Tehditlere karşı ilk savunma hattı: İnsan güvenlik duvarı

Dijital güvenlikten bahsederken, birçok kişi uç nokta güvenliği, parola yöneticileri ve şifreleme gibi teknolojik yönleri vurgular. Bunların hepsi şirketinizin güvenliğini sağlamanın önemli parçaları olsa da, ön saflarda duran ve siber tehditlerin hem hedefleri hem de araçları olmaya en yatkın olan personeldir. İnsan güvenlik duvarı kavramı önemlidir. İnsan güvenlik duvarı nedir? ve nasıl geliştirebilirsiniz? 

İnsan güvenlik duvarı nedir?

Dijital dünya gelişmeye devam ettikçe, şirketler giderek daha büyük miktarlarda hassas verilerle çalışıyor. Hassas dijital bilgiler bir şekilde yanlış ellere geçerse, tüm işletme ve ortaklarının veya müşterilerinin güvenliği tehlikeye girebilir. Birçok şirket, ilerici teknolojiler ve geliştirilen çözümlerle kendilerini böyle bir sonuçtan korumaya çalışır, ancak bazı durumlarda önemli bir faktörü hatırlamazlar: insan hatası. Bu tür hatalar, veri ihlallerinin ana nedenidir.

“İnsan güvenlik duvarı” terimi, dijital olarak güvenli davranışlar gösteren, siber tehlikelere duyarlı ve herhangi bir sorunla karşılaştıklarında BT departmanıyla iletişim kurarak şirketlerini siber tehditlerden koruyan bir grup insanı temsil eder.

İşletmeler, bir insan güvenlik duvarı geliştirerek, çalışanları genellikle şirketin sistemlerine açılan bir ağ geçidi olarak kullanan siber suçluların girişimlerine karşı koyabilirler. İnsanların hata yapma ihtimalinin yüksek olduğu öncülünde faaliyet gösteren siber suçlular, çalışanları çeşitli sosyal mühendislik tekniklerinin yanı sıra diğer saldırı biçimleriyle de hedef alıyor.

Bu saldırı tekniklerinden bazıları:

Phishing (Kimlik avı)

Kimlik avı saldırıları, çalışanların güveninden, meşguliyetinden veya zaman zaman dikkatsizliğinden yararlanır. İnsan faktörünü daha da fazla sömürmek için, kimlik avı saldırıları genellikle şirketlerin çalışanlara ikramiye verdiği tatil dönemlerinde kullanılır, aciliyet duygusu veya ödül içerir.

Kimlik avı saldırıları, çalışanları korkutarak bir bağlantıyı hızlı bir şekilde tıklamaya veya parolalarını hemen değiştirmeye teşvik eder.

Siber şantaj

Kimlik avı, insanların çok yoğun veya dikkatsiz olmalarına bel bağlarken siber şantajcılar, verilerini ve/veya yaşam tarzlarını açığa çıkarmakla tehdit ederek insanları ödeme yapmaya zorlamaya çalışırlar. Örneğin, şantajcı, alıcıyı web kamerası aracılığıyla takip ettiklerini ve fidye almadıkları sürece çektikleri görüntüleri paylaşacaklarını iddia edebilir. Bu durumlarda, alıcı panik yapmamalıdır. Çoğu zaman, suçluların tehditleri sahtedir ve istenen tutarı ödemek sorunu çözmez.

Kayıp veya çalıntı cihazlar

Siber suçlular sürekli olarak hem dijital hem de fiziksel olarak düşük güvenlikli iş cihazlarının peşindeler. Dijital dünyada, sisteminizi çeşitli güvenlik çözümleriyle koruyabilirsiniz, ancak gerçek dünyada, suçluların dizüstü bilgisayarları çalmasını veya birinin bilgisayarınızı kurcalamasını engellemek sizin sorumlu davranmanızla mümkün.

Kılık değiştirmiş saldırılar

Siber suçlular, kendilerini başka biri gibi göstererek çalışanları kandırmaya çalışabilirler. Üstelik bu saldırı sadece internette değil, gerçek hayatta da karşımıza çıkar. Örneğin, ofisinizin bulunduğu binaya gelebilir ve giriş kartlarını unutmuş bir çalışan gibi davranabilirler. Çalışanlar dikkatli olmazlarsa, davetsiz misafirin binaya ve hatta şirketin ağına girmesine izin verebilirler. ESET uzmanı Jake Moore’un kendisini TV yapımcısı olarak tanıtarak bir golf kulübünü nasıl “hacklemeyi” başardığının hikayesini okuyun.

Kötü amaçlı bağlantılar

Çeşitli web sitelerinde veya açılır pencerelerde gizlenen kötü amaçlı bağlantılar, çalışanları ilginç bir teklifle ikna etmeye veya uygulamalarını ya da yazılımlarını güncellemeye teşvik etmeye çalışabilir.

