Artık tatil sezonu bittiğine ve perakendeciler, geçici işçiler git, BT ve siber güvenlik ekiplerinin, çalışanların uygun şekilde görevden alınmasını sağlamak için hukuk ve insan kaynakları çalışanları ile birlikte çalışması gerekir. Kaynaklara göre, bunun yapılmaması perakendecilerin fikri mülkiyetini ve tüketicilerin kişisel bilgilerini kötü aktörlere karşı savunmasız bırakabilir.
Beyond Identity tarafından yapılan yeni bir ankette, çalışanların %53’ü zarar vermek için erişimlerini kullanma eski işverenleri ve iş liderlerinin %74’ü, dijital erişimlerini istismar eden eski çalışanlarından zarar gördüğünü bildirdi. Optiv’de kurumsal güvenlik, risk ve uyumluluk yönetimi ve fiziksel güvenlikten sorumlu başkan yardımcısı Brian Wrozek, perakendecilerin karşılaştığı en büyük siber güvenlik risklerinden birinin, şirketten fikri mülkiyet veya tüketicilerin kişisel olarak tanımlanabilir bilgileriyle ayrılan geçici çalışanlar olduğunu söylüyor.
“Perakendeci için, gizlilik düzenlemeleriyle ilgili sorunlarınız var. Müşteri bilgilerinin orada olduğunu açıklamak zorunda kalabilirler. [and] artık korunmuyor” diyor Wrozek. “Bu USB sürücülerinde olabilecek bilgilere bağlı olarak potansiyel sözleşme yükümlülükleriniz de var. Tedarikçileri veya ortaklarıyla sözleşmeleri olabilir ve bu sözleşmeleri ihlal ediyor olabilirler.”
Risk Altındaki İnsan Kaynakları
Birçok perakendeci için, BT ve siber güvenlik ekipleri yeni işe alımlar yapmadan önce potansiyel riskler ortaya çıkıyor. İçinde geçici çalışanları işe almak için acele edinCapgemini’de kıdemli bir güvenlik müdürü olan Dan Leyman, İK ekiplerinin adayları düzgün bir şekilde inceleyemeyebileceğini söylüyor. Bu nedenle, hangi çalışanların sabıka kaydı veya bilgisayar programlama geçmişi olduğunu bilemeyebilirler, diyor.
Leyman, çalışanları kapsamlı bir şekilde taramamanın yanı sıra, şirketlerin hangi sistemlere ve ağlara erişmelerinin kabul edilebilir olduğu veya diğer çalışanların siber güvenlik tehditleri oluşturması durumunda yönetimi nasıl tespit edip uyaracakları konusunda çalışanlarını gerektiği gibi eğitemeyebileceğini de ekliyor. Çalışanların işe alım eğitimi sırasında, çalışanlara hangi bilgilere erişimlerinin olup olmadığı ve ayrıca içeriden gelen tehditleri nasıl tespit edecekleri söylenmelidir.
Leyman, “İçeriden gelen riskleri önlemenin ve azaltmanın en iyi yollarından biri bu farkındalık eğitimidir” diyor.
Leyman, dijital aktivitelerinin tam zamanlı çalışanlara göre daha öngörülemez olması nedeniyle, geçici işçilerden uygunsuz faaliyet belirtileri aramanın zor olabileceğini söylüyor. BT ekipleri, tam zamanlı çalışanların tipik olarak eriştiği dosyaları ve sistemleri görebilse de, geçici çalışanların sorumluluklarının değişebileceğini, yani BT ekiplerinin geçici çalışanların kendilerine verilen görevlerin ötesinde dosyalara eriştiğini hemen fark etmeyebileceğini söylüyor.
Leyman, yakında işten atılacak olan geçici işçileri takip etmek için perakendecilerin BT ekiplerinin insan kaynakları departmanı, finans departmanı ve diğer paydaşlarla iletişimi sürdürmesi gerektiğini ve çalışanların ne zaman ayrılacağını takip etmesi gerektiğini söylüyor. İdeal olarak, BT ekipleri, İK ve BT ekipleri arasındaki bu iletişimi otomatikleştirebilir, böylece geçici işe alımlar ayrılmadan önce izlemelerini artırabilirler, diye ekliyor.
