Bilgi güvenliği her geçen gün daha önemli hale geliyor

Kaspersky Türkiye, Orta Doğu ve Afrika’dan Sorumlu Genel Müdürü Amir Kanaan bize bilgi güvenliğinin önemini ve bu konuda merak edilenleri anlattı.

Genel olarak bilgi güvenliği, özellikle de kurumsal bilgi güvenliği yöneticisinin rolü, işletmeler için giderek daha önemli hale gelmektedir. Bu nedenle giderek daha fazla sayıda kişi, kurumsal bilgi güvenliği yöneticilerinin temel beceriler arasında “risk yönetimi” ve diğer iş becerilerinin yer alması gerektiğini söylüyor. Bilgi güvenliğine bütçe ayırmak için, şirketlerin ortalama potansiyel kayıplar gibi faktörleri, tercihen olay türüne göre ve diğer işletmelerin ortalama güvenlik harcamaları gibi faktörleri dikkate alması gerekir. 2019 yılında yaptığımız anket sonuçlarına göre işletmelerin kayıpları arttı. Geçen yılki anketin sonuçlarıyla karşılaştırıldığında, kurumsal işletmelerin zararları arttı. Daha önce bir olayın onlara ortalama 1.23 milyon dolara mal olduğu haldeyken, şimdi ortalama kayıp 1.41 milyon dolardır. Bu, özellikle veri sızıntıları durumunda geçerlidir. Günümüzde mevcut ve potansiyel müşteriler veya ortaklar, olaylar hakkında bilgi sahibi olacak ve verilerinin potansiyel olarak siber suçluların eline geçmesinden endişe ediyorlar.
Esas sorun çalışanların IT kaynaklarını yanlış kullanmasından kaynaklanıyor.
Ankete katılanların düşüncesine göre, şirketin büyüklüğünden bağımsız olarak esas sorun, çoğunlukla çalışanların IT kaynaklarını yanlış kullanmasından ve şirket cihazlarına kötü amaçlı yazılım bulaşmasından kaynaklanmaktadır. Tabi ki bu genel kategoriler çok çeşitli olayları kapsar ancak örneğin, bir çalışanın bir e-postadaki bir bağlantıya tıklaması ve kötü amaçlı yazılımı yüklemesi, yukarıdaki kategorilerin ikisine de girmektedir.
Aslında hem BT sistemleri hem de güvenlik teknolojileri, işe dair kritik kararlar alma konusunda son derece uzmanlaşmış profesyonelleri serbest bırakacak kadar gelişmiş durumda artık. Elbette bu değişim, takıma güvenmeyi her zamankinden daha da önemli hale getiriyor. Bir yandan, bilgi güvenliği departmanı şefinin takımın uzmanlarına güvenebilmesi gerekiyor. Öte yandan, onlar da kurumsal bilgi güvenliği yöneticisinin yargı ve kararlarına güvenmek zorunda – körü körüne veya kendi görüşlerini dile getirmeden değil, ortak bir amaç ve karşılıklı profesyonel saygı çerçevesinde.

Veri koruması için atılması gereken adımlar
Büyük işletmeler ya da bireyler, veri güvenliği düzeyini önemli ölçüde yükseltmeye yardımcı olabilecek bazı önemler almalıdır. Veri korumasını sağlamak için işletmelerin atması gereken bazı önemli adımlar şunlardır:

