Bilgi Güvenliği







 rak bilinen ekstra bir güvenlik katmanıdır. Sadece
 Uzaktan çalışma modeli, pek   kullanıcının akıllı telefon, tablet ya da 2FA kimlik
 çok kişi ve kurum için bilgi   doğrulaması  için  özel  olarak  üretilmiş  cihazlara
 güvenliğinin sağlandığı ve ilgili riskler   gönderilen ve tamamen rastgele olarak belirlenen
 şifreler ile hesaplara giriş yapılabilmektedir.
 kontrol altına alındığı sürece uygun bir   √ Uzaktan çalışma durumlarında toplantıların ya-
 çalışma yöntemidir.  pılabilmesi  için  çalışanlara  kurumları  tarafından
 güvenli toplantı ortamları önerilmelidir. Toplantı-
 lar için kullanılacak aracı programların uçtan uca
 şifreleme ve çok aşamalı kimlik doğrulama me-  şifreleme  yaptığı  kontrol  edilmelidir.  Çevrimiçi
 kanizmalarına sahip olmalıdır. Milli VPN çözümü,   ortamlarda gerçekleştirilen toplantılar için Kişisel
 TÜBİTAK-BİLGEM tarafından geliştirilmiş ve kul-  Verilerin Korunması Kanunu'nun belirlediği yetki
 lanıma sunulmuştur.   ve  sorumluluklar  dikkate  alınmalı  ve  çalışanlar
 bilgilendirilmelidir.
 √ Çalışanlara, kurumsal e-posta kullanımı teşvik
 edilmeli, zaruret olmadıkça bireysel e-posta kul-  Çalışan Önlemleri
 lanımına izin verilmemelidir.  √ Çalışanlar; bilgi varlığının gizlilik derecesi / sı-
 √ Yazıcı kullanımı durumunda, dokümanın gizlilik   nıflandırılması  hakkında  yetkinliğe  sahip  olma-
 derecesine göre uygun yazıcıya yönlendirme için-  lıdır. Gizlilik derecesi, bilmesi gereken kişiler dı-
 çalışanlar yetkilendirilmelidir.  şındakilere açıklanmasının veya verilmesinin millî   Genel Kurallar  √ Dış taraf çalışanının uzaktan kurum ağına bağ-
 √ Kullanıcı hesaplarının güçlü parolalarla korun-  güvenlik veya kişisel güvenlik açısından sakıncalı   Güvenlik önlemleri çerçevesinde kurumun sektö-  lanması gerektiği durumlarda sadece ihtiyaç du-
 ması sağlanmalıdır. Uzaktan çalışma durumunda   görülen  bilgi  varlığının,  ülke  menfaatine,  gerçek   rü,  sektördeki  çalışma  alanı,  büyüklüğü,  çalışan   yulan kaynaklara erişim sağlanır.
 riskler artacağından, parolaların sık değiştirilmesi   ve tüzel kişiler ile kamu kurum/kuruluşlarına za-  sayısı ve bulunduğu bölgeye göre aşağıdaki ku-  √  Kurum  ağına  uzaktan  bağlantı  sırasında  bilgi
 sağlanmalıdır. Bu konuda kurum parola politika-  rar vermesini önlemek amacıyla önem derecesi-  rallar uzaktan bağlantı için uygulanabilir. Bu ku-  varlıklarının gizliliğine, bütünlüğüne, erişilebilirli-
 sına uyulmalıdır.  ne göre sınıflandırılması ve adlandırılması şeklin-  rallar,  bir  kurumun  uzaktan  bağlantı  politikaları   ğine zarar gelmesi durumunda, bu zarardan bağ-
 √ Kurum sistemlerine erişimlerde ayrıcalıklı yetki-  de açıklanabilir. Bilgi varlıkları, bilginin niteliğine,   olarak düşünülebilir.  lantıyı yapan kullanıcı sorumludur.
