Asian
Member
Her geçen gün sıklığı artan siber taarruzlar iş dünyasına büyük ziyanlar vermeye devam ediyor. Gelecek yıl global ölçekte şirketlere 6 trilyon dolarlık fatura çıkaracak siber taarruzlardan korunmak ise pandemi sürecinde epey daha kıymetli hale geliyor.
Türkiye’de şirketlerin teknolojiye açılan penceresi olan ITserv, uzaktan yahut yer bağımsız çalışanların karşı karşıya kalacağı riskleri azaltabilmesi için kıymetli ipuçları veriyor.
ITserv, hem kurumu birebir vakitte çalışanların alabileceği tedbirleri şöyleki sıralıyor:
Kim nereye ulaşacak belirlenmeli:
Kurumlar hangi kullanıcıların hangi kaynaklara erişebileceği, ilişki kuracak aygıtların çeşitleri ve haklarını net bir biçimde belirlemeli. Örneğin, kurum tarafınca kullanıcıya verilmiş bir bilgisayara pek epeyce hak verilmişken, kullanıcının kendisine ilişkin şahsî bilgisayarı üzerinden şirket kaynaklarına erişmek istemesi halinde denetim yapılmalı.
Uzaktan çalışanın güvenliği sağlanmalı:
Uzaktan, inançlı erişim sağlayan sistemlerin kurum güvenlik siyasetlerini uygulayacak biçimde inançlı yapılandırıldığından emin olunması gerekir. Erişimin uçtan uca şifrelenerek sağlandığı bu formülde bilhassa uzaktan erişim için kullanılan sistemlerin düzgün kurgulanmış olması kural.
Şifreleme değerli:
Kurumlarda güvenlik güncellemelerinin daima takip edilip, uygulanmış olması kıymet arz ediyor. Şimdiki irtibat şifreleme siyasetlerinin kullanılmış olması gerekiyor.
Uzaktan çalışmanın güvenlik riskleri:
Uzaktan çalışmada riskler, kurum ortasında barınan sistemler ve kurum içi çalışanlara kıyasla daha yüksektir. Kuruma uzaktan bağlanmak için sunulan bilgisayarın çalınması dataları riske atar. Uzaktan çalışmada kurum ağına bağlanırken anonim bir ağ kullanılması da tehlike yaratır.
Yol haritası belirlenmeli:
Uzaktan çalısma için kurumsal düzeyde bir yol haritasının oluşturulması ve takip edilmesi gerekir. Bunun için ağa bağlanacak aygıtların belirlenip erişim alanları tespit edilmeli.
Çok faktörlü kimlik doğrulama yapılmalı:
Kullanıcı ismi ve şifreler çalınabilir, sızdırılabilir yahut oltalama ile elde edilebilir. İnternete açık olan sistemler için tehdit ögesi oluşturan ataklara karşı koyabilmek ismine fazlaca faktörlü doğrulama (MFA) erişim biçimlerini kullanmak riski azaltır. En sık kullanılan MFA hallerinden biri, telefona SMS göndermektir.
Gölge teknoloji tehdidi:
IT departmanının onayı ve dayanağı olmadan geliştirilip kullanılan teknoloji tahlillerine gölge bilişim teknolojileri deniyor. Bunlara örnek olarak; bulut (cloud) uygulamaları, şahsi aygıtlar, excel makroları ve gibisi araçlar verilebilir. Bu teknolojilerin kurumun kendisi, kurumun dataları ve kullanıcı için başka bir zafiyet oluşturup oluşturmadığı denetim edilmelidir.
Çalışanlarda farkındalık yaratılmalı:
Alınmış tedbirlerle kuruluşun en zayıf halkası kadar kuvvetli olunabilir. Bu sebeple teknik tedbirlerin yanında son kullanıcı için farkındalık yaratmak, alınabilecek en kritik önlemler içinde. Konuttan çalışma sırasında yaşanacak riskler hakkında çoğunlukla bilgilendirme yapılmalı.
Güvenlik testleri kaide:
Pandemi üzere kuvvetli vakit içinderda güvenlikten sorumlu işçi kurumun farklı gereksinimlerine odaklandığından rutin yapılması gereken zafiyet idaresi üzere işler aksayabilir. Bu üzere durumlarda var olan güvenlik düzeyini korumak da kritik konulardan biridir.
Alarmlar takip edilmeli:
Yapıda gerçekleşen olayları izleme, araştırma ve beklenmedik olaylar daha sonrası olay araştırması yürütülebilecek bir biçimde loglar alınmalıdır. Bu sayede muhtemel bir ihlal sırasında neler olduğunu anlamak kolaylaşacak ve olaya müdahale süreçleri düzgünleştirilmiş olacaktır.
