“Siber güvenlik” veya daha genel olarak kabul
görmüş ismiyle “bilgi güvenliği” konuları her geçen gün kurumsal yapının daha
üst basamaklarında ele alınıyor. İş hayatına ilk başladığımda “bilgisayarcı
çocuk” tarafından ele alınan konu artık müdür, direktör ve hatta genel müdür
seviyesinde ele alınmaya başlandı. Bilgi Güvenliği konusunda çalışmayan ama bütçe veya satınalma onayı gibi nedenlerle bu konuda karar vermek zorunda kalan; CEO, CXO, Genel Müdür, Satınalma Müdürü, Finans Müdürü, Mali Müşavir, Danışman ve benzeri görevleri üstlenenlerin bu konuda daha doğru ve etkin kararlar vermelerini sağlayacak bazı basit soruları toparlamak istedim.
Yönetici (temsili)
Konunun Bilgi İşlem birimlerinin ötesine
ve/veya üstüne taşınmasının başlıca nedenleri arasında aşağıdakileri sayabiliriz;
- Kanuni zorunluluklar: 5651 sayılı kanun gibi kanunların veya çeşitli yönetmeliklerin kurumsal bilgileri koruma zorunluluğu getirmesi.
- Değişen iş süreçleri: Internet’e ve bilgi teknolojilerine daha bağlı hale gelen iş süreçleri bilgi güvenliği ihlallerinin iş, para veya itibar kaybına neden olması şirketlerin üst yönetimlerinin konuya daha fazla ilgi göstermesine neden olmuştur.
- Artan bilinç düzeyi: Bilgi güvenliği konusunda yaşanan ihlallerin ve konunun bir şirket için hayati önem taşıdığının basında ve çeşitli etkinliklerde dile getirilmesi kurumsal yapının her basamağında belli bir farkındalık düzeyi oluşmasını sağlamıştır.
Bilgi güvenliğinin teknik/teknolojik bir konu
olmadığını elimden geldiğince her fırsatta vurgulamaya çalışıyorum. Bilgi güvenliği
konusu aslında bir risk yönetimi konusudur ve bu nedenle konuşmaların ve
kararların sadece teknik bir bakış açısı ile ele alınması çok doğru
olmayacaktır. Bilgi güvenliği konusunda doğru adımların atılması ve
yatırımların yapılmasını sağlamak amacıyla konuya Üst Yönetim bakış açısıyla
yaklaşmanın faydası olacaktır.
Bilgi güvenliği yatırımlarının etkili olması,
yapılan yatırımın tam karşılığının alınabilmesi ve şirket veya kurum için
hayati önem taşıyan bu konuda atılan adımların somut olarak ne anlama
geldiğinin Üst Yönetim tarafından anlaşılması çok önemlidir.
Bu işlere “Bilgisayarcı Çocuk” bakmıyor mu?
Maalesef, Bilgi Güvenliği bir risk yönetimi
faaliyetidir ve şirket risklerinin sahiplerinin sorumluluğuna girmiştir. Şirket
risklerinin sahipleri; Genel Müdürler, CEO’lar, Finans müdürleri veya
İdareciler gibi şirketin veya kurumun doğru çalışmasını, zarara uğramaması ve
daha ileriye gitmesi için çalışan kişilerdir.
Teknik birimlerle Yöneticilerin Bilgi
Güvenliği konusunda karar vermek için yaptıkları toplantılarda teknik olmayan
idarecilerin elinin altında bulunmasında fayda gördüğüm bazı soruları aşağıda
toparladım. Bir karar toplantısında veya ilk fırsatını bulduğunuzda teknik
birimdeki arkadaşlarınızla bu soruların etrafında bir görüşme yapmak kurumsal
Bilgi Güvenliği düzeyinizi anlamak ve iyileştirmek için faydalı olacaktır.
Siber hırsızlık ve Casusluk Zafiyet Kontrol
Soruları
- Korumamız gereken veya yarın sabah gazete manşetlerinde görmekten hoşlanmayacağımız ticari sır, bilgi, yazışma, plan, proje ve/veya patentlerimiz var mı?
- Ticari sırlarımıza, bilgilerimize, yazışmalarımıza, planlarımıza, projelerimize ve/veya patentlerimize erişmek isteyebilecek rakipler veya başkaları var mı?