 lere sahip kullanıcı hesaplarının sayısı kısıtlanarak   tutulduğu  ortama,  saklanmasına,  sunulmasına,   √ Uzaktan erişim için yetkilendirilmiş kullanıcı bu
 yalnızca  gereksinim  duyan  kullanıcılara  yetkiler   işlenmesine ya da aktarılmasına ilişkin hususlar   Uzaktan Erişim Kuralları  hakkı diğer kurum çalışanı veya üçüncü taraf ki-
 tanınmalıdır.  Ayrıcalıklı  yetkilere  sahip  kullanıcı   göz önünde bulundurularak sınıflandırılır.  √ Kurum çalışanı farklı bir fiziksel lokasyondan,   şilere kullandırmaz.
 hesaplarının parolaları, güvenli ortamlarda saklan-  kurum ağı ve sistemlerine erişimi için VPN (Sanal   √ Çalışanlar ve dış taraflar yaptıkları VPN bağlan-
 malı ve bu parolaların belirli sıklıkta değiştirilmesi-  √ Bilgi varlığının gizlilik derecesine göre işlenme-  Özel Ağ) kullanır.  tısının  ifşa  olması/hesaplarının  ele  geçirilmesi/
                                                               hali hazırda var olan zararlı yazılımın kasıtlı ka-
 ni sağlayacak düzenlemeler yapılmalıdır.  si, saklanması, taşınması ve transferi konusunda   √ Kurum ağına VPN ile bağlanmak isteyen kulla-  sıtsız kurum ağına bulaştırılması ile ilgili doğacak
 √ Uzaktan çalışanlar için kurum tarafından onay-  bilgi sahibi olmalıdır.  nıcılar gerekli formları doldurarak, kullanım kural-  yasal sorumluluklardan kendileri/birim sorumlu-
 lanmış  depolama  platformları,  iletişim  /  video   √ Bilgisayarlarına onaysız yazılım yüklememelidir.  larını okuduğunu ve uymayı kabul ettiğini taahhüt   su sorumludur.
 konferans  araçları,  proje  yönetim  araçları  gibi   √ Bilgisayarlarında lisansız yazılım kullanmamalıdır.  eder. Formda, erişmek istedikleri kaynak ve servis
 uygulamalar kullanılmalıdır. Yalnızca ihtiyaç du-  √  Kötücül  yazılımların,  bilginin  bütünlüğünü   bilgileri belirtilir.   Sonuç
 yulan uygulamaların sistemlerde yüklü olması ve   bozma,  gizliliğini  ifşa  etme  ve  erişilebilirliğini   √ Uzaktan erişim talepleri ilgili yöneticilerin ıslak   Gelişen sosyal ve ekonomik koşullar ile teknolojik
 bunun  dışındaki  uygulamaların  sistemlere  yük-  engelleme sonuçlarını doğurabileceğinin farkın-  imzalı onayı ile yerine getirilir.  yenilikler, sosyoekonomik yaşamı ve çalışma ha-
 lenmesi engellenmelidir.  da olmalıdır.  √  Dış  tarafların  çalışanına  verilecek  olan  uzak   yatını büyük ölçüde etkilemektedir. Endüstri top-
 √ Kurum, çalışanlardan işe girişlerde bilgi güven-  √  Sosyal  mühendislik  amaçlı  faaliyetlerde  bu-  bağlantı yetkilerinden ilgili yönetici sorumludur.   lumlarında  teknolojide  ve  üretim  sistemlerinde
 liği taahhütnamesi alındığı durumlarda, taahhüt-  lunmamalıdır.  √ Onaylanan uzaktan erişim talebi Bilgi Sistemle-  meydana gelen değişmeler, uluslararası rekabet,
 namede uzaktan çalışma modeli hakkında sınır-  √  Güçlü  parola  kullanmalı  ve  kimseyle  paylaş-  ri Ağ Yöneticisi tarafından karşılanır.   artan  işsizlik  gibi  faktörler  çalışma  sürelerinde
 ları belirleyen bilgilendirme yapmalıdır.  mamalıdır.  √ Kurum uygulamalarına, sistemlerine ve ağ bileşen-  esneklik yapılması gerekliliğini ortaya çıkarmıştır.