Türkiye’de şirketlerin teknolojiye açılan penceresi olan ITserv, uzaktan yahut yer bağımsız çalışanların karşı karşıya kalacağı riskleri azaltabilmesi için kıymetli ipuçları veriyor.
ITserv, hem kurumu birebir vakitte çalışanların alabileceği tedbirleri şöyleki sıralıyor:
Kim nereye ulaşacak belirlenmeli:
Kurumlar hangi kullanıcıların hangi kaynaklara erişebileceği, ilişki kuracak aygıtların çeşitleri ve haklarını net bir biçimde belirlemeli. Örneğin, kurum tarafınca kullanıcıya verilmiş bir bilgisayara pek epeyce hak verilmişken, kullanıcının kendisine ilişkin şahsî bilgisayarı üzerinden şirket kaynaklarına erişmek istemesi halinde denetim yapılmalı.
Uzaktan çalışanın güvenliği sağlanmalı:
Uzaktan, inançlı erişim sağlayan sistemlerin kurum güvenlik siyasetlerini uygulayacak biçimde inançlı yapılandırıldığından emin olunması gerekir. Erişimin uçtan uca şifrelenerek sağlandığı bu formülde bilhassa uzaktan erişim için kullanılan sistemlerin düzgün kurgulanmış olması kural.
Şifreleme değerli:
Kurumlarda güvenlik güncellemelerinin daima takip edilip, uygulanmış olması kıymet arz ediyor. Şimdiki irtibat şifreleme siyasetlerinin kullanılmış olması gerekiyor.
Uzaktan çalışmanın güvenlik riskleri:
Uzaktan çalışmada riskler, kurum ortasında barınan sistemler ve kurum içi çalışanlara kıyasla daha yüksektir. Kuruma uzaktan bağlanmak için sunulan bilgisayarın çalınması dataları riske atar. Uzaktan çalışmada kurum ağına bağlanırken anonim bir ağ kullanılması da tehlike yaratır.
Yol haritası belirlenmeli:
Uzaktan çalısma için kurumsal düzeyde bir yol haritasının oluşturulması ve takip edilmesi gerekir. Bunun için ağa bağlanacak aygıtların belirlenip erişim alanları tespit edilmeli.
Çok faktörlü kimlik doğrulama yapılmalı:
Kullanıcı ismi ve şifreler çalınabilir, sızdırılabilir yahut oltalama ile elde edilebilir. İnternete açık olan sistemler için tehdit ögesi oluşturan ataklara karşı koyabilmek ismine fazlaca faktörlü doğrulama (MFA) erişim biçimlerini kullanmak riski azaltır. En sık kullanılan MFA hallerinden biri, telefona SMS göndermektir.
Gölge teknoloji tehdidi:
IT departmanının onayı ve dayanağı olmadan geliştirilip kullanılan teknoloji tahlillerine gölge bilişim teknolojileri deniyor. Bunlara örnek olarak; bulut (cloud) uygulamaları, şahsi aygıtlar, excel makroları ve gibisi araçlar verilebilir. Bu teknolojilerin kurumun kendisi, kurumun dataları ve kullanıcı için başka bir zafiyet oluşturup oluşturmadığı denetim edilmelidir.
Çalışanlarda farkındalık yaratılmalı:
Alınmış tedbirlerle kuruluşun en zayıf halkası kadar kuvvetli olunabilir. Bu sebeple teknik tedbirlerin yanında son kullanıcı için farkındalık yaratmak, alınabilecek en kritik önlemler içinde. Konuttan çalışma sırasında yaşanacak riskler hakkında çoğunlukla bilgilendirme yapılmalı.
Güvenlik testleri kaide:
Pandemi üzere kuvvetli vakit içinderda güvenlikten sorumlu işçi kurumun farklı gereksinimlerine odaklandığından rutin yapılması gereken zafiyet idaresi üzere işler aksayabilir. Bu üzere durumlarda var olan güvenlik düzeyini korumak da kritik konulardan biridir.
Alarmlar takip edilmeli:
Yapıda gerçekleşen olayları izleme, araştırma ve beklenmedik olaylar daha sonrası olay araştırması yürütülebilecek bir biçimde loglar alınmalıdır. Bu sayede muhtemel bir ihlal sırasında neler olduğunu anlamak kolaylaşacak ve olaya müdahale süreçleri düzgünleştirilmiş olacaktır.