Page 21 - bilgem-teknoloji-dergisi-10
P. 21
Bilgi Güvenliği
BİLGEM YTE tarafından hazırlanan Uzaktan çalışma ortamının güvenlik politikası: Koronavirüse karşı iş kaybının yabancı dillerde de dolandırıcılık amacıyla alan
adlarının alındığı görülmektedir.
Uzaktan çalışma modelini uygulayan organizas-
Uzaktan Çalışma Rehberinde, yonlar, modelin ilgili tüm güvenlik gereksinimle- oluşmamasına yönelik çözüm
uzaktan çalışma ile ilgili gereksinimler, rini kapsayan bir politika hazırlamalı ve bu mo- olarak uygulamaya konulan uzaktan Android casus yazılımları: Benzer şekilde Korona
virüs salgını döneminde hastalıklarla ilgili ista-
alınması gereken tedbirler, yapılması delde çalışan personele, gereksinimleri uygulama çalışmanın, salgın sonrasında bazı tistiksel bilgiler sağlayan zararlı bir uygulamanın
zorunluluğu getirmelidirler. Bu politika, kurumun
gereken kontroller ve güvenli güvenlik gereksinimleri ile ilgili tüm uzman bö- meslekler için kalıcı hale gelebileceği Google Play Store harici kaynaklardan dağıtıldığı
görülmüştür. John Hopkins Üniversitesi tarafın-
uygulama örnekleri yer alıyor. lümler ile koordineli hazırlanmalı ve düzenli ola- öngörülüyor. dan hazırlanan Koronavirüs haritasındaki bilgi-
rak güncellenmelidir. Kurum çalışanları, mevcut leri kullanıcılara yansıtan uygulama, arka planda
güvenlik politikalarına ek olarak uzaktan çalışmayla Bu tür sistem ve alt yapıların güvenlik koruma se- SpyMax adlı uzaktan yönetim aracını (RAT) ba-
rıyla ilgili temel güvenlik gereksinimlerinin ne ola- ilgili güvenlik politikasından haberdar edilmeli ve bu viyesi, kurumun sahip olduğu güvenlik seviyesin- rındırmaktadır. Yapılan detaylı araştırmada ben-
cağı belirlenmelidir. Kurum dışına çıkarılan bilgi kapsamda çalışanlara eğitimler verilmelidir. den farklı olabileceğinden, kullanıcılar bu sistem zer şekilde Koronavirüs temalı ve benzer yapıda
varlıklarının kim tarafından ne zaman çıkarıldığı ve altyapıların kullanımı ile ilgili düzenlemelere Android uzaktan yönetim araçları barındıran bir-
kayıt altına alınmalıdır. Taşınabilir bilgi varlıklarının şifrelenmesi: Has- uymalı ve bu hizmetlerden sadece gerekli düzey- den fazla uygulama olduğu belirlenmiştir.
sas bilgilere, yetkisiz üçüncü taraflarca erişimin de faydalanmalıdır. Video konferans uygulamaları: Uzaktan çalışma
Uzaktan çalışan personelin bilinçlendirilmesi: engellenmesi veya görsel hırsızlığın önlenmesi modelinde internet üzerinde görüşme ihtiyacının
Uzaktan çalışma yapacak bütün çalışanlar, taşı- için prosedür, talimat ve kılavuzlar oluşturulmalı- Hassas bilgilerin imha edilmesi: Uzaktan çalışma artmasıyla beraber video konferans uygulama kul-
nabilir BT cihazlarının doğru kullanımı hakkında dır. Hassas bilgiler içeren BT sistemleri veya veri esnasında kullanılan hassas veriler güvenli bir lanımı yaygınlaşmıştır. Bu tür iletişim uygulamaları-
düzenli olarak bilgilendirilmelidir. Bu kapsamda taşıyıcıları mümkünse tamamen şifrelenmelidir. şekilde silinmeli, imha edilmeli veya en azından na olan yoğun talebi gören saldırganlar, uygulama-
çalışanlara, uyması gerekli güvenlik önlemleri ile Şifreleme anahtarları şifrelenmiş aygıttan ayrı bir anonim hale getirilmelidir. Ömrünü bitiren veya ları yeniden paketleyerek kötü amaçlı yazılımlarını
ilgili eğitimler verilmelidir. Kurallar açık ve anla- ortamda tutulmalıdır. arızalanmış veri taşıma ortamları ve belgeler atıl- yaymak için kullanmaktadır. Genellikle reklam geliri
şılır bir şekilde belgelenmeli ve uzaktan çalışma madan önce, hassas bilgiler içerip içermedikleri elde etmek amacıyla yapılan bu saldırılar, kullanıcı-
yürütecek tüm çalışanlarla paylaşılmalıdır. Kurum ağına güvenli uzaktan erişim: Uzaktan ça- kontrol edilmelidir. Mümkünse, hassas bilgiler ların gizliliğini tehlikeye atmaktadır.
