Bilgi Güvenliği Efsaneleri

2020 yılı sona eriyor. Bu yıl da tüm bilgi güvenliği uzmanları için çok yoğun geçti. Müşterilerimizle yaptığımız görüşmelerde ve piyasaya baktığımızda genel olarak bilgi güvenliği ile ilgili popüler yanılgılardan bazılarını sizler için derledik.

Efsane 1. Küçük şirketlerin korkacak hiçbir şeyi yok

Bu belki de ana efsanelerden biridir. Çoğu “küçük” kuruluş, saldırganların ilgisini çekmediğine inanıyor. Bununla birlikte, birçok kişi saldırıların büyük çoğunluğunun otomatik olduğunu unutuyor. Kimse şirketinize büyüklüğüne küçüklüğüne bakmıyor. Botlar, İnternette bulunan tüm sitelerin güvenlik açıklarını otomatik olarak arar ve ardından o açığı kullanmaya çalışır. Herkese açık bir ağa bağlıysanız, kötü amaçlı yazılımlara yakalanma şansınız herhangi bir büyük şirket ile tamamen aynıdır. Gerçekten hedeflenen saldırıların yüzdesi son derece küçüktür. Bir saldırı sonucunda kaybedecek çok şeyinizin olmadığını düşünüyorsanız, o zaman da gerçekten yanılıyorsunuz. Dosya sunucuları, bankacılık portallarından girişler ve şifreler, çalışanların veya ortaklarınızın kişisel verileri, itibar riskleri. Unutmayın bilgi güvenliğinde her zaman kaybedecek ciddi bir şeyler vardır. Büyük ve küçük şirketler arasındaki fark, yalnızca ikincisinin bir saldırı sonucu önemli kayıplara uğrayabilmesi, ancak ayakta kalabilmesidir. Ama unutulmamalı ki küçük şirketler bazen ciddi maddi hasarın ardından kapanmak zorunda kalıyor.

Efsane 2. % 100 güvenlik

Unutmayın, hiç kimse ve hiçbir sistem size % 100 güvenliği garanti edemez. Birisi size yüzde yüz koruma sözü verirse, onun ya yetersiz olduğunu ya da sadece yalan söylediğini bilmelisiniz. Örnekler ile de görüldüğü gibi, kamusal ağdan izole edilmiş sistemler bile saldırılara açıktır. Her zaman bir risk vardır. Korumaya yatırım yaparak, bunu yalnızca kabul edilebilir değerlere düşürebilirsiniz. Koruma araçları, saldırının olası kayıplarından daha değerli olmamalıdır. Mevcut veya gelecekteki sorunların hesabını yapmak istiyorsanız, sızma testi  veya redteaming gibi bir risk değerlendirmesi ile başlamalısınız.

Efsane 3. Güvenlik, BT departmanının sorumluluğundadır

Aslında bu çoğu zaman bir efsane değil, gerekli bir ölçüdür.  Bilgi güvenliği için bir departman kurmak ve bu görevleri BT departmanına kaydırmak anlaşılabilirdir. Ancak bir hacker saldırısı durumunda uzmanlarınızı suçlamamalısınız. Bilgi güvenliği ve özellikle sağlanması, karmaşık ve ÇOK hacimli bir konudur. Bir bilgi güvenliği uzmanının “orta” düzeye bile ulaşması için genellikle birkaç yıllık sürekli çalışma ve eğitim gerekir. Bu zamanı onları başka işle birleştirerek yapamazsınız. BT uzmanlarının işleri zaten başından aşkındır.  Özel bir bilgi güvenliği uzmanı işe almak veya almamak yine bir risk meselesidir. Ancak bu durumda, riskler hesaplanırken, korunma araçlarına harcanan ve beklendiği gibi kullanılmayan paranın olası zarar maliyetine eklenmesi gerekir. 2018 Gartner raporuna göre, mevcut savunmalar uygun şekilde yapılandırılmış olsaydı tüm başarılı saldırıların% 95’i engellenebilirdi. BT uzmanınız her şeyi doğru şekilde yapılandırıp ardından gerekli desteği sağlaya bilecek mi? Bilgi güvenliği bir sonuç değil, bir süreçtir!

Efsane 4 numara. Anti virüs tüm sorunları çözer

Kurumlar, kişiler güncel bir antivirüs yazılımına sahipse, bu iyidir. Ancak 2. Efsaneyi hatırlarsanız, bu her derde deva olmaktan uzaktır. Antivirüsler uzun zamandır tüm modern tehditlerle başa çıkamaz duruma geldi. Fidye yazılımı salgını bunun en önemli örneğidir. Artık antivirüs, kapsamlı bir bilgi koruma sisteminin temel araçlarından yalnızca biridir. En az birkaç katman daha korumaya ihtiyacınız olduğunu ve sızma testi yaptırarak güvenlik zafiyetlerinizi öğrenmenin gerekli olduğunu unutmayın.