MakalelerSiber GüvenlikÜst Düzey Yöneticiler İçin Siber Güvenlik

Artık üst düzey yöneticiler hackerların hedefi oluyorlar. Özellikle yoğun seyahatler CxO seviyesi yöneticileri oltalama ataklarına, şirketlere dair veri hırsızlığına ve doğrudan kişisel bilgilerine saldırmaya hedef haline getiriyor.
8 Kasım 201915

Artık üst düzey yöneticiler hackerların hedefi oluyorlar. Özellikle yoğun seyahatler CxO seviyesi yöneticileri oltalama ataklarına, şirketlere dair veri hırsızlığına ve doğrudan kişisel bilgilerine saldırmaya hedef haline getiriyor.

Sahip oldukları bilgiler dolayısıyla, neredeyse tüm veri kaynaklarına erişim hakları dolayısıyla günümüzde üst düzey yöneticiler bağımsız hacker’ların ve siber suç gruplarının favori hedefleri haline gelmiş durumda.  Bundan dolayı şirketlerin artık gerek üst düzey yöneticiler için gerek orta kademe yöneticiler için özelleştirilmiş bilgi güvenliği farkındalığı programları oluşturmaları gerekiyor. Özellikle kullandıkları IT kaynaklarında temel bilgi güvenliği kurallarına tam uyum ve fazladan koruma tedbirleri artık zorunlu hale gelmiş durumda. Siber riskli bölgelere yapılan seyahatler için ise fazladan birkaç önlem kesinlikle çok daha iyi olacaktır.

Elbette burada siber güvenlik yöneticilerinin karşılaştıkları en büyük zorluk ise normal kullanıcılara uygulanan güvenlik politikalarının zaman zaman üst yönetime uygulanmasında karşılaşılan zorluklar. Bunun yanına bir de üst düzey yönetici asistanlarını siber risklere karşı korumak gerektiğinde durum iyice karmaşıklaşıyor.

Peki nereden başlamalıyız?

Çok yoğun ajandayla çalışan yöneticilerin büyük çoğunluğu bu yoğunluğun içinde siber saldırılar için bir sonraki hedef olacaklarını düşünmüyor. Fakat artık bu üstünde düşünülmesi gereken bir durum olarak karşımızda. Buradaki ilk adımımız yöneticilerin de artık hedef olduklarını/olabileceklerini içselleştirmelerini sağlamak olmalı. Dijital dünyada arkalarında bıraktıkları ayak izlerini anlamalarını ve bu konunun bir risk faktörü taşıdığını mutlaka periyodik olarak hatırlatmamız gerekmekte. Sosyal medyanın yöneticiler tarafından etkin kullanımı aynı zamanda önemli bir güvenlik açığı oluşturabileceği çok net anlatılmalı.

Bununla birlikte özellikle IT güvenliğine dair tedbirleri mutlaka uygulamak artık bir zorunluluk fakat yapılan araştırmalar özellikle iyi eğitimli üst düzey yöneticileri dijital önlemlerle sınırlamanın mümkün olmadığını gösteriyor. Buna karşılık olarak ise her tür kişiyle özellikle dijital temasın dikkat gerektiğini anlatmak gibi bir görev doğuyor.

Tehditleri Ciddiye Alın!

Oltalama saldırıları, fidye saldırıları artık büyük teknolojik imkanlar gerektirmeden kolayca yapılabilen saldırılar. Bu sayede yöneticilerin sahip olduğu hassas/gizli bilgileri çalmak oldukça kolaylaşıyor. Özellikle yurtdışında yapılan araştırmalar bu konuların yönetim kurulların gündemine yeterince girmediğini göstermekte. Phishing saldırıları artık yeni bir formla “Whaling Attack/Whale Phishing” ismiyle özellikle CxO seviyesi yöneticileri hedefleyerek yapılmakta. Bu tip saldırıların en basit formunda kendilerini başka bir kurumun üst düzeyi gibi gösteren siber suçlular hedef kişiye belki de sosyal medyadaki bir paylaşımdan ulaşıp, o kanaldan iletişim kurarak belki bir sahte web sitesi, belki sahte bir e-mail ile sızmaya çalışmakta ve bu sayede belki bir yetkili hesap hırsızlığı, belki gizli bir finansal veriyi sızdırmaya çalışmaktalar. Bu tip tehditlere karşı en önemli silahımız ise “eğitim”. Bu tip hedef olabilecek seviyenin gelen maillere “makul şüphe” ile bakmalarını sağlamamız gerekiyor.

Seyahatlerde ekstra koruma

Özellikle yurtdışı seyahatler yöneticileri ekstradan bir hedef konumuna getirmekte. Özellikle yurtdışında bazı kurumlar üst düzey yöneticileri için bu tip seyahatlerde offline içerikle gitmelerini sağlamaya çalışıyorlar. Gerçekten online dataya ihtiyaç duyan durumlar için şifreli vpn bağlantıları, kriptolanmış usb bellekler, uzak masaüstü bağlantısı gibi seçenekler masada yer alıyor.

Halka açık, ücretsiz WiFi noktalarını kullanmamak, telefonları hotspot yaparak erişim sağlamak gibi ikincil tedbirlerde üst düzey yöneticilere önerilmekte.

Tekrarlayan Farkındalık Eğitimleri

Üst düzey yöneticilerin de aynı diğer kademelerdeki çalışanlar gibi siber güvenlik alanında eğitilmeye ihtiyaçları olduğunu unutmayın. Diğer çalışanlarla aynı şekilde uygulama yamalama, mobil cihazların güncellenmesi, MDM uygulamalarına neden ihtiyaç olduğunu anlatmalı ve maksimum yönetim desteğini her aşamada siber güvenlik için sağlamalıyız.  Etkili bir siber güvenlik politikası oluştumak için bilgiye erişimin nasıl sağlandığını anlatmalı ve günlük döngülerinde, hangi lokasyonda olursa olsun bu önlemleri içselleştirmeleri için periyodik eğitimlerle desteklemeliyiz.

Yöneticinin Dilinden Anlayın

Firmanın karşı karşıya kaldığı siber riskleri, güncel teknolojik trendleri yöneticilerin dilinden anlatmaya çalışmamız gerekiyor. Kurumun mevcut siber güvenlik olgunluk seviyesini, hangi aşamaları aşmamız gerektiğini yönetime düzenli raporlamamız artık bir ihtiyaç. Günümüzde yönetim kurulları ve CxO seviyesi yöneticilere siber güvenlik anlamında açık ve etkin bir iletişim siber güvenliğimizi sağlamak adına yaşamsal önem taşımakta.

Son olarak

Etkin bir güvenlik operasyon merkezi kurmak ve işletmek bu satırlara kadar okuduğunuz tüm bilgilerin doğru olarak uygulanabilmesinde önemli bir nokta. Yazılacak olan senaryolar ile gerek üst düzey yönetici asistanları, gerek yönetim katlarındaki hedef noktaları koruyabilmek adına çok önemli. Turkcell olarak sağladığımız Tehdit İstihbaratı datası ile ağda oluşan trafiği korele ederek olası şüpheli trafiği çok daha erken fark ederek önlem almanızı mümkün kılıyoruz. 7×24 çalışan Güvenlik Operasyon Merkezimiz ile yetişmiş uzman güvenlik analistlerimizle oluşan alarmları analiz ediyoruz, gerçekten bir vaka şüphesi olanları sizlerle birlikte inceleyip sürekli olarak risklere karşı korunmanızı sağlıyoruz.