Bilgi Güvenliği







 Uzaktan Çalışma Güvenliği  Gül Aydın – Başuzman Araştırmacı / BİLGEM

                  zaktan çalışma, kişinin kurumu dışında çalı-
                  şabilmesine imkan veren bir çalışma yönte-
             Umidir. Uzaktan çalışma, söz konusu işin çoğu
             zaman teknolojik iletişim araçlarının ve yazılımların
             desteğiyle  evden veya kurumu dışında  bir yerden
 Uzaktan çalışma güvenliği,   yerine  getirilmesidir.  Uzaktan  çalışma  esnasında

 bilgi güvenliği alanının bir alt kümesidir.  kurumun bilgisine ulaşılır. Bilgi ise kurumun en kıy-
             metli varlıklarından biridir.
             Bilgi güvenliği, bir varlık türü olarak bilginin izinsiz
             veya yetkisiz bir biçimde erişim, kullanım, değişti-
             rilme, ifşa edilme, ortadan kaldırılma, el değiştirme
             ve  hasara  uğratılmasını  önlemek  olarak  tanımla-
             nır ve “gizlilik”, “bütünlük” ve “erişilebilirlik” olarak
             isimlendirilen  üç  temel  unsurdan  meydana  gelir.
             Bu üç temel güvenlik öğesinden herhangi biri zarar
             görürse güvenlik zafiyeti oluşur.

             √ Gizlilik (Confidentiality): Bilgilerin yetkisiz erişi-
             me veya ifşaya karşı korunmasını ifade eder. Giz-
             lilik  özelliği  sadece  bilgiye  erişim  yetkisine  sahip   √ Kurum uzaktan çalışma konusunda çalışanlarına
             kişilerin erişmesini sağlar.                      farkındalık  eğitimleri  vermelidir.  Uzaktan  çalışma
             √ Bütünlük  (Integrity):  Bilginin  yetkisiz  değişiklik   modelinin, hali hazırda yapılan işin mahiyetinde bir
             veya imhadan korunması anlamına gelir. Bütünlük   değişikliğe sebebiyet vermeyecek olduğunu ve bu
             özelliğinin amacı, bilginin doğru, eksiksiz ve bozul-  kapsamda normal şartlarda asgari düzeyde dikkat
             mamış olmasını sağlamaktır.                       edilen  tüm  hususlara  dikkat  ve  özen  gösterilme-
             √ Erişilebilirlik (Availability): Bilginin, talep edildi-  ye devam edilmesi gerektiği hatırlatılmalıdır. Çalı-
             ğinde erişilebilir ve kullanılabilir olma özelliğidir.  şanların, uzaktan çalışma modeli öncesinde riayet
                                                               ettikleri  başta  gizlilik  olmak  üzere  tüm  yükümlü-
             Bu  çerçevede,  uzaktan  çalışma  güvenliği,  bilgi   lüklerine  riayet  etmeye  devam  etmeleri  gerektiği
             güvenliği alanının bir alt kümesi olarak düşünül-  anlatılmalıdır. Bu noktada varsa alınması gereken
             melidir.                                          tüm teknik önlemler alınmalıdır.

             Uzaktan Çalışma Riskleri                          √  Çalışan  kuruma  erişimde  mümkün  olduğunca
             √  Kurum  ağına  şifresiz  erişilir  ise  trafiği  dinleyen   VPN Virtual Private Network (Sanal Özel Ağ) kul-
             üçüncü şahısların saldırılarına maruz kalma       lanmalıdır. VPN, temel olarak ağlara uzaktan erişim
             √ Kullanılan parolalar, dokümanlar ve diğer hassas   sağlayan bir sistemdir. VPN kullanıcısı, bulunma-
             verilerin saldırganların eline geçmesi            dığı  bir  noktadaki  ağa  erişebilir,  veri  aktarımında
             √ Kurumların siber saldırılarla karşı karşıya kalması  bulunabilir. VPN istemcisi, iki nokta arasında sanal
             √ Saldırganların kurum ağına erişmesi             bir ağ sürücüsü oluşturur. Daha sonra kullanıcıya
             √ Saldırganların oltalama saldırıları ya da kripto vi-  karşıdaki ağdan bir IP verir. Kullanıcı bu IP ile izin
             rüsleri gibi benzeri saldırılar                   verilen bağlantılara erişebilir. Temel anlamıyla in-
                                                               ternete başka bir IP adresi üzerinden bağlanılma-
             Güvenlik Önlemleri                                sını sağlayan hizmettir.
             Uzaktan çalışma esnasında oluşabilecek yukarıda
             yazılı riskleri bertaraf etmek için kurumlar ve çalı-  VPN, bağlantıyı güvenli hale getirir ve herhangi bir
             şanlar tarafından bir dizi önlem alınmalıdır.     ağa bağlanırken bağlantıyı şifreler ve kimlik tespi-
                                                               tini engeller. VPN sistemi gönderilip alınan tüm ve-
             Kurumsal Önlemler                                 rileri kendisi şifrelediğinden 3. şahısların ne yapıl-
             √ Uzaktan çalışma için sağlanacak erişim, müm-    dığını görmesine izin vermeyen bir güvenlik sistemi
             kün  olduğunca  kurum  tarafından  sağlanan  bilgi-  olarak da kullanılabilir. VPN erişiminde gizliliğin ko-
             sayar,  telefon  ve  benzeri  teknolojik  araç  gereçler   runması ve sistem devamlılığı için kurum güvenlik
             ile yapılmalıdır. Bu cihazlarda bulunan yazılımların   politikaları aynı şekilde uygulanmalıdır. VPN erişimi
             güncelliği kurum tarafından takip edilmeli aksi tak-  olmadan uzak masaüstü bağlantısı yöntemiyle ofis
             dirde güvenlik zafiyetlerine sebebiyet verebileceği   ağına  bağlanılması  engellenmelidir.    Güvenilir  bir
             bilinmelidir.                                     VPN uygulaması, tüm kullanıcılar için geçerli güçlü



 24                                                       25