Uzaktan çalışanlara siber güvenlik eğitimi
Son zamanlarda uzaktan çalışma operasyonuna geçiş arttıkça beraberinde kendi tehlikelerini de getiriyor. Çalışanların sahip olduğu cihazların kullanımı, güvenli olmayan bağlantılar ve uygunsuz cihaz kullanımı, şirketleri bir dizi izinsiz ağ girişine karşı savunmasız bırakır.
ABD Ulusal Standartlar ve Teknoloji Enstitüsü’ne göre, kuruluşlar “kötü niyetli tarafların tele-çalışma istemci cihazlarının kontrolünü ele geçireceğini ve bunlardan hassas verileri kurtarmaya veya kurumsal ağa erişmek için cihazlardan yararlanmaya çalışacağını varsaymalıdır.”
Erişim elde etme yollarından bazıları şunlardır:
- Cihaz kaybı veya hırsızlık
- Sosyal mühendislik taktikleri
- E-dolandırıcılık
- Kötü amaçlı yazılım ve fidye yazılımı
- Sıfır gün istismarları
- Makro ve komut dosyası saldırıları
- Botnet saldırıları
- İşletim sistemi yamalarını, antivirüs güncellemelerini ve diğer kritik yükseltmeleri takip etmeyi ihmal etmek.
Ağa izinsiz giriş riskini en aza indirmek için, dış tehditlere karşı ilk savunma hattınızı güçlendirmeniz gerekir. İşte uzaktaki çalışanlarınızı güvenlik uygulamaları konusunda eğitmenin yolları.
1. Siber güvenlik mesajlarınız üzerinde çalışın
Sağlam bir siber güvenlik eğitiminin ilk adımı, mesajlaşmayı doğru yapmaktır. Çoğu zaman, BT uzmanları sıradan bir çalışanın anlayamadığı bir balonun içinde çalışır. Bu nedenle, mesajın anlaşılabilir, ilişkilendirilebilir ve çeşitlendirilmiş olması gerekir.
Anlaşılabilir – Çalışanların kafasını karıştırabilecek ve mesajınızı bulanıklaştırabilecek teknik jargondan kaçının. Mümkün olduğunda, özellikle organizasyonun büyük bir kısmı kıdemli üyelerden oluşuyorsa, teknolojiden anlamayan meslekten olmayanların erişebileceği basitleştirilmiş terimler kullanın.
İlişkilendirilebilir – Dış tehditler hakkında konuşurken, merkezi ağ hakkında daha az, kişisel bilgisayar güvenliği ve ev ağı izinsiz girişi hakkında daha fazla şey yapın. Bu şekilde, eğer tehlike şirket merkezindeki bazı maddi olmayan sunucular yerine telefonları veya dizüstü bilgisayarları ile çerçevelenmişse, çalışanlar tehlikeyle kişisel olarak ilişki kurabilirler. Bu aynı zamanda güvenlik planında kişisel bir pay sahibi olmalarını sağlar: hiç kimse tüm şirketi etkileyen bir veri ihlalinin nedeni olmak istemez.
Çeşitlendirilmiş – Her şeyi özetleyen basit bir e-posta yeterli olmayabilir. Bireysel çalışanın kaç e-posta aldığını düşünün. İletişim stratejinizi çeşitlendirerek, çalışanların mesajı başka bir duyuru olarak reddetmek yerine okumasını sağlayabilirsiniz.
2. İyi cihaz sahipliğini teşvik edin
İster kurumsal ister kişisel bir cihaz olsun, çalışanların cihazlarının kuruluşun ağına açılan kapı görevi gördüğünü bilmesi gerekir. Bu, cihazlarının bakımını yapmayı ve evlerinin sınırları içinde bile doğru şekilde kullanmayı önemli hale getirir.
- Kişisel ve kurumsal kullanım arasındaki farkı öğretin.
- İzlemeye, kısıtlı kurulumlara ve web filtrelemeye tabi bir iş hesabına sahip olmayı zorunlu hale getirin.
- Eski moda kayıp ve çalınma durumlarına karşı dikkatli olun.
- Güvenlik yamalarının ve işletim sistemi güncellemelerinin takip edildiğinden emin olun.
3. Onlara şüpheli etkinlikleri nasıl tespit edeceklerini öğretin
Aşağıdaki işaretleri izlemeyi öğreterek güvenlik duygusunu geliştirin:
- Aniden ortaya çıkan yeni uygulamalar veya programlar
- Başlatma, normal çalışma veya kapatmadan önce garip açılır pencereler
- Cihaz yavaşlıyor
- Tarayıcıda yeni uzantılar veya sekmeler
- Fare veya klavye kontrolünün kaybı
- Şüpheli işaretleri hemen bildirmeleri için onları teşvik edin. Yanlış alarm olduğu ortaya çıksa bile, cihazlarında üretkenliği engelleyen hataları temizleyerek çalışan için faydalı olabilir.
