Dışarıdan tehditlere karşı ÅŸirketlerini korumak için büyük mücadele gösteren ÅŸirketler, içeriden darbe alıyor. Yapılan araÅŸtırmalar kuruluÅŸların 65'inin son 12 ayda bir veya daha fazla içeriden saldırıya uÄŸradığını gösteriyor. Ä°ç tehditlerin, ÅŸirketlere yüksek meblaÄŸlara mal olduÄŸunu aktaran Siberasist Genel Müdürü Serap Günal, ÅŸirket içi tehditlerden kaynaklanan kiÅŸisel veri ihlallerini önlemek için önerilerde bulunuyor.
Åžirketlerin siber güvenlik yatırımlarını belirlerken iç tehditleri de göz önünde bulundurması büyük önem taşıyor. Yapılan araÅŸtırmalar kuruluÅŸların 65'inin son 12 ayda bir veya daha fazla içeriden saldırıya uÄŸradığını raporluyorken tek bir olayın neden olduÄŸu maddi zararların giderilmesi için 100.000 ile 500.000 dolar arasında harcadığını bildiriyor. "Dışarıdaki hackerlerin ÅŸirketin veri tabanlarına girmek için güvenlik duvarlarını ve diÄŸer güvenlik önlemlerini aÅŸmanın yollarını bulması gerekiyor ancak birçok dahili kullanıcının zaten bu veri tabanlarına eriÅŸimi olduÄŸu için içeriden veri sızdırmak daha kolaydır." ifadelerinde bulunan Siberasist Genel Müdürü Serap Günal, ÅŸirket içi tehditlerin neden olduÄŸu kiÅŸisel veri ihlaline karşı yetki matrisi oluÅŸturulması ve departmanlar arası veri akışına izin verilmemesi gerektiÄŸini aktarıyor.
Åžirketlerin 3’te 2’si Saldırılarla KarşılaÅŸtı
Dışarıdan gelen tehditler her zaman bir kuruluÅŸun endiÅŸeleri listesinde en üst sırada yer alsa da içeriden gelen tehditler de ÅŸirketlerin büyük hasarlarla karşılaÅŸmasına neden oluyor. Öyle ki son araÅŸtırmalara göre üç ÅŸirketten ikisi içeriden saldırıya uÄŸrarken karşılaÅŸtıkları veri ihlalleri karşısında da önemli maddi kayıplar yaşıyor. Bilgi güvenliÄŸi konusunda yeteri kadar eÄŸitilmemiÅŸ çalışanların genellikle hackerlerin dahili veri tabanlarına veya suçlu olarak kendilerinin verimli olabilecek bilgilere eriÅŸimini kolaylaÅŸtıracağını belirten Serap Günal, ÅŸirketleri bu tür kötü niyetli iç tehditlere karşı dikkatli olması gerektiÄŸi konusunda uyarıyor.
Departmanlar Arası Veri Akışına Dikkat Edilmeli
BaÅŸta saÄŸlık, finans ve turizm sektörleri olmak üzere birçok sektör içerisinde yaÅŸanan kiÅŸisel veri ihlalleri, ÅŸirketleri sorunun kaynağını araÅŸtırmaya yönlendiriyor. Dış tehditlere karşı idari ve teknik altyapılarını oluÅŸturmaya baÅŸlayan ÅŸirketlerin gözden kaçırdıkları önemli noktayı ÅŸirket içi tehditler oluÅŸturuyor. Åžirket içi tehditlerin yaratacağı zararlara ÅŸirketlerin dikkat etmediÄŸini aktaran Serap Günal, kiÅŸisel verilerin korunması adına atılması gereken önemli adımlardan birinin ÅŸirket içi kiÅŸisel verilerin korunması ve güvenliÄŸine yönelik idari prosedürlerin uygulanarak departmanlar arası veri akışının gerçekleÅŸmemesi olduÄŸunu belirtiyor. KVKK uyumluluÄŸu sürecinde analiz ettikleri ÅŸirketlerdeki genel hatanın elde edilen kiÅŸisel veriyi ÅŸirket içerisinde belirli kurallara göre koruyamama olduÄŸunu tespit ettiklerini belirten Günal, açık rızası alınan ve belirli bir departmanın gözetiminde olması gereken kiÅŸisel verinin alakasız bir departmana aktarılması, sonucunu büyük bir krizin meydana getireceÄŸi süreci baÅŸlattığını belirtiyor.
Şirketlerde Yetki Matrisi Oluşturulmalı, Erişim Logları Kayıt Altına Alınmalı
KiÅŸisel Verilerin Korunması Kanununda mevcut ilkelere aykırılık riskini daha da artıran departmanlar arası veri akışına karşı ÅŸirketlerde veri segmentasyonu gerektiÄŸini de hatırlatan Serap Günal, her departmanın sadece kendine özel tutulan bilgilere eriÅŸim saÄŸlaması gerektiÄŸini, aksi takdirde yetkisi olmayan kimselerin saÄŸlayacağı yetkisiz eriÅŸimlerle ihlallerin yaÅŸanmaması için bir nedenin kalmayacağını ifade ediyor. Åžirketlerde paylaşılan her türlü dosya ve veri tabanı için kimin eriÅŸim yetkisi olduÄŸu, kimin ne zaman ne ÅŸekilde hangi cihazdan eriÅŸim saÄŸladığı ya da eriÅŸim yetkisinin olduÄŸunu bilmenin ve belirlemenin gerekliliÄŸini önemli bir adım olarak gören Günal, eriÅŸim yetkisi verilen kiÅŸilerin de ayrıca kaydının tutulmasını gerektiÄŸini, bu yüzden oluÅŸturulan yetki matrisinin iÅŸlevselliÄŸini ve verilen yetkilerin kötüye kullanılıp kullanılmadığının da tutulan eriÅŸim logları ve log kayıtları ile ölçülebileceÄŸini ifade ediyor.
Kaynak: (BHA) – Beyaz Haber Ajansı
Etiketler: