Bilgi Güvenliği







  BİLGEM YTE tarafından hazırlanan   Uzaktan  çalışma  ortamının  güvenlik  politikası:   Koronavirüse karşı iş kaybının   yabancı  dillerde  de  dolandırıcılık  amacıyla  alan
                                                               adlarının alındığı görülmektedir.
 Uzaktan çalışma modelini uygulayan organizas-
 Uzaktan Çalışma Rehberinde,   yonlar, modelin ilgili tüm güvenlik gereksinimle-  oluşmamasına yönelik çözüm
 uzaktan çalışma ile ilgili gereksinimler,   rini kapsayan bir politika hazırlamalı ve bu mo-  olarak uygulamaya konulan uzaktan   Android casus yazılımları: Benzer şekilde Korona
                                                               virüs  salgını  döneminde  hastalıklarla  ilgili  ista-
 alınması gereken tedbirler, yapılması   delde çalışan personele, gereksinimleri uygulama   çalışmanın, salgın sonrasında bazı   tistiksel bilgiler sağlayan zararlı bir uygulamanın
 zorunluluğu getirmelidirler. Bu politika, kurumun
 gereken kontroller ve güvenli   güvenlik  gereksinimleri  ile  ilgili  tüm  uzman  bö-  meslekler için kalıcı hale gelebileceği   Google Play Store harici kaynaklardan dağıtıldığı
                                                               görülmüştür. John Hopkins Üniversitesi tarafın-
 uygulama örnekleri yer alıyor.  lümler ile koordineli hazırlanmalı ve düzenli ola-  öngörülüyor.  dan  hazırlanan  Koronavirüs  haritasındaki  bilgi-
 rak  güncellenmelidir.  Kurum  çalışanları,  mevcut           leri kullanıcılara yansıtan uygulama, arka planda
 güvenlik politikalarına ek olarak uzaktan çalışmayla   Bu tür sistem ve alt yapıların güvenlik koruma se-  SpyMax adlı uzaktan yönetim aracını (RAT) ba-
 rıyla ilgili temel güvenlik gereksinimlerinin ne ola-  ilgili güvenlik politikasından haberdar edilmeli ve bu   viyesi, kurumun sahip olduğu güvenlik seviyesin-  rındırmaktadır. Yapılan detaylı araştırmada ben-
 cağı belirlenmelidir. Kurum dışına çıkarılan bilgi   kapsamda çalışanlara eğitimler verilmelidir.  den farklı olabileceğinden, kullanıcılar bu sistem   zer şekilde Koronavirüs temalı ve benzer yapıda
 varlıklarının kim tarafından ne zaman çıkarıldığı   ve  altyapıların  kullanımı  ile  ilgili  düzenlemelere   Android uzaktan yönetim araçları barındıran bir-
 kayıt altına alınmalıdır.  Taşınabilir  bilgi  varlıklarının  şifrelenmesi:  Has-  uymalı ve bu hizmetlerden sadece gerekli düzey-  den fazla uygulama olduğu belirlenmiştir.
 sas bilgilere, yetkisiz üçüncü taraflarca erişimin   de faydalanmalıdır.  Video  konferans  uygulamaları:  Uzaktan  çalışma
 Uzaktan  çalışan  personelin  bilinçlendirilmesi:   engellenmesi  veya  görsel  hırsızlığın  önlenmesi   modelinde  internet  üzerinde  görüşme  ihtiyacının
 Uzaktan çalışma yapacak bütün çalışanlar, taşı-  için prosedür, talimat ve kılavuzlar oluşturulmalı-  Hassas bilgilerin imha edilmesi: Uzaktan çalışma   artmasıyla beraber video konferans uygulama kul-
 nabilir BT cihazlarının doğru kullanımı hakkında   dır. Hassas bilgiler içeren BT sistemleri veya veri   esnasında  kullanılan  hassas  veriler  güvenli  bir   lanımı yaygınlaşmıştır. Bu tür iletişim uygulamaları-
 düzenli  olarak  bilgilendirilmelidir.  Bu  kapsamda   taşıyıcıları  mümkünse  tamamen  şifrelenmelidir.   şekilde silinmeli, imha edilmeli veya en azından   na olan yoğun talebi gören saldırganlar, uygulama-
 çalışanlara, uyması gerekli güvenlik önlemleri ile   Şifreleme anahtarları şifrelenmiş aygıttan ayrı bir   anonim  hale  getirilmelidir.  Ömrünü  bitiren  veya   ları  yeniden  paketleyerek  kötü  amaçlı  yazılımlarını
 ilgili eğitimler verilmelidir. Kurallar açık ve anla-  ortamda tutulmalıdır.  arızalanmış veri taşıma ortamları ve belgeler atıl-  yaymak için kullanmaktadır. Genellikle reklam geliri
 şılır bir şekilde belgelenmeli ve uzaktan çalışma   madan önce, hassas bilgiler içerip içermedikleri   elde etmek amacıyla yapılan bu saldırılar, kullanıcı-
 yürütecek tüm çalışanlarla paylaşılmalıdır.  Kurum ağına güvenli uzaktan erişim: Uzaktan ça-  kontrol  edilmelidir.  Mümkünse,  hassas  bilgiler   ların gizliliğini tehlikeye atmaktadır.