• Kuruluşlar, iş verilerinin tehlikeye atılmasına neden olabilecek insan faktörünü asla unutmamalıdır. Bu nedenle şirketlerin personellerine, bilinmeyen gönderenlerden gelen e-postaları açmama veya herhangi bir şüpheli bağlantıyı tıklamama gibi siber güvenlik kurallarını düzenli olarak hatırlatmaları ve pratik siber güvenlik becerileri edinmelerine yardımcı olacak eğitim programları vermeleri büyük önem taşıyor.
• Kurumsal verilerin düzenli olarak yedeklenmesi esastır. Fidye yazılımı bulaşması durumunda, bir BT ekibi kilitli dosyaları hızla geri yükleyebilir. Tüm yazılımları ve cihazları güncel tutmak da şirketlerin yamalanmamış güvenlik açıklarından yararlanmasını önlemeye yardımcı olacaktır.
• Çalışanların cihazlarında depolanan kurumsal veriler şifreleme ile korunmalıdır. Şirketler ayrıca mobil cihaz korumasını da unutmamalı ve çalışanlarından her zaman şifre, dokunma veya yüz kimliği kullanmalarını istemelidir. Uzaktan kilitleme veya kurumsal bir cihazdaki bilgileri silme gibi işlevler, verilerin kaybolması veya çalınması durumunda verileri korur.
• Bulut altyapısının korunması, özellikle uzaktan çalışmanın ışığında çok önemlidir. Kuruluşlar, burada işlenen verileri korumak için sanallaştırma ve genel bulutlar için özel güvenlik çözümlerini benimsemelidir. Diğer bir önemli adım da BT departmanının onayı olmadan, çalışanlar tarafından veri depolama ve aktarım için kullanılan bulut hizmetlerini ortadan kaldırmak ve yönetmek için bulut keşif araçlarını kullanmaktır.
• Bireysel korumada tüm aile ortak önlem almalı Bireysel koruma söz konusu olduğunda, bilgi güvenliğiyle ilgili temel önlemler tüm aile üyeleri tarafından alınmalıdır:
• Kurumsal bilgileri kişisel cihazlara koymak potansiyel güvenlik ve gizlilik sorunlarına yol açabileceğinden, iş amacıyla yalnızca işveren tarafından sağlanan cihazları kullanmanızı öneririz.
• En son yamaları ve ürün güncellemelerini yükleyerek hizmetlerinizi ve uygulamalarınızı güncel tutun. Bu şekilde cihazınız en son tehditlere karşı korunur.
• Verilerinizin bilginiz olmadan üçüncü şahıslar tarafından paylaşılma veya depolanma olasılığını en aza indirmek için kullandığınız uygulamalardaki izin ayarlarını her zaman kontrol ettiğinizden emin olun. Farkında olmadan uygulamalara otomatik olarak onay vermekten kaçınmalı ve her uygulamayı veya hizmeti kullanmaya başlamadan önce her zaman iki kez kontrol edilmesini öneririz.
• Yalnızca güvenilir kaynakları kullanın. Herhangi bir şey indirmeden önce URL biçimini ve şirket adının yazımını iki kez kontrol edin. Sahte web siteleri gerçek gibi görünebilir ancak farkı görmenize yardımcı olacak anormallikler olacaktır. Bu yıl, Kaspersky Endpoint Security Cloud ürünümüze kurumsal cihazlarda kullanılan bulut hizmetlerini ortaya çıkarmaya yardımcı olan bir bulut keşif özelliği eklendi. Bu, şirketlerin iş verilerini işlemede yalnızca güvenilir hizmetlerin kullanılmasını sağlamasına yardımcı oluyor. Üst düzey KOBİ’ler ve işletmeler için geçen yıl Kaspersky EDR Optimum isimli çok önemli bir ürünü piyasaya sürdük. Bu ürün, Kaspersky Sandbox ile birlikte önümüzdeki yıl geliştirmeye devam edeceğimiz Kaspersky Optimum Security’yi oluşturuyorlar. Bu çözümler anında inceleme ve otomatik müdahale seçeneklerinin yanı sıra olaylar hakkında anında görünürlük ve içgörü sağlar. Üst kurumsal segmentte, olgun siber güvenlik seviyesine sahip şirketler için Kaspersky Expert Security çerçevesini oluşturduk. Bu tür kuruluşlar için BT güvenliğinin tüm yönlerini kapsayan Kaspersky Anti-Targeted Attack Platform ürünümüz gibi kapsamlı bir çözüme sahip olmak önemlidir.

