Kurumsal Sosyal Ağ Güvenliği için 4 Altın Kural

Sosyal mühendislikSosyal ağlar kişiler ve kurumlar için yepyeni bir dünya yarattı. Çalışanlar bu dünyada sosyalleşmeye devam ederken bireysel ve kurumsal güvenliği ikinci plana atmamalıdır. Güvenlik yalnızca bireyiler için değil, kurumlar için de son derece önemlidir. Sosyal ağlarda bilgileri ifşa edilen bir kurumun başına çeşitli felaket senaryoları bile gelebilir. Bu riski ve daha düşük tehlikeleri yaşamamak için kurumların alması gereken belli başlı önlemler bulunmaktadır. Bu önlemler sayesinde kurumlar daha güvenli bir hale geleceği gibi, kurumlarda çalışan kişilerin bireysel bilgileri de daha güvenli bir hale gelebilir ve bu kişilerin bilinçlenmesi için önemli adımlar atılabilir.

Altın Kural 1: Farkındalık Yaratmak

Sosyal ağlarda kurumlarla ilgili arama yaparak, çalışanların profillerinde çalıştıkları yerleri paylaşmasından dolayı çalışan listesi ve demografik bilgiler ortaya çıkarılabilir.

Sosyal mühendislik

Çalışanlarda yaratılacak farkındalık ile;
• Çalışanların kişisel bilgilerinin tamamının (doğum günü, doğum yeri, aile bireyleri, okuduğu okullar, tuttuğu takım vb.) sosyal medyada paylaşılmaması,
• Kurumsal e-postaları ile sosyal ağlara veya herhangi bir siteye üye olunmaması,
• Parolalarını ortaya çıkartacak bilgilerin paylaşılmaması,
• Güvenilir olmayan kişilerden gelen bağlantıların (linklerin) nereye bağlanacağını bilmeden açılmaması,
gibi konularda bilgi ve doğru davranış biçiminin oluşturulması sağlanmalıdır.

Kurumlar, kuracakları Bilgi Güvenliği Farkındalık ekibiyle çalışanlarına sosyal medyada dikkat edilmesi gereken noktalar hakkında fark yaratabilirler.

Altın Kural 2: Sosyal Mühendisliğe Karşı Direnci Artırmak

Sosyal mühendislik insan etmeninden faydalanarak çalışanların yönlendirilmesi sonucunda kişilerin bireysel veya kurumsa gizli bilgileri vermeleri veya gizli bilgilere erişim sağlamalarını sağlayan aldatmaya dayalı bir saldırı yöntemidir. Sosyal mühendislik beşeri iletişimi kullanarak ve insanların duygusal zayıflıklarından faydalanarak güvenlik önlemlerini atlatmak için sıklıkla ve başarıyla kullanılan bir yöntemdir.

Sosyal mühendislik

Hiçbir kurum bilinmeyen kişiler tarafından telefon açıldığında kurum veya çalışanları hakkında herhangi bir bilgiyi sızdırmaz ve paylaşmaz. Ancak sosyal ağlarda yapılacak aramalarla çalışanların isimleri ve unvanları öğrenilebilir ve bu yol üzerinden geliştirilecek kişisel bilgi edinme yöntemleriyle çalışanlar aldatılmak istenebilir.

Saldırganların sosyal mühendislik yapmasındaki amaçlar kısaca; yetkisiz erişim sağlamak, hizmet hırsızlığı, itibar kaybı, hizmet engelleme, hassas bilgilere erişim ve veri kayıpları sağlamaktır.

Sosyal mühendislik çalışanlarda farkındalık yaratılarak engellenebilir. Kurumlar çalışanlarını sosyal mühendislik ve kullanıla yöntemler konusunda bilgilendirerek çalışanlarının aldatılmasını engelleyebilir.

Altın Kural 3: Teknik Altyapı Yeterliliğinin Sağlanması

Kurumsal ağlardaki zararlı trafiğin engellenmesi başlangıçta yeterli gibi gözükse sosyal ağlar söz konusu olduğunda bu önlem de tek başına yeterli olmayacaktır.

Sosyal mühendislik

Sosyal ağların yapısı kurumların ve çalışanlarının yapısına göre doğru bir şekilde anlaşılarak modellenmelidir. Kurumlar çalışanlarının sosyal ağlarda geçirdikleri zamanın kurumların yararına mı olduğunu yoksa verimliliği azaltan bir alışkanlık mı olduğunu belirlenmeli ve bu değerlendirmeye göre erişimi yönetmelidir. Örneğin çalışanların sosyal ağa bağlanırken buraya neden bağlandıklarına dair bir bilgi istenebilir.

İnternet, özellikle de sosyal ağlar üzerinde binlerce hatta milyonlarca farklı amaca hizmet eden uygulama bulunmaktadır. Kurumlar tek tek bu uygulamaları kontrol edemeyeceğinden dolayı, bu uygulamaları kontrol eden sistemler kullanılmalıdır. Uygulama kontrolü adı verilebilecek olan bu çözümle sosyal ağlar üzerindeki uygulamalarda zararlı içerikler, oltalama saldırıları gibi öğeler belirlenerek korunma sağlanabilir.

Altın Kural 4: Gerekli Programların Kurulması

Çalışanların bilgisayarlarında mutlaka en güncel haliyle bir anti virüs programı ve/veya casus yazılımları önleyici (spyware) programı kurulu olmalı.

Sosyal mühendislik

Çalışanların kullandığı bilgisayarların güncellemelerinin yapılmış olmasına dikkat edilmeli. İnternet tarayıcıların güncel haliyle kullanılmalı ve bilinmeyen Web sitelerinde özellikle tanınan bir SSL sertifikası bulunmuyorsa kesinlikle uzak durulmalıdır.

İnternet ve sosyal ağlar bireyler için çok önemli bir hale geldiği gibi kurumlar için de önemli bir yeri bulunmaktadır. Özellikle sosyal ağlar kurumlarda çalışanları bir araya getiren bir araç olduğu gibi aynı zamanda kurumların İnternet üzerinde tanınırlığını arttıran bir platform haline gelmiştir. Bu platformun kullanımının artması ve sosyal ağlar üzerinde paylaşılan bilginin artması elbette saldırganların dikkatini çekmekte ve bu platformlara yönelik saldırılar her geçen gün artmaktadır.

Rauf DİLSİZ