Image
13 Kasım 2019, Çarşamba

10 Temel BT Güvenliği Çalışanlarınız için En İyi Uygulamalar

2014’te, BT güvenliği ile ilgili haraç bildiren ve Ransomware kötü amaçlı yazılımın türevleri ile fidye için tutulan daha fazla işletme verilerini rapor eden medyada çarpıcı bir artış göreceksiniz.

Ocak ayının ilk 2 haftasında en son haber başlıklarına bir göz atın.

Hacker’lar Neiman Marcus’tan Kart Verilerini Çaldı

Hedef: Çalınan 70 Milyon Müşteriye Ait İsimler, E-postalar ve Telefon Numaraları

İş verilerinin çalınması her zaman suçlular için para kazandırmıştır ancak şimdi sistemlere sızmak ve her türden kötü amaçlı yazılım türetmek için kullanılan teknoloji temelde ücretsizdir. Teknik olmayan bir kişinin herhangi bir işi kullanması için yeterince kolay olduğu bir hedef: küçük iş.

Ransomware’de gördüğümüz gibi, tüm personel verilerinin yalnızca personel üyeleri makinesinde değil, çevrimiçi yedeklemeler de dahil olmak üzere tüm işletme ağınızdaki tüm işletme verilerinin potansiyel olarak şifrelenmesi riskini almak için virüslü bir e-posta ekini tıklaması gerekir. Şifreleme işlemi kırılmaz ve bir virüsten koruma aracı verilerinizi geri almanıza yardımcı olacak hiçbir şey yapamaz. Verileri “kilidini açmanın” tek yolu bilgisayar korsanının elinde tuttuğu bir “anahtar” dır.

Tüm iş verilerinizi- bilgisayar korsanları tarafından sorulan fidyeyi ödeyene kadar kullanılamayan fatura hesaplarını, müşteri kayıtlarını, belgeleri, elektronik tabloları, resimleri, videoları kullanamazsınız- bu sizi terletir mi?

Aşağıdaki 10 temel güvenlik uygulamasının uygulanması, işletmelerinizin önemsizliğe saldırmaya açıklıklarını azaltmaya yardımcı olacaktır. Bunun, BT sisteminizin saldırıya uğramayacağını garanti edecek sonuç listesi olduğunu söylemiyorum, ancak en yaygın saldırı vektörlerini yok edecek. Bu başarılı hacklerin %95’ini oluşturuyor.

1. İnternetin Kabul Edilebilir Kullanımı

Personeliniz İnterneti sadece iş amaçlı kullanmalıdır. Sık kullandıkları web siteleri, gerçekleştirmeleri gereken görevlerle doğrudan ilgili olmalıdır. Şimdi bu kulağa harika bir fikir gibi geliyor ama personelin sosyal medya profillerini kontrol etmesine veya çevrimiçi haberleri okumasına izin vermeyen bir iş görmedim. Personelin farkında olması gereken, bazı web sitelerinin kötü olduğu ve ziyaret edildiğinde bilgisayarlarına saldırmaya çalışacaklarıdır. Personelinizi, yalnızca büyük sosyal medya siteleri ve haber siteleri gibi iyi bilinen ve güvenilen web sitelerini ziyaret etmeye eğitin. Davranmalarına yardımcı olmanın iyi bir yolu, tüm İnternet kullanımlarının izlendiğini ve kötüye kullanım için uygun uyarılar verildiğini yazılı olarak söylemektir.

2. E-posta Ekleri

Asla, gönderenden beklemediğiniz bir e-postadaki eki tıklamaz. Personeliniz bu kurala tek başına sadık kalırsa, kırılganlığınızı başarılı bir saldırıya maruz bırakacaksınız! Gönderen biliniyor ancak ek beklenmeyen bile olsa gönderene başvurun ve gönderip göndermediklerini sorun. Çalışanlarınız önce kontrol etmeden herhangi bir eke tıklarsa işiniz için risk büyüktür. Tabii ki açmadan önce her eki virüs taramasında kontrol etmelisiniz. Sadece göndericiyle beklenmedik ekleri kontrol etmemek ve virüsten koruma denetimine güvenmek, 0 tam kanıt olmayacaktır, çünkü çoğu virüsten koruma yazılımı, 100’lerin yeni varyantlarının en son virüs ve kötü amaçlı yazılımlarını güncel tutamaz.

3. E-postalardaki Bağlantılar

Tıpkı “gerçek bağlantıyı” görmeden ve okunaklı görünmediği sürece, eklerin e-postaların içindeki bağlantılara tıklamaması gibi. “Gerçek bağlantı” ile, bağlantı tıklandığında ziyaret edilecek URL’yi kastediyorum, bu bazen HTML e-postalarında gizlenir. “Gerçek bağlantıyı” görmenin en kolay yolu, farenizi e-postadaki bağlantının üzerine getirmektir. Açılır pencere veya durum çubuğunda “gerçek bağlantı” gösterilir. Yine eğer personel üye bağlantıdan emin değilse, tıklamadan önce gönderene danışın.