lışan kullanıcıların kişisel cihazları ile kurum ağı- içeren veya içerdiği düşünülen materyallerin im-
Güvenlik ve erişim kontrolü: Ofis dışında çalışan na bağlanması gerektiği durumlarda, şifrelenmiş hası kurum içerisinde gerçekleştirilmelidir. BİLGEM YTE Uzaktan Çalışma ve Dijital Kabiliyet
personel, uzaktan çalışma alanında oluşabilecek güvenli bağlantı oluşturulmadan önce, bağlantı Uzaktan çalışmayla ilgili yasal düzenlemeler: Rehberleri
hırsızlık veya erişim koruması ile ilgili önlemler için kullanılacak cihazda anlık güvenlik dene- Uzaktan çalışmaya ilişkin iş hukukunda ve iş gü- Uzaktan çalışma her ne kadar 4857 sayılı İş Ka-
nunu’nda yapılan değişiklikler sonucu düzen-
hakkında bilgilendirilmelidir. Çalışma alanı boşal- timleri yapabilen Sanal Özel Ağ (Virtual Private venliğinde yer alan hükümler gözetilerek kurumun lenmiş olsa da özellikle Covid-19 salgını sonrası
tıldıktan sonra çalışma alanın kapıları kilitlenmeli Network, VPN) uygulamaları tercih edilmelidir. ilgili prosedürleri güncellenmelidir. Ayrıca, çalı- daha çok uygulama alanı bulmuştur. Kurum ve
böylece yetkisiz kişilerin oda içerisinde yer alan VPN uygulamaları, kullanıcının kimlik doğrula- şanla yapılan veya diğer bağlayıcı sözleşmelerde kuruluşların yerleşik çalışma alanları için oluştur-
belgelere ve BT bileşenlerine fiziksel erişimi ön- masını ve yetkilendirmesini yaptığı gibi kullanılan yer alan ve ileride fikir ayrılığına neden olabilecek dukları güvenlik kontrollerinin uzaktan çalışma
lenmelidir.Çalışanın bu uygulamaya uyumluluğu cihazın (güncel virüsten koruma yazılımının yüklü tüm hususlar açık bir şekilde düzenlenmelidir. ortamlarında da uygulanması ayrıca daha önemli
belirli aralıklarla kontrol edilmelidir. olup olmadığı, işletim sisteminin güncel olup ol- hale gelmiştir. Uzaktan çalışma dijital kabiliye-
madığı gibi) asgari güvenlik gereksinimlerini sağ- Bulut bilişim ortam güvenliği: Kurum ve kuruluş- tine yönelik olarak BİLGEM Yazılım Teknolojileri
lar, uzaktan çalışma modelleri için hazırladıkları
Enstitüsü tarafından hazırlanan Uzaktan Çalışma
layıp sağlamadığını da kontrol edebilmelidir. politikalarda bulut bilişim gereksinimlerini tanım- Rehberi'nin, kurum ağına güvenli uzaktan erişim,
lamalı ve bu gereksinimlere uygun güvenlik yön- harici sistemler ile çalışma, veri yedekleme, taşı-
Veri yedekleme: Çalışanlar, yerel olarak depolanan temlerini ayrıntılı bir şekilde belirlemelidir. nabilir bilgi varlıklarının şifrelenmesi, bulut bilişim
verilerin yedeklerini almakla yükümlü tutulmalıdır. ortam güvenliği, uzaktan çalışma ile ilgili yasal
Buna ek olarak, daha yüksek erişilebilirliğin sağla- Uzaktan Çalışmada Artan Güvenlik Olayları düzenlemeler gibi seviyelendirilmiş içeriklerinin
nabilmesi için çalışanlar, kullandıkları cihazlarda Oltalama e-postaları: Kurum dışı alanlarda çalı- referans alınması, bu çalışma yöntemini kullanan
tutulan kurumsal verileri ve yedekleri belirli ara- şanlar, oltalama e-postalarında bulunan linkler kurumların daha verimli ve güvenli şekilde çalış-
lıklarla kurum sunucularına yüklemelidir. aracılığıyla yönlendirilen sahte sayfalara daha ması için yardımcı olacaktır.
çok maruz kalırlar. Bu yol ile saldırganlar, çalışan- TÜBİTAK BİLGEM YTE tarafından hazırlanan Di-
Bilgi varlığının kaybolması veya çalınması: ları istedikleri sayfaya yönlendirmekte ve kişisel jital Kabiliyet Rehberleri kullanılarak, kurumların
Ofis dışında çalışanlar, BT cihazları veya bilgiler saldırganların eline geçmektedir. dijital dönüşüm ihtiyaçları doğrultusunda eğitim
veri taşıyıcılarını kaybettiklerinde, ive- ve rehberlik hizmeti sunulmaktadır. Ülkemiz ko-
dilikle kurumlarını bilgilendirmelidir. Zararlı alan adları: Cumhurbaşkanlığı Dijital Dö- şul ve ihtiyaçlarını göz önünde bulunduran, ulus-
Kurumun ilgili prosedüründe bu süreç nüşüm Ofisi’nin araştırmasına göre Koronavirüs lararası çalışmaları dikkate alan rehberler ile ku-
açık ve net bir şekilde düzenlenmeli ve salgını ile ilgili 4000 tane alan adının alındığı rumların dijital olgunluğu ve çalışan yetkinliğinin
irtibat noktası belirlenmelidir. ve bunların 320’sinin zararlı web siteleri oldu- artırılması ve bu sayede dijital kurumsal kapa-
ğu görülmüştür. Ulusal Siber Olaylara Müdaha- sitenin geliştirilmesine katkı sağlanması amaç-
Harici BT sistemleri ve ağlarıyla çalışma: le Merkezi (USOM) zararlı alan adları listesinde lanmaktadır. Rehberlerin, etkinlik ve bilgi güven-
Kurum ve kuruluşlar, ortak kullanım ise 100’den fazla alan adının Koronavirüs ile ilgili liğine yönelik dikkate alınması önerilen unsur ve
alanlarında bulunan ve üçüncü taraflarca sözcükler içerdiği görülmüştür. Bu alan adlarının alternatifler ile birlikte bilgi ve yönlendirmeler de
yönetilen harici BT sistem ve altyapılarının özellikle Türkiye’de yaşayan kişileri ve kurumla- yer almaktadır. . Rehberlerin www.dijitalakademi.
kullanımıyla ilgili düzenlemeleri yapmalıdır. rı hedef alması önemli bir noktadır. Aynı şekilde gov.tr‘den açık erişimi sağlanmaktadır.
19