“Orada bu olayları birbirine bağlamaya yardımcı olabilecek yazılım yetenekleri var. İK falanın ayrılacağı bir tarih girerse, bu bildirim de otomatik olarak BT’ye gider, böylece BT bunun olacağını bilir ve yapabilir. bu olay için izlemelerini ve planlarını artırın” diyor Leyman.
BT Ekipleri Neler Yapabilir?
Leyman, BT ekiplerinin, işten ayrılmadan yaklaşık 30 ila 60 gün önce geçici işçi faaliyetlerini izlemelerini artırmalarını tavsiye ediyor. BT ve siber güvenlik ekiplerinin, yalnızca birkaç haftalığına kadroda olan geçici işçiler için, görev süreleri boyunca onları yakından izlemesi gerektiğini söylüyor.
Leyman, geçici işçileri eğitmeye ve onları izlendiklerini bildirmeye ek olarak, perakendecilerin BT ekiplerinin, kısa bir süre için kadroda olan geçici işçiler arasındaki potansiyel olarak zararlı faaliyetleri ölçmek için tam zamanlı çalışanları temel olarak kullanabileceğini söylüyor. Bunu yapmak daha fazla yanlış alarma neden olabilir, ancak nihayetinde perakendecilerin varlıklarının, sistemlerinin, ağlarının ve verilerinin korunmasını güçlendireceğini söylüyor.
“Çok sık gördüğümüz şey, bunu yapmayan işverenler ve kuruluşlar, kendilerini o çalışanın sistem ve ağlara, ayrıldıktan sonra erişmesini sağlamak ve herhangi bir nedenle sistemlere veya ağlara zarar vermek için kendilerini ayarladılar. niyetiniz ya da neye sahipsiniz ya da bu hassas bilgileri işverenden alın” diyor Leyman.
Wrozek, tehdit modellemesi yürüten perakendeciler tipik olarak satış noktası sahtekarlığı gibi önceki risklere odaklanırken, BT ekiplerinin, çıktıklarında erişebilecekleri dijital arka kapılar ekleyen geçici çalışanlar gibi öngörülemeyen tehditleri düşünmesi kritik önem taşıyor.
Wrozek, geçici işçiler tarafından geride bırakılan arka kapıları bulmak için, bir zamanlar atıl durumda olan, yeniden canlandırılan hesapları, güvenlik protokollerinin devre dışı bırakıldığı görünen sistemleri veya değiştirilmiş veya tipik yayın prosedürlerinin ötesinde konuşlandırılmış yazılım ve sistemleri aramanızı önerir. BT ve siber güvenlik ekipleri ayrıca bir boşaltmadan sonra giden trafiği ve güvenlik bilgilerini ve olay yönetimi (SIEM) olay günlüklerini izlemeli veya beklenmedik bir şekilde ayrılan veri belirtilerini aramalı. Perakendeciler ayrıca, ihlal göstergelerini bulmak için dahili bir ihlal değerlendirmesi veya kırmızı ekip çalışması yürütmek için üçüncü taraf firmaları da işe alabilir, diye ekliyor.
Wrozek, perakendecilerin BT ve siber güvenlik ekipleri, yüklenici hesaplarını otomatik olarak devre dışı bırakmış olsalar bile, bu hesapların gerçekten devre dışı bırakıldığından emin olmak için periyodik olarak iki kez kontrol etmeleri gerektiğini söylüyor. BT departmanlarının, yöneticilerin bir talepte bulunmayı unutması ihtimaline karşı, geçici işçi hesaplarını her üç ayda bir, altı ayda bir veya yılda bir devre dışı bırakacak şekilde otomatik olarak planlamaları akıllıca olacaktır. Bunu yapmak, şirketin potansiyel olarak yetkisiz faaliyetlere ne kadar süre maruz kalabileceğini sınırlayabilir, diyor.
