Kimlik hırsızlığı günümüzde bireyler ve kurumlar (özellikle KOBİ’ler) için ciddi bir sıkıntıdır. Kimlik hırsızlığı, kişisel kimlik bilgilerinin taklit edilmesi ile gerçekleştirilebileceği gibi kurumunuzun isminin, etkinliklerinin ve ürünlerinin benzerleri veya aynılarının oluşturulması ile de gerçekleştirilebilir.
Küçük ve Orta Büyüklükteki İşletmenizin bilgisayar korsanları (hacker’ler) ve kimlik hırsızlığından zarar görmemesi için aşağıdaki belirtildiği şekilde tedbir almalarında fayda vardır.
1. Savunmanızı Oluşturun
Korsanların kurum kimliğinizi ve müşterilerinizi çalmalarını engellemek için yeterli antivirüs ve güvenlik duvarı (firewall) uygulamaları kullanıyor musunuz? Eğer kullanmıyor iseniz bilmelisiniz ki; kurumunuzu dış ortamdan gelecek saldırılara karşı korumamanız, evinizin kapılarını açık bırakmaya benzer. Er ya da geç olumsuz bir olay ile karşılaşma olasılığınız oldukça yüksektir.
Önlem; Mutlaka kurumuzda güncel antivirüs ve güvenlik duvarı uygulamalarını kullanınız. Bu uygulamaların doğru şekilde yönetildiğinden emin olunuz.
2. Tehditlerle Aynı Seviyede Önlemlere Sahip Olun
Son zamanlarda gerçekleşen bir oltalama (phishing)saldırısı ile kurbanlara HTML içerikleri ile gizlenmiş truva atları gönderildiği tespit edilmiştir. Bu şekilde hazırlanmış e-postaları alan kişilerin bilgisayarlarındaki güvenlik ayarlarının düşük seviyede olması halinde saldırıdan etkilenmeleri söz konusu olabilir.
Önlem; Sistem yöneticinizin veya sorumlu kişilerin güncel tehditlerden haberdar olarak güvenlik ayarlarını tüm tehditlere karşı koruma sağlayacak şekilde ayarlamasını sağlayın.
3. Her şeyi şifreleyin
Bir saldırganın eline geçmesi halinde olumsuz sonuçlar doğurabilecek tüm verilerinizi şifreleyin. Özellikle hassas kurum verileri içeren diz üstü bilgisayarların sabit disklerinin ve taşınabilir medyaların şifrelenmesi verilerinizin güvenliği için son derece önemlidir.
Bir bilgisayarın veya sabit diskin şifrelemesi: Gizli bir parola belirlenmesi ile verilerinize yetkisiz kişilerin erişiminin engellenmesidir.
4. Çalışanlarınızdan Destek Alın
İnsan hataları ve ayrıntılara dikkat eksikliği kurumların güvenliğini en çok riske atan sebepler arasındadır. Belirli aralıklarla parola değiştirme, genel güvenlik ve yazılım araçlarının kullanımı gibi basit uygulamalar ile kurumsal ve bireysel bilgisayarların güvenliği sağlayanabilir. Korsanlar, haberiniz olmadan değerli verileri ele geçirebilecek yazılımlar oluşturduğundan sistemlerinizin korsanlar tarafından değiştirilmemesini sağlamak en etkili önlemdir.
5. Kredi Kartı Bilgilerini Saklamayın
Kredi kartı bilgilerinin kurumlarca saklanması Kartlı Ödeme Endüstrisi Standardı (Payment Card Industry Standard) ve kanunlarca yasaklanmıştır. Aynı zamanda bu bilgilerin saklanması son derece riskli olduğundan kaçınmanız gereken bir uygulamadır.
Müşteri kredi kartı bilgileri, ödeme alınmasının ardından yok edilmeli, kurumunuz sistemlerinde saklanmamalıdır.
6. Bir Kâğıt Öğütücü Edinin ve Kullanın
Hassas verileri içeren kâğıtların yetkisiz kişilerin eline geçmesi kurumunuz için ciddi sıkıntılar yaratabilir. Hassas verilerinizi imha etmek için bir kâğıt öğütücü edinin ve çalışanlarınızın gerektiğinde bu cihazı kullanmasını sağlayın.