 lışan kullanıcıların kişisel cihazları ile kurum ağı-  içeren veya içerdiği düşünülen materyallerin im-
 Güvenlik ve erişim kontrolü: Ofis dışında çalışan   na bağlanması gerektiği durumlarda, şifrelenmiş   hası kurum içerisinde gerçekleştirilmelidir.  BİLGEM YTE Uzaktan Çalışma ve Dijital Kabiliyet
 personel, uzaktan çalışma alanında oluşabilecek   güvenli  bağlantı  oluşturulmadan  önce,  bağlantı   Uzaktan  çalışmayla  ilgili  yasal  düzenlemeler:   Rehberleri
 hırsızlık  veya  erişim  koruması  ile  ilgili  önlemler   için  kullanılacak  cihazda  anlık  güvenlik  dene-  Uzaktan çalışmaya ilişkin iş hukukunda ve iş gü-  Uzaktan çalışma her ne kadar 4857 sayılı İş Ka-
                                                               nunu’nda  yapılan  değişiklikler  sonucu  düzen-
 hakkında bilgilendirilmelidir. Çalışma alanı boşal-  timleri  yapabilen  Sanal  Özel  Ağ  (Virtual  Private   venliğinde yer alan hükümler gözetilerek kurumun   lenmiş olsa da özellikle Covid-19 salgını sonrası
 tıldıktan sonra çalışma alanın kapıları kilitlenmeli   Network,  VPN)  uygulamaları  tercih  edilmelidir.   ilgili  prosedürleri  güncellenmelidir.  Ayrıca,  çalı-  daha  çok  uygulama  alanı  bulmuştur.  Kurum  ve
 böylece yetkisiz kişilerin oda içerisinde yer alan   VPN  uygulamaları,  kullanıcının  kimlik  doğrula-  şanla yapılan veya diğer bağlayıcı sözleşmelerde   kuruluşların yerleşik çalışma alanları için oluştur-
 belgelere ve BT bileşenlerine fiziksel erişimi ön-  masını ve yetkilendirmesini yaptığı gibi kullanılan   yer alan ve ileride fikir ayrılığına neden olabilecek   dukları  güvenlik  kontrollerinin  uzaktan  çalışma
 lenmelidir.Çalışanın bu uygulamaya uyumluluğu   cihazın (güncel virüsten koruma yazılımının yüklü   tüm hususlar açık bir şekilde düzenlenmelidir.  ortamlarında da uygulanması ayrıca daha önemli
 belirli aralıklarla kontrol edilmelidir.  olup olmadığı, işletim sisteminin güncel olup ol-  hale  gelmiştir.  Uzaktan  çalışma  dijital  kabiliye-
 madığı gibi) asgari güvenlik gereksinimlerini sağ-  Bulut bilişim ortam güvenliği: Kurum ve kuruluş-  tine yönelik olarak BİLGEM Yazılım Teknolojileri
              lar, uzaktan çalışma modelleri için hazırladıkları
                                                               Enstitüsü tarafından hazırlanan Uzaktan Çalışma
 layıp sağlamadığını da kontrol edebilmelidir.  politikalarda bulut bilişim gereksinimlerini tanım-  Rehberi'nin, kurum ağına güvenli uzaktan erişim,
              lamalı ve bu gereksinimlere uygun güvenlik yön-  harici sistemler ile çalışma, veri yedekleme, taşı-
 Veri yedekleme: Çalışanlar, yerel olarak depolanan   temlerini ayrıntılı bir şekilde belirlemelidir.  nabilir bilgi varlıklarının şifrelenmesi, bulut bilişim