Wrozek, İK ekiplerinin yüklenici, geçici işçi vb. olduklarını belirtmek için çalışan olmayan kayıtları veya tedarik veritabanını işaretlemesi gerektiğini söylüyor. Bu veritabanını kullanarak, perakendecilerin BT ve siber güvenlik ekipleri, geçici işçi hesaplarında bir zaman aşımı sınırı belirlemek veya periyodik raporlar çalıştırmak için manuel veya otomatik prosedürler oluşturabilir, diyor. İK ekipleri gerekli kimlik bilgileriyle geçici çalışanları oluşturduğunda, BT ve siber güvenlik ekiplerinin denetim sürecini otomatikleştirmek için devreye girmesi gerektiğini de ekliyor.
Mümkün Olduğunda Erişimi Otomatikleştirme
Wrozek, BT ekiplerinin işten çıkarma sürecini mümkün olduğunca otomatikleştirmesi gerektiğini, bunun geçici çalışanların hizmet olarak birden çok yazılıma, bulutla ilgili uygulamalara erişimi varsa zor olabileceğini söylüyor.
Wrozek, “Bazen bunlar daha geleneksel şirket içi uygulamalarınıza entegre edilemeyebilir, bu nedenle gözden kaçabilirler” diyor. “Bir çalışanın işten çıkarıldığını düşünüyorsunuz, ancak yine de bir Amazon veya Microsoft bulut uygulamasına doğrudan erişimi olabilir. Bunlar duyduğumuz endişeler. ‘Nasıl otomatikleştiririm ve tüm bunları hesaba katar ve çalıştığımızdan emin olabilirim? ‘kapsanmış mı?'”
Okta ve SailPoint gibi çoğu kimlik ve erişim yönetimi (IAM) çözümü ve ayrıcalıklı hesap yönetimi (PAM) araçları, süreçlerinde yerleşik olarak hesap sağlama ve yetkilendirmeyi kaldırma özelliğine sahiptir, ancak BT ekipleri bu otomasyonun düzgün çalıştığından emin olmalıdır. Wrozek, denetimlerin bu yüzden çok önemli olduğunu söylüyor.
Leyman, geçici çalışanların görevlerinin şirkette geçirdikleri süre boyunca değişebileceğini, bu nedenle BT ekiplerinin ayrıca kısa süreli işe alımların artık ihtiyaç duymayacağı sistemlerden erişimi izlemesi ve iptal etmesi gerektiğini söylüyor. Wrozek, perakendecilerin yönetici veya otomasyon hesapları gibi paylaşılan veya grup hesaplarına erişimi olan geçici çalışanları varsa, parolayı değiştirmeleri ve bu uygulamaların ne kadar iyi korunduğunu çapraz kontrol etmeleri gerektiğini ekliyor.
Perakendecilerin tehdit azaltma çabalarını nasıl yürüttüğü, büyüklüklerine göre değişir. Wrozek, daha büyük perakendecilerin daha olgun BT ve siber güvenlik ekiplerine ve protokollerine sahip olma ihtimalinin yüksek olduğunu ve otomasyon araçlarını ve uyarılarını daha sık kontrol edebileceklerini, ancak daha küçük şirketlerin siber güvenlik tehditlerini izlemek için yalnızca bir veya iki kişiye sahip olabileceğini söylüyor. Leyman, bazı yöneticiler siber güvenlik yazılımını başka bir masraf olarak görse de BT ve siber güvenlik ekipleri ve diğer departmanlar arasındaki toplantıların daha fazla yatırım yapılmasını savunabileceğini ekliyor.
Leyman, “Bu yazılımı satın almak için ihtiyaç duydukları finansmana sahip olmayabilirler, ancak paydaş toplantıları bu ilişkileri ve bu bilgi akışını oluşturmak için uygun bir alternatiftir” diyor.