çalışanlar

Stajyerler: gizlenmiş siber güvenlik tehdidi

Bir stajyer, işletmenizin siber güvenliği için nasıl tehdit oluşturabilir ve bu konuda neler yapabilirsiniz.

Anastasia Starikova
Haziran 22, 2022

Yaz yaklaşırken birçok işletme, öğrencileri dönemsel stajyer olarak işe alır. Bu da, muhtemelen siber güvenlik hakkında bilgi sahibi olmayan genç ve tecrübesiz kişilerin iş süreçlerinize dahil olacağı anlamına geliyor.

İşletmeler bu konuyla ilgili riskleri pek değerlendirmez ve bu duruma karşı tedbir almazlar. Stajyerlerin işletmede geçici bir süre için bulunduklarını ve herhangi bir gizli bilgiye erişme ihtimallerinin düşük olduğunu düşünüyorlar. Bu doğru. Ancak yeterli bilgisi olmayan tecrübesiz stajyerlerin bir kimlik avı bağlantısına tıklayarak, iş hesaplarında zayıf parolalar oluşturarak veya sosyal mühendislik tuzağına düşerek işletmenizin güvenliğini ciddi şekilde tehlikeye atabileceğini de aklınızda tutmalısınız. Bunlardan herhangi birini önlemek için, özellikle dikkat etmeniz gereken birkaç önerimiz var.

Oryantasyon

Stajyerleriniz işletmenin altyapısına ve ekipmanına erişim sağlamadan önce, onları işletmenin temel prensipleri hakkında bilgilendirmek iyi bir fikir. En önemlisi ise, işletmenin güvenlik politikaları, iki faktörlü kimlik doğrulama ve parolalarla ilgili kabul edilen standartlar hakkında bilgi verin.

Stajyerleri operasyonlarınıza dahil ettiğinizde, parola oluşturmaları gerekir. Parola güvenliği, üzerine epey tartışılmış bir konu gibi görünse de, stajyerler, birden fazla hizmet için aynı parolayı kullanmamaları gerektiğini düşünemeyebilir. Ayrıca, “güçlü parola”nın tam olarak ne anlama geldiğini bilemeyebilirler.

En az ayrıcalık ilkesi

Stajyerlerin işletme kaynaklarına erişimine izin verdiğinizde, en az ayrıcalık ilkesini benimsemelisiniz. Yani herkes, sadece kendi işleri için gereken minimum erişime sahip olmalı. Bu genel olarak bağlı kalınması gereken bir prensip, ancak özellikle stajyerlerle çalışırken daha da önemli.

Gizlilik sözleşmeleri

Birçok işletme, stajyerleri önemsiz ve geçici olarak gördükleri için onlarla gizlilik sözleşmesi imzalamaz. Yine de, sözleşme imzalamak iyi bir fikir. Stajyerler bir şirket sırrının yakınından geçemeyecek olsalar bile, bir Gizlilik Sözleşmesi, bu acemi çalışanlara kişisel sohbetlerinde iş süreçleri hakkında konuşmamaları gerektiğini belirtmenin harika bir yolu.

Kişisel sosyal medya hesaplarında bilgi güvenliği

Stajyerler genellikle genç insanlar. Gençler ise günümüzde hayatlarını sosyal ağlarda paylaşmayı seviyor. İlk iş gibi önemli bir olayı sosyal medya hesaplarında paylaşmak için ne kadar istekli olacaklarını hayal etmek zor değil.

Bir yandan, stajyerler sosyal medyada işlerinin ilginç olduğundan heyecanla bahsederlerse, işletme bundan kesinlikle fayda sağlayabilir. Ancak öte yandan, stajyerler, arka plandaki şirket içi belgelerle farkında olmadan selfie çekerlerse, gönderilerinde önemli bilgileri istemeden ifşa edebilirler.

Bu yüzden, işletmenizin sosyal medya kullanım politikasını stajyerlerinize net bir şekilde açıklamanızı öneriyoruz. Ancak, baştan sona okunma ihtimali epey düşük olacağından sayfalarca yönergeyi e-postayla göndermeyin. Sözlü açıklama yapmak daha etkili bir yaklaşım.

Staj sonrası iş kaynaklarına erişim

Stajlar da dahil her güzel şeyin bir sonu var. Bazı öğrenciler staj sonrası işletmenizde sizinle devam edebilir, ancak bazıları mutlaka gidecek. Özelliklere gidenlere dikkat edin. Stajyerin stajı bittikten sonra işletmenin iç kaynaklarına tüm erişimini kaldırdığınızdan emin olun. Erişime sahip fazladan bir hesap bile, potansiyel bir güvenlik açığı oluşturur.

Stajyerleri siber güvenliğin temelleri konusunda eğitmek

Önerimiz, genel bir prensip olarak tüm çalışanlara, siber güvenliğin temel ilkeleri konusunda eğitim vermeniz. Ancak, stajyerler bu tür eğitimlere pek dahil edilmez. Bu bir hata. Stajyerlerin eğitimi, işletmenizin siber güvenliğini sağlarken riskleri de azaltacak. Ayrıca, stajyerler işletmenizden ayrılırken önemli bilgiler edinerek ayrılmış olacak.

Bu eğitim için büyük meblağlar harcamanıza gerek yok. Stajyerlerinizle de paylaşabileceğiniz, siber güvenliğin temel ilkelerini açıklayan çevrimiçi açık kaynaklı materyaller mevcut. İşletmelerin, çalışanlarının siber saldırılara karşı daha hazırlıklı olmalarını sağlamak için kısa süre önce Kaspersky Automated Security Awareness Platform’umuzun (ASAP) bir parçası olan sosyal ağ kullanımı ve sosyal mühendislik tuzaklarından kaçınma yöntemleri hakkında ücretsiz bir çevrimiçi kursu piyasaya sürdük.

2021’deki olaylarda en sık karşılaşılan düşmanca teknikler

Kaspersky Managed Detection and Response uzmanları 2021’deki siber güvenlik olaylarında en çok karşılaşın düşman tekniklerini belirledi.

Gizlilik ve Çocuklar

Hedeflenen Güvenlik Çözümleri

Stajyerler: gizlenmiş siber güvenlik tehdidi

Oryantasyon

En az ayrıcalık ilkesi

Gizlilik sözleşmeleri

Kişisel sosyal medya hesaplarında bilgi güvenliği

Staj sonrası iş kaynaklarına erişim

Stajyerleri siber güvenliğin temelleri konusunda eğitmek

Pazarlama departmanlarına karşı gerçekleştirilen beş siber saldırı

Yükseköğretim ve Siber Güvenlik

2021’deki olaylarda en sık karşılaşılan düşmanca teknikler

İpuçları

Akılcı bir yol: çocuklarınızın ilk cihazı için ebeveyn rehberi

Çocukların ilk cihazı için ebeveyn kontrol listesi

Kaspersky’ye geçiş: adım adım geçiş kılavuzu

Patron mu, dolandırıcı mı? Patronunuzdan gelen emirler gibi gösterilen dolandırıcılık

Başlıklarımızı gelen kutunuza almak için kaydolun

Ev Çözümleri

Küçük Ölçekli İşletme Ürünleri

Orta Ölçekli İşletme Ürünleri

Kurumsal Çözümler

Securelist

Eugene Personal Blog