 verilerin yedeklerini almakla yükümlü tutulmalıdır.           ortam  güvenliği,  uzaktan  çalışma  ile  ilgili  yasal
 Buna ek olarak, daha yüksek erişilebilirliğin sağla-  Uzaktan Çalışmada Artan Güvenlik Olayları  düzenlemeler  gibi  seviyelendirilmiş  içeriklerinin
 nabilmesi için çalışanlar, kullandıkları cihazlarda   Oltalama e-postaları: Kurum dışı alanlarda çalı-  referans alınması, bu çalışma yöntemini kullanan
 tutulan kurumsal verileri ve yedekleri belirli ara-  şanlar,  oltalama  e-postalarında  bulunan  linkler   kurumların daha verimli ve güvenli şekilde çalış-
 lıklarla kurum sunucularına yüklemelidir.  aracılığıyla  yönlendirilen  sahte  sayfalara  daha   ması için yardımcı olacaktır.
              çok maruz kalırlar. Bu yol ile saldırganlar, çalışan-  TÜBİTAK BİLGEM YTE tarafından hazırlanan Di-
 Bilgi  varlığının  kaybolması  veya  çalınması:   ları istedikleri sayfaya yönlendirmekte ve kişisel   jital Kabiliyet Rehberleri kullanılarak, kurumların
 Ofis dışında çalışanlar, BT cihazları veya   bilgiler saldırganların eline geçmektedir.  dijital dönüşüm ihtiyaçları doğrultusunda eğitim
 veri  taşıyıcılarını  kaybettiklerinde,  ive-                 ve rehberlik hizmeti sunulmaktadır. Ülkemiz ko-
 dilikle  kurumlarını  bilgilendirmelidir.   Zararlı alan adları: Cumhurbaşkanlığı Dijital Dö-  şul ve ihtiyaçlarını göz önünde bulunduran, ulus-
 Kurumun  ilgili  prosedüründe  bu  süreç   nüşüm Ofisi’nin araştırmasına göre Koronavirüs   lararası çalışmaları dikkate alan rehberler ile ku-
 açık ve net bir şekilde düzenlenmeli ve   salgını  ile  ilgili  4000  tane  alan  adının  alındığı   rumların dijital olgunluğu ve çalışan yetkinliğinin
 irtibat noktası belirlenmelidir.  ve  bunların  320’sinin  zararlı  web  siteleri  oldu-  artırılması  ve  bu  sayede  dijital  kurumsal  kapa-
              ğu görülmüştür. Ulusal Siber Olaylara Müdaha-    sitenin  geliştirilmesine  katkı  sağlanması  amaç-
 Harici  BT  sistemleri  ve  ağlarıyla  çalışma:   le Merkezi (USOM) zararlı alan adları listesinde   lanmaktadır. Rehberlerin, etkinlik ve bilgi güven-
 Kurum  ve  kuruluşlar,  ortak  kullanım   ise 100’den fazla alan adının Koronavirüs ile ilgili   liğine yönelik dikkate alınması önerilen unsur ve
 alanlarında bulunan ve üçüncü taraflarca   sözcükler içerdiği görülmüştür. Bu alan adlarının   alternatifler ile birlikte bilgi ve yönlendirmeler de
 yönetilen harici BT sistem ve altyapılarının   özellikle Türkiye’de yaşayan kişileri ve kurumla-  yer almaktadır. . Rehberlerin www.dijitalakademi.
 kullanımıyla ilgili düzenlemeleri yapmalıdır.   rı hedef alması önemli bir noktadır. Aynı şekilde   gov.tr‘den açık erişimi sağlanmaktadır.




                                                          19