, ÅŸirketleri sorunun kaynağını araÅŸtırmaya yönlendiriyor. Dış tehditlere karşı idari ve teknik altyapılarını oluÅŸturmaya baÅŸlayan ÅŸirketlerin gözden kaçırdıkları önemli noktayı ÅŸirket içi tehditler oluÅŸturuyor. Åžirket içi tehditlerin yaratacağı zararlara ÅŸirketlerin dikkat etmediÄŸini aktaran Serap Günal, kiÅŸisel verilerin korunması adına atılması gereken önemli adımlardan birinin ÅŸirket içi kiÅŸisel verilerin korunması ve güvenliÄŸine yönelik idari prosedürlerin uygulanarak departmanlar arası veri akışının gerçekleÅŸmemesi olduÄŸunu belirtiyor. KVKK uyumluluÄŸu sürecinde analiz ettikleri ÅŸirketlerdeki genel hatanın elde edilen kiÅŸisel veriyi ÅŸirket içerisinde belirli kurallara göre koruyamama olduÄŸunu tespit ettiklerini belirten Günal, açık rızası alınan ve belirli bir departmanın gözetiminde olması gereken kiÅŸisel verinin alakasız bir departmana aktarılması, sonucunu büyük bir krizin meydana getireceÄŸi süreci baÅŸlattığını belirtiyor.

 

Şirketlerde Yetki Matrisi Oluşturulmalı, Erişim Logları Kayıt Altına Alınmalı

 

KiÅŸisel Verilerin Korunması Kanununda mevcut ilkelere aykırılık riskini daha da artıran departmanlar arası veri akışına karşı ÅŸirketlerde veri segmentasyonu gerektiÄŸini de hatırlatan Serap Günal, her departmanın sadece kendine özel tutulan bilgilere eriÅŸim saÄŸlaması gerektiÄŸini, aksi takdirde yetkisi olmayan kimselerin saÄŸlayacağı yetkisiz eriÅŸimlerle ihlallerin yaÅŸanmaması için bir nedenin kalmayacağını ifade ediyor. Åžirketlerde paylaşılan her türlü dosya ve veri tabanı için kimin eriÅŸim yetkisi olduÄŸu, kimin ne zaman ne ÅŸekilde hangi cihazdan eriÅŸim saÄŸladığı ya da eriÅŸim yetkisinin olduÄŸunu bilmenin ve belirlemenin gerekliliÄŸini önemli bir adım olarak gören Günal, eriÅŸim yetkisi verilen kiÅŸilerin de ayrıca kaydının tutulmasını gerektiÄŸini, bu yüzden oluÅŸturulan yetki matrisinin iÅŸlevselliÄŸini ve verilen yetkilerin kötüye kullanılıp kullanılmadığının da tutulan eriÅŸim logları ve log kayıtları ile ölçülebileceÄŸini ifade ediyor.

 

Kaynak: (BHA) – Beyaz Haber Ajansı


Etiketler:
Bilgilendirme

Bu içeriğin, görüş ve bilgilerin yanlışlık, eksiklik veya yasalarla düzenlenmiş kurallara aykırılığından turkiyeajans.com hiçbir şekilde sorumlu değildir. turkiyeajans.com 5651 Sayılı Kanun kapsamında BTK Yasalarına Uygun Hareket etmeyi esas alır Bu sebeple içerikleri ve yorumları kontrol etme ya da araştırma yükümlü tutulamaz Hukuka ve mevzuata aykırı olduğunu düşündüğünüz içeriği iletişim adreslerinden bildirebilirsiniz. En Kısa sürede dönüş yapmaya çalışacağız.

Risk Açıklaması:
Burada yer alan yatırım bilgi, yorum ve tavsiyeleri yatırım danışmanlığı kapsamında değildir. Yatırım danışmanlığı hizmeti; aracı kurumlar, portföy yönetim şirketleri, mevduat kabul etmeyen bankalar ile müşteri arasında imzalanacak yatırım danışmanlığı sözleşmesi çerçevesinde sunulmaktadır. Burada yer alan yorum ve tavsiyeler, yorum ve tavsiyede bulunanların kişisel görüşlerine dayanmaktadır. Bu görüşler mali durumunuz ile risk ve getiri tercihlerinize uygun olmayabilir. Bu nedenle, sadece burada yer alan bilgilere dayanılarak yatırım kararı verilmesi beklentilerinize uygun sonuçlar doğurmayabilir. turkiyeajans.com sitesinde kullanılan kaynaklardaki herhangi bir hata/eksiklikten dolayı, sitedeki bilgilerin kullanılması sonucunda yatırımcıların ve üçüncü kişilerin uğrayabilecekleri doğrudan ve/veya dolaylı zararlardan turkiyeajans.com hiçbir şekilde sorumlu tutulamaz

Yorum yap

E-posta hesabınız yayımlanmayacak.