Sonuncuya göre barometre CESIN’e göre geçen yıl şirketlerin maruz kaldığı siber saldırıların %60’ı kimlik avı, hedef odaklı kimlik avı veya smishing ile bağlantılıydı. Ayrıca bunların %31’i veri hırsızlığı bildirdi. Bu endişe verici rakamlarla karşı karşıya kalan işletmeler, müşteri bilgilerinin korunmasına öncelik verme eğiliminde olabilir.
Ancak siber suçlular için çalışanların verileri de aynı derecede kazançlı ve sömürülebilir niteliktedir. Özellikle kamu sektöründeki uzlaşmalar, kimlik hırsızlığından etkilenenlerin hayatlarını ve fiziksel güvenliklerini tehlikeye atmaya kadar ciddi sonuçlara yol açabilir. Riskler özellikle hassas bilgilerle uğraşan veya kolluk kuvvetleri veya adli sistem gibi açık pozisyonlarda bulunan çalışanlar için yüksektir.
Çalışan Savunmasızlığı Faktörleri
Hassas çalışan verilerinin korunması sıklıkla dahili silolar ve yanlış hizalanmış öncelikler gibi organizasyonel engellerle karşı karşıya kalır. Birçok şirkette bu konular stratejik tartışmaların parçası değildir ve İK departmanlarına havale edilir. İkincisi, personel yönetimi, işe alım ve yasal yükümlülüklere uyum konusunda uzman olmasına rağmen, siber güvenlik konusunda her zaman gerekli becerilere sahip değildir. Bu boşluk, BT ve güvenlik ekipleriyle olan işbirliklerini sınırlandırıyor, görünürlüklerini azaltıyor ve uygun korumaların uygulanmasından taviz veriyor.
Çalışan davranışı aynı zamanda bir güvenlik açığı kaynağını da temsil eder. Kimlik avı saldırıları genellikle kimlik bilgilerini veya diğer hassas bilgileri çalmayı hedeflerken, ticari kimlik bilgilerinin kişisel kazanç için kullanılması, şirketin kimlik bilgileri doldurma saldırılarına maruz kalmasına neden olur. Aynı zamanda, hoşnutsuz çalışanlardan veya kötü yönetilen işten ayrılmalardan kaynaklanan iç tehditler, kuruluşun dijital varlıkları için ek bir tehlike oluşturmaktadır.
Keşfedin, sınıflandırın ve koruyun
Çalışan verilerinin korunması her şeyden önce temel uygulamalara dayanmaktadır. Tıpkı bireyler gibi işletmeler de dijital aşırı yüklemeyle karşı karşıyadır ve çalışan bilgileri de bir istisna değildir. Bunlar arasında performans değerlendirmeleri, maaş ayarlamaları, sosyal haklar, acil durum iletişim bilgileri ve hatta tıbbi kayıtlar gibi unsurlar yer alır. Çeşitli süreçler yoluyla toplanan bu veriler genellikle çeşitli sistemlere dağılmış durumdadır ve bu da yönetimlerini zorlaştırmaktadır.
Güvenliklerini artırmak için kuruluşun neyin toplandığı ve nerede toplandığı konusunda net bir görüşe sahip olması gerekir. Daha sonra her bir veri parçası ilgililiğine göre değerlendirilmelidir: Gereksiz bilgiler güvenli bir şekilde silinmeli, önemli veriler ise dikkatle düzenlenmeli ve hassasiyet düzeyine uygun politikalarla korunmalıdır.
Titiz ve tekdüze koruma
Herhangi bir kuruluşun güvenlik stratejilerine rehberlik etmesi gereken temel prensip: tüm kişisel bilgiler eşit korumayı hak eder. Çeşitli departmanlar tarafından yönetilen çalışan sorunları, doğru işlemenin sağlanması için BT ve insan kaynakları ekipleri arasında yakın koordinasyon gerektirir.
Uzaktan ve hibrit çalışma modellerini desteklemek için gerekli olan bulut teknolojilerinin benimsenmesi, güvenlik önlemlerinin tutarlı bir şekilde uygulanmasını zorlaştırıyor. Çeşitli ortamlarda dolaşan hassas veriler, hem şirket içi altyapıları hem de bulutta barındırılanları koruyabilen çözümler gerektirir.
Üçüncü taraf risklerini göz önünde bulundurun
Kuruluşların donanım, yazılım ve hizmet sağlayan tedarik zincirleri olduğu gibi, bilgi paylaşan üçüncü taraf tedarikçilerden oluşan bir ağları da vardır. Sigorta şirketleri, emeklilik planı yöneticileri, özgeçmiş tarama şirketleri ve profesyonel istihdam kuruluşları (PEO’lar), personel verilerine erişebilecek üçüncü taraflara örnektir.
Riski en aza indirmek için durum tespiti yapmak ve bu kuruluşların kuruluş içinde beklenen katı koruma standartlarını karşılayıp karşılamadığını doğrulamak çok önemlidir. Güvenlik uygulamalarına, mevzuat uyumluluğuna ve hassas verileri koruma geçmişine yakından bakmak da önemlidir.
Müşteriler ve çalışanlar için adil koruma
Şirketler genellikle müşteri bilgilerini çalışan bilgilerinden ziyade iş süreçlerine daha fazla entegre olarak görse de, düzenlemeler iki kategori arasında herhangi bir ayrım yapmamaktadır. GDPR gibi yasal çerçeveler, bireyin kuruluşla olan ilişkisine bakılmaksızın tüm kişisel verilerin korunmayı hak ettiğini düşünmektedir.
Uyumsuzlukla ilgili ceza riskini azaltmak için, ister müşterileri ister çalışanları ilgilendirsin, tüm kişisel verilerin gizliliğini korumak, yönetmek ve gizliliğine saygı göstermek için katı standartların uygulanması çok önemlidir. Bu nedenle kuruluşlar, sağlam güvenlik önlemlerini benimseyerek ve kişisel verilerin korunmasına odaklanan bir kültür oluşturarak bu yaklaşıma tam olarak bağlı kalmalıdır.