arka planda şehir siluetinin yer aldığı, devre kartlı ve ağ hatlı kilit resmi ile arkada bir el

Siber güvenlik ve gizlilikten kim sorumludur?

#KingstonCognate, Bill Mew’i sunar

Bill Mew’in Resmi

Bill Mew, önemli bir kanaat önderi, dijital etik eylemcisi ve girişimcidir. Bill önemli bir kanaat lideri olarak, veri gizliliği açısından dünyanın en etkili otoritesi olarak kabul edildiği ‘anlamlı koruma’ ile siber güvenlik ve dijital dönüşümden devlet teknolojilerine ve akıllı şehirlere kadar her alanda en büyük otoritelerden biri olarak kabul edildiği ‘ekonomik ve sosyal değerin maksimizasyonu’ arasında dengenin sağlanmasına odaklanmaktadır. Aynı zamanda bu konular üzerinde bir uzman olarak, Birleşik Krallık’taki tüm diğer teknoloji uzmanlarından daha fazla yayın süresiyle her hafta TV/Radyo’da (BBC, RT, vb.) yayına çıkmaktadır.

Bill, CrisisTeam.co.uk’in kurucusu ve CEO’sudur. Burada müşterilerinin karşı karşıya kaldığı siber saldırıların etkilerinin en aza indirilmesine yardımcı olmak için olaylara müdahale, siber yasalar, itibar yönetimi ve sosyal etkiler konusunda uzmanlardan oluşan elit bir ekiple çalışmaktadır.

HEPİMİZ, toplu ve bireysel olarak sorumluyuz

Birçok kuruluşta siber güvenliğin sadece CISO’nun konusu ya da gizliliğin yalnızca uyum departmanın sorumluluğunda olduğu ile ilgili yaygın bir tutum bulunuyor. Hem siber güvenlik hem de gizlilik için daha toplu bir sorumluluk olmadığı sürece verilerimiz güvende olmayacak ve bir şeyler ters gittiğinde hem toplu hem de bireysel olarak yükümlü olacağız.

Bu tür kuruluşlarda üst düzey yönetimler hala siber güvenliği ve veri gizliliğini yeterince ciddiye almıyor. Hepsi genellikle bunların CISO ya da DPO’ya (Veri Koruma Sorumlusu - Data Protection Officer) atanacak ve unutulacak görevler olduğuna inanıyorlar. Üst düzey yönetimler işleri bu şekilde görmeye devam ederse, bu tür bir tutum, kuruluşun alt kademelerine inmemesi ve her seviyeden personelin de bu konuları ciddiye almaması şaşırtıcı olmayacaktır.

Kuruluşların üzerinde düşünmesi gereken 3 konu:

diğerlerinin düşmesini önleyecek şekilde domino taşlarından birini çeken bir el

1. Satın alma yöneticiniz şifresiz cihazları tercih ederse

Şifrelenmemiş USB bellekler, SSD’ler ya da IOT (Nesnelerin İnterneti) cihazları satın alma kararı, güvenli olup olmadığı ya da donanım şifrelemesi özelliğine sahip olup olmadığı dikkate alınmadan sadece fiyata göre verilirse, bu şifrelenmemiş cihazlar siber güvenlik açığı oluşturmaktadır. Bu durum tüm kuruluş açısından veri ihlali riskine neden olmaktadır.

2. Personel parolaları tekrar kullanırsa ya da güvenlik önlemlerini atlatmak için kısa yolları tercih ederse

Personel temel siber güvenlik kurallarına uymazsa ve parolalar ve e-posta ekleri konusunda dikkatsiz davranırsa tüm kuruluşun güvenliğini riske atar. Siber suçlular, aktif biçimde zayıf ya da bilinen parolaları hedef alırlar ve kurbanlarının güvenliğini bozmak için kimlik avcılığı taktikleri kullanırlar. Bunlar siber olaylar için en sık karşılaşılan saldırı yöntemleridir.

3. Bir CMO, özel verilerin kullanımıyla ilgili yanlış yaparsa

GDPR, kişisel verilerin sadece belirtilen amaç için verilen izinle alınabileceğini belirtmektedir. Verileri yasadışı toplarsanız ya da paylaşırsanız, herkesi büyük cezalarla ve davalarla karşı karşıya kalma riskine atarsanız.

ekip üyelerinin ellerinin bir araya geldiği yakın çekim görüntü

Bunlar meydana geldiğinde kim sorumludur?