Kötü amaçlı belgeler

Saldırganlar kötü amaçlı dosyaları e-posta ekleri olarak gönderirler ve kullanıcılar dosyayı açtıktan sonra bilgisayarlarına truva atı gibi zararlı yazılımlar bulaşır. Virüslü bir dosya, normal bir Excel belgesi gibi görünebilir. Ancak, belge açıldıktan sonra otomatik olarak çalışacak kötü amaçlı bir makro içerebilir.

Koruyucu insan güvenlik duvarı oluşturun

Çalışanları hedef alan tehditlerin listesi uzar gider, bu nedenle işlevsel bir insan güvenlik duvarı geliştirmek, dijital olarak güvenli olmanın önemli bir şartı haline geldi. İşletmenizde bir insan güvenlik duvarını nasıl oluşturabilir ve geliştirebilirsiniz?

1. Çalışanlarınızı eğitin. Farklı tehditleri nasıl tespit edeceklerini ve bunlara güvenli bir şekilde nasıl tepki vereceklerini bilmeleri gerekir. Çalışanlarınızın bilgilerini sürekli güncelleyin. İdeal olarak, ilk günden itibaren başlayın ve güvenlik eğitimini işe alımınızın bir parçası haline getirin. Hatta işe alım sırasında bile bir adayın güvenlik farkındalığının seviyesini göz önünde bulundurun. Güvenlik eğitimini eğlenceli, ilginç ve unutulmaz hale getirmenin etkileşimli yollarını arayın.
2. En iyi yol basit olandır. Anlaşılması kolay ilkeler oluşturun ve bunlara bağlı kalın. Çalışanlarınızı çok fazla bilgi ile aşırı yüklemeyin veya strese sokmayın, ancak her çalışanın ne yapacağını ve dijital olarak nasıl güvende kalacağını bildiğinden emin olun. Temel bilgileri göz ardı etmeyin ve çalışanlarınızın şunları yapması gerektiğini bildirin:
   • Güvenli parolalar kullanın ve her hesap için ayrı bir parolanız olsun
   • asla bilinmeyen bağlantılara veya açılır pencerelere tıklamayın veya bilinmeyen kaynaklardan gelen ekleri açmayın
   • Bir uygulamanın yeni bir güncellemesi olduğunda BT ekibiyle iletişime geçin ve talimatlarını izleyin
   • bir cihazı gözetimsiz bırakırken her zaman oturumu kapatın ve ekranları kilitleyin
   • işle ilgili hassas bilgileri yalnızca özel alanlarda tartışın ve çevrimiçi toplantılarda kulaklık kullanın
   • çok faktörlü kimlik doğrulaması (MFA) kullanın
3. Herkesi dahil edin. Resepsiyonistler de dahil olmak üzere herkes siber suçluların hedefi olabilir. Hiçbir çalışanı dışarıda bırakmayın ve herkesin pozisyonlarında karşılaşabilecekleri olası sorunları bildiğinden emin olun.
4. Çalışanlarınızın yanında olun. Bir tehdidi tespit etmek, insan güvenlik duvarlarının sorumluluğunun sadece bir parçasıdır. Eşit derecede önemli diğer parçası ise bunu bildirmektir. Sistemin çalışmasını istiyorsanız, çalışanlarınız her zaman BT ekibiyle konuşabileceklerini ve sahip olabilecekleri endişeleri tartışabileceklerini hissetmelidir.
5. İlerlemeyi değerlendirin. Kimlik avı simülasyonlarıyla çalışanlarınızın farkındalığını test etmeye kadar gidebilirsiniz, ancak aynı zamanda çalışanların temel ilkelere bağlı kalıp kalmadıklarını ve BT ekibiyle etkili bir şekilde iletişim kurup kurmadıklarını (BT ekibine yeni “gerekli” güncellemeler hakkında bilgi vermek veya olağandışı olayları bildirmek gibi) dikkate almanız da önemlidir.
6. Çalışanlarınızı ödüllendirin. Çalışanlarınızın BT ile iletişim kurduklarını, dijital olarak güvenli çalışma alışkanlıklarını sürdürdüklerini ve dijital güvenlik bilgilerinde daha fazla bilgi edinmeye ve ilerlemeye istekli olduklarını görürseniz, onları ödüllendirin.
7. İnsan güvenlik duvarınızı işlevsel yazılım çözümleriyle birleştirin. Uç nokta koruması, 2FA, VPN ve güvenlik duvarı kullanın ve düzenli güncellemeler gerçekleştirin. Teknik güvenlik önlemlerinin ve insan güvenlik duvarlarının her zaman birlikte hareket etmeleri gerektiğini unutmayın.

Siber güvenlikle ilgili diğer faydalı içerikler için tıklayın.