Kâğıt öğütücünün alınması kadar kurum bu cihazın kullanımının yaygınlaştırılması da son derece önemlidir. WebArgos tarafından 2008 yılında yapılan bir araştırmanın sonuçlarına göre A.B.D.’deki çalışanların yalnızca %50’si kurumlarının kâğıt imha politikaları ile uyumlu davranmaktadır.
Çalışanlarınıza kâğıt imha cihazının önemini ve kullanımı anlatarak bu cihazın kullanımının gerekliliğini vurgulayın.
7. Mobil Cihazlara Dikkat
2008 yılı verilerine göre dünyada her 53 saniyede bir diz üstü bilgisayar çalınmakta, çalınan diz üstü bilgisayarların yalnızca %3’üne yeniden ulaşılabilmektedir.
Çalışanlarınızın hareketli cihazların (diz üstü bilgisayarlar, akıllı telefonlar, taşınabilir sabit diskler gibi) güvenliği konusunda daha dikkatli olmalarını sağlayın.
Bu cihazların kaybolmaları veya çalınmaları halinde en kısa sürede ilgili mercilere bildirilmesini sağlayın.
8. Sistemlerinizi Güncel Tutun
Bilgisayar korsanları, her gün kullandığınız yazılımların açıklarını tespit ederek yeni saldırılar geliştirmektedir. Kullandığınız işletim sistemi ve yazılımların güncellemelerini gerçekleştirerek bu saldırıların büyük kısmını bertaraf edebilirsiniz.
Örneğin Microsoft Windows işletim sistemlerinde otomatik güncellemelerin açık olması önerilmektedir.
9. Bir Olay Olduğunda Ne Yapacağınızı Bilin
Kurumunuzda herhangi bir olay gerçekleşmeden hazırlayacağınız bir güvenlik müdahale planı ile bir olay anında neler yapılacağını tüm çalışanlarınızın bilmesini sağlayın. Kurumunuzun güvenlik müdahale planlarının oluşturulması ile çalışanlarınızın farkındalığının arttırılması ve olası bir olaydan en az şekilde etkilenmeniz sağlanabilir. Bu yüzden güvenlik müdahale planlarının oluşturulması son derece kolay ve etkili bir güvenlik çözümüdür.
Ayrıca yeni yürürlüğe giren 5651 Sayılı Yasa ile gereğince, şirket bilgisayarlarından yapılan herhangi bir suç üzerine ; Bu suçlar:
5818 sayılı yasaya aykırılık ( Atatürk aleyhinde işlenen suçlar ),
İntihara Yönlendirme,Çocukların cinsel istismarı,
Uyuşturucu veya Uyarıcı madde kullanılmasını kolaylaştırma,
Müstehcenlik,
Fuhuş,
Kumar,
İnteraktif banka hırsızlığı ve dolandırıcılığı,
Bahis.
Bu suçların işlenmesi halinde şirket sahibine para cezası verilmektedir.
(Birinci fıkranın (b) ve (c) bentleri… :10000 Türk Lirasından 50000 Türk Lirasına kadar idarî para cezası verilir. )
Bilgisayarlarınıza kurulacak programlar ile (uzmandan destek alarak) bu suçlar engellenebiliyor ve program kullandığınız için bu suçlar şirketiniz çalışanları tarafından işlense bile sizin için mesuliyet teşkil etmiyor. Böylece şirket sahipleri ve şirketin ismi kötü anlamda etkilenmemiş oluyor.
10. Şirket çalışanlarınızla toplantılar düzenleyin ve eğitim verin/verilmesini sağlayın
Şirket çalışanlarınızın her birinin bilgisayar kullanım sertifikası olması imkansızdır.Bu gibi durumlarda şirket çalışanları önemli programlara veya şirket maillerinin gönderildiği e-mail hesaplarına erişim şifrelerini çok kolay ve kırılabilir yapmaktadır. Araştırmalar bunu göstermektedir. Bunu engellemek için şifre oluşturma kriterleri hakkında araştırma yaparak düzenlediğiniz toplantılarda bunları dile getirmelisiniz. Yada bilgisayarı güvenli bir biçimde kullanmaları için uzman desteği sağlayarak bir kereye mahsus olmak üzere eğitim verebilirsiniz.