- Ticari sır, bilgi, yazışma, plan, proje ve/veya patentlerimiz bilgisayar ortamında tutuluyor mu?
- Bilgisayarlarınız veya bilgisayar ağınız internete bağlı mı?
- Bilgisayarlarınızda USB girişi, ağ kablosu girişi veya CD/DVD yazıcı var mı?
- Önemli bilgilerimizin, dosyalarımızın ve yazışmalarımızın yedeklerini düzenli olarak alıyor muyuz?
Bu soruların yanıtları kurumsal ağınızın
saldırganlar açısından ne kadar “iştah açıcı” olduğunu ortaya koymaktadır.
Bunlardan en az 2 tanesine “evet” yanıtı verdiyseniz Yönetim olarak Bilgi
Güvenliği konularına dahil olmanız gerekmektedir.
Teknik Riskler ve Zafiyetler Kontrol Soruları
Bu soruların yanıtları kurumsal ağınızın ne
kadar “hacklenebilir” olduğu konusunda bir fikri verecektir.
- Daha önce bilgi güvenliği konusunda bir ihlal
yaşandı mı?
Önceki güvenlik ihlaline neden olan açık hala kapatılmamış olabilir. İstatistiksel olarak daha önce saldırıya uğramış bir şirketin tekrar saldırıya uğrama ihtimali çok yüksektir. - Bilgisayarlarınızda veya bilgisayar ağınızda
zararlı yazılım tespit edildi mi? (virüs, Truva atı, ransomware, vs.)
Zararlı yazılımlar geride arka kapılar veya kendilerini bile bırakabilirler. Bu nedenle daha önce zararlı yazılım bulaşmış bir ağın ve sistemlerin çok dikkatlice incelenmesi ve temizlenmesi gerekir. - Ağınızı açık portları ve zafiyetleri tespit
etmek için dışarıdan tarayanlar var mı?
Web uzantınız .gov.tr ise günde birkaç bin kez, .com.tr ise günde birkaç yüz kez taranıyorsunuz. Bilgi İşlem ekibinin bunun farkında olması ve ağ üzerinde gerekli tedbirleri alması önemlidir. - Kullandığınız yazılımların ve sistemlerin daha
güncel sürümleri veya bu yazılımlar için yayınlanmış yamalar var mı?
Güncel sürümler güvenlik açıklarını kapattığı için çok önemlidir. Kullandığınız yazılımların bir envanterini çıkartmak ve bunları üreticilerin web sayfalarındaki son sürümlerle karşılaştırmak sistemlerinizin güncel olup olmadığını anlamınızı sağlar. - Personeliniz iş için laptop, tablet, akıllı
telefon benzeri taşınabilir cihazlar kullanıyor mu?
Mobil cihazların güvenliğini sağlamak için alınması gereken önlemlerin alındığından emin olmak gerekiyor. Cihazlar çalınabilir, güvenli olmayan bir ağ üzerinden şirket bilgilerine ulaşabilir ki, bu durumda ,aynı ağa bağlı herhangi biri de aynı bilgileri görebilir. - Ağ ve bilgiye ulaşmak için sadece parola
(kullanıcı adı ve şifre olarak da bilinir) kontrolü mü yapıyorsunuz?
Sadece parolaya güvenmek parolanın ele geçirilmesi durumda tamamen korumasız kalmanıza neden olur. - Ağınızın ve bilgisayar sistemlerinizi düzenli olarak bilinen zafiyetlere karşı tarıyor musunuz?Bu taramaları yapmak bilinen ve saldırganlar tarafından yaygın olarak istismar edilmeye çalışılan güvenlik zafiyetlerini tespit etmenizi ve gerekli önlemleri almanızı sağlar.
- Ağınıza veya ağınızdaki sistemlere uzaktan
erişim (RDP, SSH, Web arayüzü, API, vs.) sağlıyor musunuz?
Uzaktan erişim sağlayan cihaza (masaüstü bilgisayar, laptop, tablet veya akıllı telefon) zararlı yazılım bulaşmış olabilir veya güvensiz bir bağlantı üzerinden bağlanıyor olabilir. Bu durumların dışında da uzaktan erişim vererek kurumsal ağınızı dış dünyaya açtığınızı bilmeli ve gerekli tedbirleri almalısınız.
No comments:
Post a Comment