 √ Kurum, uzaktan erişim için yetkilendirilmiş ku-  √ Tespit ettikleri bilgi güvenliği ihlallerini kurum   lerine uzaktan erişim aktiviteleri kayıt altına alınır.  Yaşamakta olduğumuz salgın da bu ihtiyacı kat-
 rum çalışanlarını ve bağlantı detaylarını kayıt altı-  yetkililerine bildirmelidir.  √ Kurum iç ağına uzaktan bağlantı yapılamaz.  lamıştır.
 na almalıdır (loglama).  √ Kurumsal cihazları/ortamları, başka kimselerin   Uzaktan Çalışma Kuralları
 √ Kurum, ilişik kesen çalışanının uzaktan erişim   kontrolsüz kullanımına izin vermemelidir.  Uzaktan çalışma  modeli,  pek  çok  kişi ve  kurum
 uygulamalarını  ve  parolalarını  derhal  devre  dışı   Uzaktan bağlantıya (VPN) izin verilen kurumlarda;
 bırakmalıdır.  √  Kurum  varlıklarına  erişim  sağlarken  erişim   √ Kurum çalışanı uzaktan çalışılacak ve/veya VPN   için bilgi güvenliği sağlandığı ve ilgili riskler kont-
                                                               rol altına alındığı sürece uygun bir çalışma yön-
 √ Kurum, uzaktan kurum ağına erişecek bilgisa-  kontrol politikalarını göz önünde bulundurmalıdır.  bağlantısı yapılacak ağın güvenliğinden emin olur.
 yarların işletim sistemini, yamalarını ve antivirüs   √ Kişisel taşınabilir ortamlar/cihazlar üzerinden   √ Halka açık olan ağlardan kurumsal iş bilgisa-  temidir. Şüphesiz ki her sektör ve çalışma alanı
                                                               için  farklı  riskler  vardır.  Bu  itibarla,  bu  yazının
 yazılımlarını güncel tutmalıdır.  kurum  ağına  erişim  sağlamamalıdır  (kurumca   yarları ile kablolu/kablosuz bağlantı kurulmaz ve
 √ Kurum, yüksek önemdeki sistemlere erişimler-  izin verilen veya zorunlu durumlar hariç).   VPN bağlantısı yapılmaz.  kapsamında daha ziyade genel nitelikteki risklere
 de 2FA Two-factor autentication (İki adımlı kimlik   √ Kurum bünyesinde onaysız olarak teknik açık-  √  İş  bilgisayarı  dışındaki  çalışanın  şahsi  kullanı-  değinilmiş olup, sektörel bazlı oluşabilecek diğer
 doğrulama) adı verilen iki kademeli güvenlik doğ-  lık taraması ve saldırı/sızma faaliyetlerinde bu-  ma ait bilgisayarlar ile kurum ağına VPN bağlantı-  risklerin doğru analiz edilmesi ve gerekli önlemle-
 rulaması kullanmalıdır. 2FA, iki adımlı doğrulama   lunmamalıdır.  sı kurulamaz. Kurumsal iş bilgisayarları ile yapılan   rin alınabilmesi en doğru yöntem olacaktır.
 veya TFA olarak da bilinen İki Faktör Kimlik Doğru-  √  Kurum  bünyesinde  uygulanan  güvenlik  ön-  VPN bağlantılarında bilgisayara uygulanan güvenlik   KAYNAKÇA
 laması, yalnızca bir şifre ve kullanıcı adı değil, aynı   lemlerini devre dışı bırakabilecek faaliyetler yap-  kontrollerinin  (antivirüs  yazılımı,  işletim  sistemleri   -Tübitak BİLGEM Erişim Kontrol Kılavuzu
 zamanda  “çoklu  faktör  kimlik  doğrulaması”  ola-  mamalıdır.  güvenlik yamaları vb.)  güncel ve çalışır olduğundan
              emin olunur.                                     -Tübitak BİLGEM Bilgi Güvenliği Taahhütnamesi




 26                                                       27