Özellikler önereceğim bir yöntem olarak, şirket çalışanlarının önemli şifrelerini her ay düzenli olarak değiştirmesi.
11. Uzman Desteği Alın
Yukarıda belirtilen önlemleri gerçekleştirmek için gerekli olan iş gücü ve/veya teknik bilgiye sahip değilseniz bu konularda uzman olan kişi ve kurumlardan destek alın.
Bilgi güvenliğine yaptığınız yatırımın yaşanabilecek bir olumsuz olayın getirebileceği maliyetten çok daha az olacağını unutmayın.
Yukarıda verilen basit yöntemlerin uygulanması ile kurumunuzun kimliğini çalmaya çalışan bir saldırganın işi oldukça zorlaşacaktır. Ancak bütün bu önlemleri almanıza rağmen dikkatsiz bir çalışanın hataları ile tüm şirket verinizin kaybının her zaman mümkündür. Bu yüzden çalışanlarınızın eğitimi ve farkındalıklarının arttırılması kurumunuz açısından en önemli öğedir.
Eğer firmanızın dijital güvenliğinden bir kuşkunuz yada eksiğiniz varsa benimle iletişime geçerek yardım alabilirsiniz.
Mart 21, 2009 at 1:24 pm
taşınabilir cihazlar ciddi bir güvenlik açığı oluşturuyor. Bir yandan kolaylık sağlamak gerekiyor.
bilgi paylaşıldıkca çoğalıyor. Paylaşım kolaylaştıkcada güvenlik yok oluyor.
Kurumsal güvenlik zor bir konu. uykularım kaçıyor
Mart 22, 2009 at 12:33 pm
Merhabalar
Bilgi işlemde sorumlusunuz sanırım bir firmada.
öncelikle şunu unutmamak gerekir, bilgi paylaştıkça çoğalır fakat bilgi çok paylaşıldığı sürece gizli olmaktan çıkar ve istismar etmek isteyenler ile de paylaşılmış olur.
şirket çalışanlarını bilgilendirecek bütçeyi ayırmazsa firmalar, sonra kaybettiği büyük paralara ve itibarlarına ağlarlar.
bu hep böyle olmuştur ve olacaktır.
bunun çözümü basit.
iyi paralar vererek sağlam bir bilgi işlem kurarsın ve başına iyi bir iki personel getirirsin yada güvenlik uzmanı yazılım firmalarıyla çalışırsın.
ben şu an büyük bir yazılım firmasında yazılım geliştiriyorum ve güvenlik açıkları o kadar komik seviyede ki ağlanacak halimiz var ülke genelinde.
Patronlar Türk yazılımcılara güvenmeden Cisco gibi güvenlk yazılımlarına her yıl 68.000 € ödüyor ve bilgilerini online olarak dış ülkelere açıyorlar. Bu şirketlerin bilgileri satılıyor ve Spam dediğimiz çöplükler böyle yayılmış oluyor.
İyi bir Linux server ve güvenlik betiğiniz olmadan bilgileriniz 7/24 tüm dünyaya açıktır.
Antivirüs kurulu bir makinenin web kamerası kayıtlarını almak 2 dakikayı buluyor. Bu mu güvenli şirket politikası?
Eğer iş yerinizde bilgisayar ile çalışıyorsanız ve personelleriniz kullanıyor ise etik olarak sizin o personelin bilgilerini gizlemeniz şart. İkincisi ise o personel internet kullanarak suç işler ise 5651 Sayılı Yasa ile gereğince, para ve hapis cezasına şirket sahibi çarptırılıyor. O yüzden personel kayıtlarını tutup bunu güvenlik altına almak şirketin yapması gereken ilk şey fakat malesef bilinç çok önemli.
Her gece rüyalarımıza girmesi çok doğal.Kurumsal güvenlik şirketlerin bilgilerinin dışarı sızıp sızmamasını istemesi ile ilgilidir. Şirket buna önem vermiyor ise o zaman o şirket değil küçük bir kobi’dir bize göre.
Bahsettiğin taşınabilir bellekleri güven içinde kullanmak için buradaki yazımda bahsettiğim programı kurarsanız, taşınabilir bellekler ve harici hard disklerden gelecek tehlikeleri engellemiş ve kontrol altına almış olursunuz.
Saygılar