Video: What would a cyber attack look like in the real world? (Kasım 2024)
Şirketinizi bir siber saldırıdan korumak, uç nokta koruma yazılımı uygulamak kadar kolay değildir. Her çalışanı, her gün işten önce, sırasında ve sonrasında neye bakacağını bilmek için eğitmek isteyeceksiniz. Kimlik avı, fiziksel hırsızlık ve spam gibi şeyler işinize büyük ölçüde zarar verebilir.
Ulusal Siber Güvenlik İttifakı İcra Direktörü Michael Kaiser ile, şirketlerin çalışanlara potansiyel siber saldırılar konusunda tetikte olmaları için bilgi ve araçlar sağlamaları gerektiği konusunda konuştum. Ekibinizi eğitdikten sonra, ağ ve cihaz güvenliğini korumaya yardımcı olan Bitdefender, Kaspersky Lab ve Symantec gibi şirketlerden yazılım sağlamak size veya BT departmanınıza bağlıdır.
1. Kimlik Avı ve Spam Eğitimi Sunun
Business Email Compromise (BEC), bilinmeyen alıcılardan bilgi alan dolandırıcılık mesajları olan hedef şirketlere saldırır. BEC saldırısının mükemmel bir örneği, şirketin CEO'su gibi davranan birinin şirketin insan kaynakları (İK) departmanına gönderdiği sahte e-postadır. Bir İK yöneticisi istekli bir şekilde kişisel çalışan verilerini dolandırıcılara gönderir.
Çalışanlarınızı bu e-postaları veya başka bir spam saldırısını aramak için eğitebilir, böylece şüpheli görünen bir şey alırsa BT'yi uyarabilirler. Ayrıca, çalışanlarınızı yanlış e-posta türlerine tıklamaları için kandırmaya çalışan kimlik avı simülatörü eğitim araçları satın alabilirsiniz. Saldırı simülasyonu e-postalarına tıklayan çalışanların açıkça ek eğitim ve eğitime ihtiyaçları olacak.
2. Kabul Edilebilir Kullanım Politikası Oluşturun
Çalışanlarınız, işteyken şirket cihazlarını nasıl kullandıkları konusunda ücretsiz olarak hüküm sürmemeliler. Örneğin, hangi web sitelerine gitmelerine izin verildiğini öğretin. Onlara hangi dosyaları indirmelerine izin verildiğini öğretin. Hangi kablosuz ağların şirket tarafından verildiğini ve kullanım için güvenli olduğunu onlara bildirin.
Bir politikanızı uyguladıktan sonra, politikayı ekibinizle periyodik olarak yeniden oluşturmak önemlidir. Kabul edilebilir protokolü sürekli olarak vurgulamıyorsanız, çalışanlarınız unutabilir veya şikayet edebilir.
3. Güçlü Parola Eğitimi sağlayın
Kaiser, "Yeni bilgelik, şifreleri çok sık değiştirmemek. Çünkü her değiştirildiklerinde, yeni şifreler zayıflıyor, " diyor. Bu nedenle, makul bir parola değiştirme sıklığı (şirketten şirkete değişecektir) bulmak için BT departmanınızla konuşun ve bu sıklığı hemen kullanmaya başlayın.
Ayrıca çalışanlarınızı güçlü şifreler oluşturma konusunda eğitmek isteyeceksiniz. 7'den fazla karakter, büyük harf, sayı ve sembol içeren herhangi bir şey sıradan saldırıları önleyecek kadar güçlü olmalıdır. Ancak, çalışanlarınıza yeni bir parola oluşturmaları istendiğinde bu karakterlerden birini değiştirmeleri konusunda tavsiyede bulunmak istersiniz; bunun yerine, sıfırdan başlayarak yeni bir harf, sayı ve sembol dizisi ile başlamalıdırlar.
4. Çalışanlara Sorunları Rapor Etmeyi Öğretin
Çalışanınız, sahip olmaması gereken bir şeyi tıklamış veya indirmiş olsa bile, tüm tehditlerin bildirilmesi önemlidir. Çalışanlarınızın, hasarları tersine çevirmek veya izinsiz girişleri önlemek amacıyla ihlalleri bildirme konusunda güvende hissetmesini sağlarsanız, ekibiniz daha fazla öne çıkacaktır.
Kaiser, "İnsanların bir hata yapmış olsalar bile sorunları öne çıkarabilecekleri suçlamayan bir atmosfer yaratmalısınız." Dedi. “İşletmenin, kendisinden daha olası bir sorun olduğunu bilmesi daha önemli.”
5. Uygun Cihaz Yönetimi kullanın
Mobil Cihaz Yönetimi (MDM) yazılımı, yazılımın manuel olarak güncellenmesi gerektiğinde, bir çalışan haydutsa veya kaybolmuş veya çalınan bir cihazı uzaktan silmeniz gerekirse size yardımcı olacaktır. Ancak, şirketiniz tüm cihaz filosunu korumak için çok küçük veya teknolojik olarak vasıfsızsa, çalışanlarınızı hem fiziksel hem de dijital olarak cihazlarına uygun şekilde bakmaları için eğitmek isteyeceksiniz.
Çalışanlarınızın yeni güncellemeler hazır olduğunda tüm yazılımları güncellemeleri gerektiğini bildiğinden emin olun. Bu güncellemeler genellikle güvenlik açığı düzeltmeleri içerir. Güncelleme olmadan, güvenlik açığı var olmaya devam edecek, böylece bilgisayar korsanlarının aygıta ve muhtemelen tüm ağınıza erişmesine olanak sağlayacak.
Kaiser, "Her zaman aygıtların fiziksel güvenliğinden haberdar olduklarından emin olun" dedi. "Cihazı gözetimsiz bırakmadıklarından ve cihazın araçta düzgün bir şekilde saklandığından ve görünür olmadığından emin olun." Kaiser ayrıca çalışanlarınızı cihazlarınızın fiziksel sınırlamalarını anlama konusunda eğitmenin önemli olduğunu söyledi. Su geçirmez mi? Toz geçirmezler mi? Cihaz için güvenli yüksek ve düşük sıcaklık eşikleri nelerdir?
Ek olarak, şirket verilerini barındıran her cihazın şifreli olması veya biyometrik okuma yoluyla açılması gerekir. Bu, kişisel cihazlarda bile herkesin uyması gereken basit bir kuraldır, ancak daha saf veya inatçı çalışanlarınız için yinelemeye değer.
6. Uzaktan Erişim ve Wi-Fi Eğitimi Verin
Güvenlik konusunda endişeliyseniz (ki kesinlikle olması gerekir), o zaman derhal bir Sanal Özel Ağ (VPN) kurun. Herhangi bir çalışan uzaktan çalışıyorsa, tüm etkinlikler için bu VPN'i her zaman kullanıyor olmalıdır.
Ayrıca, çalışanların ofisten uzaktayken Wi-Fi'yi nasıl kullandıkları hakkında politikalar ve prosedürler oluşturmalısınız. Eriştikleri Wi-Fi ağları parola korumalı ve güçlü güvenlik ayarlarına sahip olmalıdır. Çalışanlarınız akıllı telefonlarda ve tabletlerde olduğunda, bilinmeyen bir Wi-Fi ağı yerine her zaman cihazın hücresel veri planını kullanmayı seçmelidirler.
