STK’lar İçin Siber Güvenliğin 8 İlkesi
Dijital dönüşüm, sivil toplum kuruluşları (STK’lar) dahil tüm departmanlara ulaştı. Bu kuruluşlar, programları sunma ve ölçeklendirme, ihtiyaç duyan kitlelere hızlı bir şekilde bağlanma ve yanıt verme becerilerini geliştirmek için teknolojiye daha bağımlı hale geldi.
Bu dönüşüm STK’lar için pek çok fayda sağlarken, onları siber suçlular için de açık bir hedef haline getiriyor. 2023 Nonprofit Tech for Good Raporuna göre, dünya çapındaki sivil toplum kuruluşlarının %27’si siber saldırılara maruz kalıyor. Küresel bir entegre siber güvenlik başkanı olan WatchGuard, STK’lar için siber güvenliğin 8 temel öğesini paylaşıyor.
Savunmasız bireyler hakkında hassas bilgiler ve finansal veriler gibi yüksek hacimli içeriğe sahip STK’lar, saldırıya açık oldukları için siber saldırganlar tarafından en çok hedef alınan üçüncü segmenttir. Kuruluşların karşı karşıya olduğu riskler arttıkça, dünya genelindeki kâr amacı gütmeyen kuruluşların %27’si siber saldırılara maruz kalıyor. Entegre siber güvenlik alanında dünya lideri olan WatchGuard, STK’lar için siber güvenliğin 8 temel öğesini paylaşıyor.
1. Güvenlik politikaları: STK’ların neyi nasıl koruyacaklarını bilmeleri için siber güvenlik politikası belirlemeleri gerekiyor. Daha sonra, kuruluşun tüm süreçlerini, sistemlerini ve çalışanlarını içeren bir dizi önlem ve prosedür geliştirebilirler. Siber güvenliğin paylaşılan bir sorumluluk olduğunu hatırlamakta fayda var. Bu nedenle siber güvenliği kurum kültürünün bir parçası haline getirmek için çalışanlara ve BT çalışanlarına yönelik düzenli farkındalık programları yürütmek bu politikaların bir modülü olmalıdır.
2. Yazılım güncellemeleri: Güçlü siber güvenlik için yazılım güncellemeleri paha biçilmezdir. Sistemdeki açıklardan kaynaklanan güvenlik ihlallerini önlemek için hem işletim sisteminin hem de uygulamaların güncel olması ve en son yamalar ile korunması gerekmektedir.
3. Güçlü parolalar: Parolalar, kullanıcıların kimlik bilgilerini koruyan kuruluşlar için birincil güvenlik engeli görevi görür. Çalışanlar parolalarının güçlü ve karmaşık olduğundan emin olmalı, sistematik olarak değiştirmeli ve tekrarlamaktan kaçınmalıdır. Çalışan ve STK üye kimlik bilgileri için ek bir güvenlik katmanı olarak MFA’nın (çok faktörlü kimlik doğrulama) uygulanması gerekir.
4. Yedekler: Düzenli yedeklemeler, bir güvenlik ihlali durumunda verilerin kurtarılabilmesini sağlayabilir. Etkili depolama için, STK’ların kritik bilgilerin birkaç şifrelenmiş kopyasını depolamak ve gerektiğinde geri yüklemeyi kolaylaştırmak için uygun politikalar ve teknik önlemler oluşturması gerekir.
5. Eğitim ve farkındalık: Etkili insan riski yönetimi, tüm çalışanın siber güvenlik tehditleri konusunda eğitilmesini içerir. Bu şekilde şirketler, kimlik avı, sosyal mühendislik ve diğer tehditler gibi saldırıları tanıyabilir ve önleyebilir.
6. Sınırlı erişim: Bir tehdit aktörü bir STK çalışanının kimlik bilgilerini ele geçirmeyi başarırsa, ağ içinde yanal hareketlerden kaçınmak için izinleri ve sistemlere erişimi yasal erişim ihtiyacı olan kullanıcılara kısıtlamak en iyisidir. Birçok yazılım sistemi, yöneticilerin yetki düzeylerini her çalışanın işlevsel rollerine göre uyarlamasına olanak tanır.
7. Risk değerlendirmesi: Sistemlerinizdeki ve süreçlerinizdeki güvenlik açıklarını belirlemek ve ele almak için düzenli siber risk değerlendirmelerine ihtiyaç vardır. Bu da zafiyetlerinizin farkında olarak siber saldırıları azaltmanızı sağlar.
8. İzleme ve izinsiz giriş tespiti: STK’lar, şüpheli veya kötü niyetli faaliyetleri tespit etmek ve bunlara yanıt vermek için sistemlerini proaktif olarak izlemelidir. Hassas verileri, sistemleri ve çalışanları korumak için güvenlik duvarları, izinsiz giriş tespit ve önleme sistemleri gibi çözümler kullanmaları gerekir.
WatchGuard’ın ateş kutusu Güvenlik duvarı gibi bir güvenlik duvarı kullanmak, harici, sağlam ağ üzerindeki trafiği kontrol etmeyi mümkün kılar. Kötü niyetli yazılımların neredeyse üçte ikisinin şifreli trafikte gizlendiği düşünülürse bu çok değerli bir iş.
Kaynak: (BYZHA) Beyaz Haber Ajansı
