Kötü bir işletme süreci dışarıdan gelecek saldırılara kapıları açabilir, şirket içindeki çalışanları ayartabilir veya şirket bünyesindeki bir internet korsanına veya kötü niyetli kişiye gerekli ortamı hazırlayabilir mi?
Bu sorunun cevabı muhtemelen evet olur. Neredeyse her hafta yeni bir yüksek profilli veri sızıntısı haberi manşetlere taşınıyor. Bunlardan birkaçını saymak gerekirse Home Depot, TJX, the VA, Pfizer, Monster.com, ve AOL haberleri örnek olarak karşımıza çıkıyor ve bu vakaların her birisinde veri kaybına kötü Halkla İlişkiler yönetimi ve yasal sorunlar da eşlik etmekteydi.
Bu sorunlarla ilintili bir başka problem de fikri mülkiyet (intellectual property – IP) hırsızlığı. Şirket içinde çalışan kötü niyetli kişilerin hassas verilere erişim, kopyalama ve taşıma konusunda yaşadıkları kolaylık IT güvenliğini geceleri kabus yaşatacak kadar önemli. Fikri mülkiyet haklarını ele geçirip kendi şirketlerini kurmak veya rakip firmalardan cazip iş teklifleri almak amacıyla bu hakları satan şirket çalışanları hakkındaki hikayeler son derce yaygın.
Bu vakaların birinde NeoGenesis Pharmaceuticals şirketinin yöneticileri şirket çalışanlarının Fikri Mülkiyet’lere ne denli kolay ulaşabildiklerini gördüklerinde o denli endişelenmişlerdi ki sırf bu problemi hedef alacak bir güvenlik firmasını yani Verdasys’i kurmaya karar vermişlerdi. Yaşanan vakada şirket çalışanlarından birisi ilaç formüllerini çalmaya çalışmaktaydı ve yöneticileri harekete geçiren sadece IT güvenlik alarmı değil aynı zamanda şüpheli bir CD-ROM satın alma talebiydi.
Bu vakada yaşanan senaryo pek de olağan dışı değil. Ancak asıl olağan dışı olan NeoGenesis’in hırsızlık olayını fark etmesi ve engel olabilmesiydi. Birbiri ardına yürütülen araştırmalar şirket bünyesinden gelen saldırılarda bir artış yaşandığını ortaya koyuyor. A.B.D. Ticaret Bakanlığı verilerine göre Fikri Mülkiyet hırsızlığı her sene A.B.D. firmalarına 250 milyar dolara mal olurken yine her sene A.B.D. ekonomisi için yaklaşık 750,000 işin heba olmasına sebep oluyor.
Zararsız gözüken felakete yol açar mı?
Veri sızıntıları ve Fikri Mülkiyet hırsızlığının yetersiz yetkilendirmeden uygunsuz veri depolamaya ve laptop hırsızlıklarına dek pek çok sebebi mevcut ancak genellikle tüm vakaların ardında yatan sorun aynı: işletme sürecinin çatlaklığı. Kısaca söylemek gerekirse kötü bir işletme süreci dışarıdan gelecek saldırılara kapıları açabilir, şirket içindeki çalışanları ayartabilir veya şirket bünyesindeki bir internet korsanına veya kötü niyetli kişiye gerekli ortamı hazırlayabilir.
“İşletme süreci” zaten başlı başına biraz belirsiz bir konsept ancak hatalı yöntemleri saptamak istersek nereden başlamak gerekir? Atılması gereken ilk adım bu yöntemlerin ne kadarda zararsız görülebileceğini fark etmek.
Bir veri kaybı önleme sağlayıcısı (DLP) olan Vontu firmasında ürün pazarlama ve geliştirmeden sorumlu Başkan Yardımcısı Steve Roop bir dizi küçük hatanın büyük organizasyonları devasa risklere karşı korumasız bıraktığına şahit olmuş birisi.
Roop “Bu küçük hatalar saçma olanlardan gerçekten kötü niyetli olanlara dek pek çok çeşitlilik göstermekte,” diyor ve ekliyor: “Ancak en saçma olanlar bile inanılmaz ölçüde tehlikeli olabilir.”
Vontu bu güne dek birçok kötü işletme sürecini açığa çıkartmış. Örneğin birlikte çalıştıkları büyük şirketlerden birisi her sene ortalama 400 yeni elemanı işe alıyor. Bu yeni işe alınan elemanların her birisi iş kartlarına ihtiyaç duyuyor. Buraya kadar her şey normal ancak sorun İnsan Kaynakları departmanının dört seneden beri yazıcılara gönderdiği hesap çizelgelilerinin aynı olması ve bu hesap çizelgelerinde çalışanlara ait sosyal güvenlik numaraları, doğum tarihleri ve bunun gibi şirketi kimlik hırsızlığı riskiyle karşı karşıya bırakacak pek çok başka bilginin yer alması.
Başka bir DLP sağlayıcısı Verdasys firmasının pazarlamadan sorumlu Başkan Yardımcısı William Munroe de “Şirketlerin veri kaybı riskini büyük ölçüde azaltabilmeleri için risk-temelli bir veri güvenliği yaklaşımını uygulamaya koymaları gerekir,” diyor.
Bu makalenin devamını burayı tıklayarak okuyabilirsiniz.
Kaynak : 