4. Gizliliği güçlendirin
Evden çalışmak, insanları daha kayıtsız hale getirme eğilimindedir ve bu, güvenliğe kadar uzanır. Pijamalarla çalışsalar bile parolaların ve kimlik doğrulamanın önemini öğrenin. Sırf rahat oldukları için güvenliğin olmaması gerektiği anlamına gelmez.
- Periyodik ve benzersiz şifre değişiklikleri gerçekleştirin.
- Onlara evrensel şifreler kullanmanın tehlikeleri hakkında bilgi verin ve geçmiş veri ihlallerinden gerçek dünyadan örnekler kullanın.
- VPN’lerin, çok faktörlü kimlik doğrulamanın ve diğer güvenli oturum açma işlemlerinin arkasındaki mantığı ve zaman alıcı olmalarına rağmen neden önemli olduklarını tartışın.
- Şirket verilerinin güvenli olmayan şekilde depolanmasıyla mücadele etmek için, hatalı bir flash sürücü veya güvenliği ihlal edilmiş kişisel Dropbox hesabının neden olduğu çalıntı veri olaylarının somut örneklerini sağlayın.
5. Bireysel vakaları inceleyin
Kontrollü bir ağa sahip bir ofis ortamından farklı olarak, çalışanlarınızın ev bilgisayarı güvenliği büyük ölçüde değişebilir. Bazıları evlerindeki Wi-Fi üzerinden bağlanabilirken, diğerleri parktayken mobil veri kullanabilir veya bir kafede halka açık Wi-Fi’den oturum açabilir. Bazılarının artık güvenlik yamaları tarafından desteklenmeyen eski cihazları olabilir ve bu endişeleri gidermek gerekebilir.
Çalışanları şirket tarafından sağlanan cihazlarını kullanmaya teşvik edin. Kendi cihazları ise, olağanüstü açıklar olup olmadığını görmek için cihaz markasını ve model yılını kontrol edin.
Ev ağlarında güvenlik taraması yapın. Örneğin, bazı eski yönlendiriciler WPA-2 yerine daha zayıf WEP protokollerine sahip olabilir veya bazılarının varsayılan parolası bile olabilir!
Dolaşım verileri veya halka açık Wi-Fi noktaları kendi benzersiz tehditlerini beraberinde getirdiğinden, göçebe çalışanlara dikkat edin ve onlar için bir güvenlik politikası belirleyin.
6. Çevrimiçi siber güvenlik kurslarından yararlanın
Çalışanların siber güvenlik eğitimi söz konusu olduğunda çok sayıda çevrimiçi kaynak vardır ve bunların hepsi de paralı değildir. Ücretlikaliteli kurslar veya ücretsiz kurslar bulun.
7. Devam eden bir konuşma yapın
Ortalama olarak, kurumsal çalışanlar iş günlerinin dörtte birini e-postayla ilgili görevlere harcıyor. Bu, siber güvenlikle ilgili tek seferlik bir e-posta mesajını kötü bir seçim haline getirir, çünkü önemini kavrayamayabilir veya bilgileri bir oturuşta özümseyemeyebilirler.
- Düzenli duyurular veya bülten güncellemeleri gibi siber güvenlik eğitimine farklı yaklaşımlar kullanın.
- Her güncelleme için kısa ve basit tutma kuralına uyun. Bu şekilde mesajı toplayabilir ve yoğun günlerinin ortasında bilgileri saklayabilirler.
- Güncel trendleri takip edin. Tek bir mesajla telefonları çökerten yeni bir tür kripto kötü amaçlı yazılım veya istismar varsa, bunun çalışanlara ulaştığından emin olun.
- Mesajı anlamalarını sağlamak için her seferinde dikkat çekici taktikler kullanın. Kuru istatistikleri veya yapılması ve yapılmaması gerekenleri listelemek yerine, renkli infografikleri deneyin. Uzun konular için bir video açıklama deneyin.
- Derslerin işe yarayıp yaramadığını görmek için siber güvenlik testlerini bile deneyebilirsiniz. Örneğin, e-posta güvenliği eğitiminin bir parçası olarak HP, kimlik avı testi mesajları gönderir ve bunu BT’ye bildiren çalışanları tebrik eder.