4. Parola Gücü ve Parolaların Yeniden Kullanılması

Bir şifre oluştururken veya şifre üreten uygulamalarda çalışan personelin şifreyi güçlendirdiğinden emin olun. Güçlü bir parola küçük harf ve büyük harf karakterler, sayılar ve simgeler içerir ve en az 8 karakter uzunluğunda olmalıdır. Ayrıca başka bir uygulama veya web sitesinde bir şifreyi asla tekrar kullanmayın. Örneğin; personel her yerde kullandıkları bir favori şifreye sahipse ve iş e-posta adreslerini kullanarak bir web sitesine kaydolduysa ve bu web sitesinin veri tabanı çalındıysa, çoğu bilgisayar korsanı %85 veya daha fazla kişinin aynı şifreyi tekrar kullandığını biliyor. Şifreleri ve çalışma yerlerine yapılan atıflar e-posta adresi üzerinden bilinir, böylece bilgisayar korsanı herhangi bir ticari sistemi çevrimiçi olarak deneyecek ve bulacaktır ve bu çalınmış verileri işletme sistemlerinize erişmek için kullanacaktır.

5. En Kısa Zamanda Bildirilen İhlalleri Bildirme

Personel üyesinin, en kısa sürede güvenlik politikasındaki ihlalleri yönetime rapor edebileceğini düşündüğünden emin olun. Bu, yanlışlıkla bir e-posta ekini tıklamayı veya tehlikeli bir web sitesini ziyaret etmeyi içerir. İhlal ne kadar hızlı olursa, BT personeli tarafından bu tehdit ne kadar fazla tutulursa o kadar iyi bilinir. Bazı kötü amaçlı yazılımlar ve virüsler gizlenme veya gizlilik moduna girebilir ve mağdurun varlığını uyarmadan önce hasara yol açabilir, bu nedenle ASAP ihlallerini bildirmek hayati öneme sahiptir.

6. Parola İstemi ile Etkinleştirilmiş Ekran Koruyucu

Personel üyelerinin bilgisayarındaki ekran koruyucunun etkinleştirilmesi ve erişim denendiğinde parola istemini içermesi gerekir. Ekran koruyucu en fazla 10 dakikalık hareketsizlikten sonra etkinleşmelidir. İyi bilinmemekle birlikte hırsızlık gibi daha çok suç çalışanlar tarafından yabancılardan işlenmektedir. Çalışanların güvenliği atlamak için daha fazla yeteneğe sahip olduğunu ve hali hazırda şifreleriniz / anahtarlarınız olduğunu düşündüğünüz zaman anlamlıdır. Ekran koruyucu, bilgisayara yasa dışı erişimi engellemeye yardımcı olur.

7. Yabancı Cihazlar Asla İş Bilgisayarlarına Bağlanmamalıdır

Yabancı cihazlar ile USB bellekleri ve diğer çıkarılabilir depolama aygıtlarını kastediyoruz. Bilgisayar korsanlarının ortak bir taktiği, hedef işletmelerin ortak alanlarının çevresinde veya mümkünse işletmenin özel alanı içinde masa başında veya posta odasında virüslü USB çubukları bırakmaktır. Birçok kişi meraklıdır ve USB bellekte ne olduğunu bilmek ya da sahibiyle ilgili bilgileri bulmaya çalışmak ister. Bir virüs ya da kötü amaçlı yazılım, cihaz prize takıldığı anda hemen bir bilgisayara girebilir. Başka bir püf noktası da etkilenen cihazları etkinliklerde ve seminerlerde “güzellik çantalarına” eklemektir. Çoğu kişi bilgisayarlarına bir USB çubuğu bağlamayı iki kez düşünmez. (Resmi bir “güzellik çantası” içinde bulunuyorsa). USB bellek gibi bir cihazın kaynağından emin değilseniz, onu bir iş bilgisayarına bağlamayın, yönetime verin.

8. Ticari Olmayan Bilgisayarları Kullanarak Dahili Sistemlere Asla Erişmeyin

Klasik bir hatadır. Bir personel yurtdışında tatilde ve patron acil bir şey için onunla irtibatta. Personel, kendi hesabına giriş yapmalı ve en yakın İnternet Kafe’yi bulmalı ve sisteme giriş yapmalıdır. Bang! Bunu yapmak, sisteminizi ortaya çıkarmanın kesin bir yoludur. Çalışanlar ya bittiğinde web tarayıcısının çerezlerini ve geçmişini temizlemeyi unuturlar ya da İnternet Kafe bilgisayarındaki oturum açma ayrıntılarını kaydeden bir anahtar kaydedici veya başka bir kötü durum olabilir. Hassas iş sistemlerine erişmek için asla kamuya açık ya da ticari olmayan cihazları kullanmayın.

9. Eylem Arayan Bilinmeyen Arayanlar

Yıllardır çalışan Microsoft destek dolandırıcılığı hakkında bir şey okumadıysanız şaşırırım. Telefonda bir kişiyi arayarak Microsoft’tan olduklarını ve makinelerine virüs bulaştıklarını belirtir. Tabii ki “Microsoft desteği”, kişinin aslında bir malware veya virüs olan bir “düzeltme ekini” indirmesi için kişiyi bir web sitesine yönlendirecek ve yönlendirecektir. Çalışanlarınızı işinde ya da tedarikçisinde birisini yapan ve çalışan üyeye bir “yama” kurma, şifresini sıfırlama gibi bir görev yapmalarını sağlayan temelde çok kaygan profesyonel con “sosyal mühendislik” konusunda personelinizi eğitmeniz gerekir veya hassas bilgi sağlama.

10. Asla Wifi kullanmayın

Bu konu, işiniz için o kadar önemlidir, işinizde kimsenin şahsen veya işinizde herhangi bir cihazda genel wifi kullanmadığından emin olunuz. Genel WiFi kullanımı müşterilerinizin verilerini risklendirir.