Kuruluşların YANI SIRA biz!

Hepimizin siber güvenliği ve veri gizliliğini ciddiye almamız gerekiyor

Kuruluşunuzun şifrelenmemiş USB bellekler, SSD’ler ya da güvenli olmayan IoT (Nesnelerin İnterneti) cihazları kullandığını fark ederseniz bunu haber vermeniz gerekir. İş arkadaşlarınızın siber hijyen kurallarını ihlal ettiğini görürseniz bunu haber vermeniz gerekir. Pazarlama bölümünden bir çalışanın müşteri verilerini uygun olmayan şekilde kullandığını fark ederseniz bunu haber vermeniz gerekir.

Kültür değişimi önemlidir

Tutumları değiştirmemiz ve kuruluşun her aşamasından çalışanların siber güvenliği ve veri gizliliğini ciddiye almasını sağlamamız gerekiyorsa, kültürel düşünce yapımızı değiştirmemiz gerekir.

Kuruluşların bunu yapabileceği bir çok teşvik edici faktör bulunmaktadır. Müşterilerin verilerine özen göstereceğini düşündüğü kuruluşlarla iş yapmaktan memnun olduklarını, bunu yapmayacağını düşündüğü işletmelerle iş yapmaktan çekindiğini gösteren bariz kanıtlar bulunmaktadır. Müşterinin güvenini korumak ve bu güveni azaltacak herhangi bir siber güvenlik olayını önlemek, hepimizin en çok dikkat etmesi gereken konuların başında gelmektedir.

FINE (Ceza) yazan ahşap bloklar ve bir tokmağın yakın çekimi

Ayrıca, kuruluşların veri korumasını ciddiye almasını sağlamak için birçok caydırıcı durum bulunmaktadır. Öncelikle GDPR, HER olay için maksimum 20 milyon € ya da yıllık global cironun %4'ü (hangisi büyükse) ceza verilmesini gerektirmektedir. Bir olayın düzeltilmesinin maliyeti milyonlarca avroya ulaşabilir ve bir fidye saldırısı durumunda siber suçlular bu maliyetin üstüne milyonlarca avro fidye isteyebilir. Verilerinin gizliliği ifşa olan kişilerin açacağı davalarla da karşı karşıya kalabilirsiniz.

Bir kuruluş için bu kadar ceza yetmediyse bireylere de cezalar verilmesi de söz konusudur. ABD’de yakın zamanda yaşanan bir davada, kurul üyeleri ve CISO’nun bireysel olarak sanık olarak kabul edilmesiyle siber olay vakaları açısından yeni bir emsal ortaya çıktı. Analiz firması Gartner’in hazırladığı bir raporda, yakın zamanda siber saldırılardan CEO’ların kişisel olarak yükümlü olabileceği belirtilmektedir.

Vatandaşlar ve müşteriler olarak kuruluşların verilerimizi korumasını isteriz. Başkalarının verilerinin korunmasından sorumlu olduğumuzda, standartların aynı düzeyde yüksek olması gerekmektedir. Hep toplu hem de bireysel olarak yükümlü olabileceğimizi unutmamalıyız. Aynı zamanda yapılması gerektiği için veri korumasına odaklanmak konusunda da benzer şekilde motive olmalıyız.

#KingstonIsWithYou

Bir Uzmana Sorun

Kingston, şu anda kullandığınız ya da kullanmayı planladığınız yapılandırmanın kuruluşunuz için doğru olup olmadığıyla ilgili bağımsız fikirler verebilir.

Kendinden Şifrelemeli SSD’ler

SSD’lerin sizin kendi saklama ortamınıza ne gibi avantajlar getireceği ve hangi SSD’nin, mobil iş gücünüzün dışarıdayken güvenli biçimde çalışmalarını sağlamak için uygun olduğu ile ilgili önerilerde bulunuyoruz.

Bir SSD Uzmanına Sorun

Şifrelenmiş USB Bellekler

Şifrelenmiş USB belleklerin kullanılmasının, kuruluşunuza ne gibi avantajlar sağlayacağı ve hangi belleğin sizin iş gereksinimlerinize en uygun olduğu ile ilgili önerilerde bulunuyoruz.

Bir USB Uzmanına Sorun

İlgili Yazılar