Skip to main content
Bilgi

Pandemi ve Siber Güvenlik

By 19 April 2020May 23rd, 2020No Comments3 min read

Yazar: Cantekin Ertekin

Koronavirüs salgını, kurumların sıklıkla göz ardı edilen bir konuyu tekrar gündeme gertirdi; İş Sürekliliği

Mevcut salgının kapsamı ve süresi hakkındaki belirsizlik, çalışanların seyahat planlarını yeniden değerlendiren kuruluşlardan, hisse senedi satan yatırımcılarına kadar geniş kapsamda bir etki yaratmaktadır. Tedarik zincirlerini, çalışan verimliliğini ve üçüncü taraf ilişkilerini etkileme potansiyeli ile, genişleyen bir salgın riski, şirket yöneticilerinin bir numaralı gündeminde yer almaktadır. İç denetim liderleri pandemi, afete hazırlıklı olma ve iş sürekliliği planlarına ilişkin gerekli güncellemeleri gözden geçirmeye ve tavsiye etmeye hazırlanmalıdır.

Krizlerden yararlanan siber suçlular muhtemelen önümüzdeki günlerde daha faal olacaktırlar. Kuruluşlar, kimlik avı, ve sosyal mühendisliğe karşı savunmak için önlem listelerini oluşturmalıdır.

Kuruluşunuzun afete hazır olup olmadığını değerlendirmek için genel sorular

  • İç denetim bölümünüzün kuruluşunuzun afete hazırlıklı olma ve iş sürekliliği planlamasını doğru şekilde ele alıp almadığını belirlemek için sorması gereken bazı genel sorular şunlardır:
  • Kuruluşunuzun acil eylem planları kilit paydaşlar tarafından en son ne zaman incelendi? Kuruluşunuzun planları en son ne zaman ve kim tarafından test edildi?
  • Kurumunuzu etkileyebilecek doğal afetlere ve salgın hastalıklara karşı mevcut planlarınızın kapsamı yeterli midir? (Çalışanlarınız? Bulut sağlayıcılarınız? Tedarikçileriniz? Müşterileriniz?)
  • Teadrikçiler, acil durum müdahale ekipleri, yasal düzenleyiciler, sigorta acenteleri ve diğer kritik paydaşlar temas noktası değişikliklerinden nasıl haberdar edilir?
  • Kuruluşunuz, iş açısından kritik otomatik faaliyetlerin manuel sürümlerini nasıl gerçekleştirebilir? Gerekli formlar ve prosedür kılavuzları mevcut mu? Bunu yapmak için uygun personel var mı?
  • Bilgi teknolojisi kritik altyapı bileşenlerinin etkinleştirilmesini nasıl sağlar?
  • İnternetin sınırlı veya olamdığı durumlarda hangi iş hedefleri engellenir veya kısıtlanır?
  • Çalışanlarınız ve iş arkadaşlarınız doğal afet ya da salgın durumunda ne yapacakları konusunda ne gibi eğitimler aldı?
  • Veri merkezinizin iş süreklilğini test ettiniz mi?
  • Hangi kritik iş süreçleri veya faaliyetleri alternatif bir yere aktarılamaz?

Sosyal mühendislik güvenlik açıklarınızı değerlendirmek için genel sorular

  • Kuruluşunuzun sosyal mühendislik tehdidini içeren uygulamaları, politikaları ve eğitimleri nelerdir? Bunlar çalışanlara nasıl iletilir ve uygulanır?
  • Sosyal mühendislik tehdidi, kuruluşunuzdaki tüm çalışan düzeylerine tamamen anlaşılmış ve iletilmiş midir?
  • Hangi sistemler ve süreçler sosyal mühendisliğe özellikle daha açıktır? Hangi kilit iş süreçlerinin etkilenme potansiyeli vardır?
  • Bilgi teknolojisi departmanınız, sosyal mühendisliğe karşı belirli güvenlik açığı alanlarıyla ilgili olarak hangi testleri yapıyor?
  • Kuruluşunuzun sosyal mühendisliğe karşı belirli güvenlik açığı alanlarını denetleme planlarınız var mı?

Kaynak: IIA Bülteni, Şubat 2020.