Tehdit istihbaratına büyük talep var
Ek olarak, tehdit istihbaratı için büyük talep görüyoruz. Örneğin, Kaspersky Digital Footprint Intelligence hizmeti veriyoruz. Bu hizmet, şirketleri, siber suçluların onlara nasıl başarılı bir şekilde saldırabileceğini anlamalarına, bir saldırgan için hangi bilgilerin mevcut olduğunu belirlemelerine ve altyapılarının zaten tehlikeye girip girmediğini öğrenmelerine yardımcı oluyor. Çevrimiçi içerik barındırma hizmetlerinden, halka açık forumlardan, sosyal ağlar dan, anlık mesajlaşma kanallarından ve gruplarından, kısıtlanmış yeraltı çevrimiçi forumlarından ve topluluklarından otomatikleştirilmiş veri toplama sayesinde, müşterileri tehlikeye atılan çalışan hesapları, veri sızıntıları veya kuruluşlarına karşı tartışılan saldırılar hakkında bilgilendirir. Şirketlerin çalışanlarını güvenlik temelleri konusunda eğitmelerine yardımcı olmak için güvenlik bilinci portföyü sunuyoruz. Kaspersky Automated Security Awareness Platform ve Kaspersky Adaptive Online Training tüm çalışanlar için tasarlandı.
Özel kullanıcı koruması açısından; antivirüs, fidye yazılımı önleme, gizlilik araçları, veri sızıntısı algılama, evde Wi-Fi izleme ve daha fazlasını içeren Kaspersky Security Cloud gibi çok çeşitli ev çözümleri sunuyoruz. Tüketicilerin gizlilik üzerindeki kontrolünü basitleştirmek için Android cihazlarda kullanıcıların şüpheli uygulama izinlerini görüntülemesini sağlayan ve olası riskleri açıklayan bir özelliğe sahip.

“Kaspersky Endpoint Security Cloud ürünümüze kurumsal cihazlarda kullanılan bulut hizmetlerini ortaya çıkarmaya yardımcı olan bir bulut keşif özelliği eklendi. Bu, şirketlerin iş verilerini işlemede yalnızca güvenilir hizmetlerin kullanılmasını sağlamasına yardımcı oluyor.”

Diğer bir özelliği ise kısa URL’leri analiz eden ve arkalarında bir kimlik avı bağlantısı gizlendiğinde uyarı veren Kimlik Avı Korumasıdır. Gelişmiş gizlilik koruması için Kaspersky Security Cloud, kullanıcıların olası veri sızıntılarına karşı hesaplarını kontrol etmelerine olanak tanıyan Hesap Kontrolü özelliğine sahiptir. Bir sızıntı tespit edilirse Kaspersky, etkilenen kişinin uygun önlemleri alabilmesi için herkesin erişimine açık olabilecek veri kategorileri hakkında bilgi sağlar. Çözüm ayrıca mikrofona yetkisiz erişime karşı koruma sağlar, parolaları güvenli bir şekilde saklar ve hatta kullanıcının alışkanlıklarına ve tercihlerine göre uyarlanmış Güvenlik Haberleri sağlar.

Aynı parolaları yeniden kullanmak güvenli değil
Veri güvenliğinden bahsederken bazen kullanıcılar şifrelerin depolanması konusunu atlayabiliyor. Aynı parolaları yeniden kullanmak güvenli değildir ve düzinelerce hesap için yenilerini oluşturmak zor olabilir. Bunun için Kaspersky Password Manager gibi her hesap için benzersiz parolalar oluşturan ve koruyan güvenilir bir güvenlik çözümü sunuyoruz. Ayrıca kullanıcı verilerini koruyan ve ziyaret edilen sitelerin arama sorgularının veya diğer işlemlerin geçmişini temiz tutan Kaspersky VPN Secure Connection gibi güvenilir VPN uygulamasının kullanılmasını öneririz. 2020 yılının Haziran ayında dünya genelinde 5.266 BT iş karar vericisiyle şirketlerindeki BT’nin durumu hakkında anket gerçekleştirdik. Genel BT harcamaları içinde güvenliğe ayrılan oranın arttığı ortaya çıktı. 2019’da KOBİ’lerdeki BT bütçesinin %23’ü güvenliğe ayrılmıştı, bu oran 2020’de ise %26 oldu. İşletmelerde bu oran %26’dan %29’a yükseldi. Ancak parasal değerlerde, BT güvenlik bütçeleri sabit kaldı (KOBİ’ler için 2019’da 267.000 dolar ve 2020’de 275.000 dolar) veya azaldı (2019’da 18.9 milyon dolar olan işletmeler için 2020’de 14.0 milyon dolar). Bu düşüş ise COVID-19 salgınının etkisiyle açıklanabilir. Bununla birlikte ankete katılanların %59’u en büyük BT güvenlik sorununun veri koruması olduğunu belirtti. Bu sorun 2017’den beri birinci sırada yer alıyor. KOBİ’ler ve işletmelerin %71’i ise önümüzdeki üç yıl içinde BT güvenliğine yatırımlarını artırmayı planladığını belirtti.