btbilgi

Dışarıdan gelen tehditler her zaman bir kuruluşun siber güvenlik sorunları arasında birinci sırada yer almakta. Buna karşın içeriden gelen tehditler de şirketlerin büyük kayıplara uğramasına sebep olabilmekte. 2019’da yapılan bir araştırmaya bakılırsa, üç şirketten ikisi içeriden saldırıya uğrayıp veri ihlalleri yaşıyor. İşletmelerin kurum dışı olduğu kadar, kurum içi tehditler konusunda da hazırlıklı olması önemli bulunuyor.

Egress tarafından gerçekleştirilen BT güvenliği araştırmasında, işletmelerdeki siber güvenlik yöneticilerinin ilk üç endişesi sorulmuş. Buna göre yöneticilerin yaklaşık yarısı (yüzde 46) çalışanların yanlışlıkla veya farketmeden ihlallere yol açmasından, yarıdan fazlası (yüzde 55) şirket dışı saldırılardan ve yine yarıdan fazlası (yüzde 53) kötü niyetli yazılımların etkilerinden korkmakta.

Konuyu ele alan Siberasist firması, bilgi güvenliği konusunda yeteri kadar eğitilmemiş çalışanların ya kendilerinin ciddi hatalar yapmasının veya hackerların dahili veri tabanlarına erişimini kolaylaştırmasının mümkün olduğunu aktarıyor. Başka bir araştımaya göre ise kuruluşların yüzde 65’i son 12 ayda bir veya daha fazla kurum içi saldırı vakası raporlamış durumda. Tek bir olayın neden olduğu maddi zararların giderilmesinin 100 bin ile 500 bin dolar arasında bir rakama mal olması söz konusu. Kurum içi tehditlerin neden olduğu kişisel veri ihlaline karşı iki önemli yaklaşımın uygulanması önerilmekte:

Bölümler arası sınırlı veri akışı

Verilerin korunması adına atılması gereken önemli adımlardan biri, güvenliğe yönelik idari prosedürlerin uygulanarak departmanlar arası veri akışının gerçekleşmemesi. KVKK uyumluluğu sürecinde analiz edilen şirketlerdeki en önemli genel hatalardan birinin, elde edilen kişisel verilerin şirket içerisinde belirli kurallara göre koruyamama olduğu tespit edilmiş. Müşterilerin açık rızası alınan ve belirli bir departmanın gözetiminde olması gereken kişisel verilerin alakasız bir departmana aktarılması, büyük bir kriz ile sonuçlanabilmekte.

Kurumsal yetki matrisi oluşturma

KVKK’da mevcut ilkelere aykırılık riskini daha da artıran departmanlar arası veri akışına karşı şirketlerde veri segmentasyonu yapılması gerektiği hatırlatılmış. Şirketlerde paylaşılan her türlü dosya ve veri tabanı için kimin erişim yetkisi olduğu, kimin ne zaman ne şekilde hangi cihazdan erişim sağladığı ya da erişim yetkisinin olduğunu bilmenin ve belirlemenin gerekliliği ifade edilmiş. Oluşturulacak yetki matrisinin işlevselliği ve verilen yetkilerin kötüye kullanılıp kullanılmadığı, tutulan erişim log kayıtları ile ölçülebilmekte.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.