Page 29 - bilgem-teknoloji-dergisi-10
P. 29
Bilgi Güvenliği
rak bilinen ekstra bir güvenlik katmanıdır. Sadece
Uzaktan çalışma modeli, pek kullanıcının akıllı telefon, tablet ya da 2FA kimlik
çok kişi ve kurum için bilgi doğrulaması için özel olarak üretilmiş cihazlara
güvenliğinin sağlandığı ve ilgili riskler gönderilen ve tamamen rastgele olarak belirlenen
şifreler ile hesaplara giriş yapılabilmektedir.
kontrol altına alındığı sürece uygun bir √ Uzaktan çalışma durumlarında toplantıların ya-
çalışma yöntemidir. pılabilmesi için çalışanlara kurumları tarafından
güvenli toplantı ortamları önerilmelidir. Toplantı-
lar için kullanılacak aracı programların uçtan uca
şifreleme ve çok aşamalı kimlik doğrulama me- şifreleme yaptığı kontrol edilmelidir. Çevrimiçi
kanizmalarına sahip olmalıdır. Milli VPN çözümü, ortamlarda gerçekleştirilen toplantılar için Kişisel
TÜBİTAK-BİLGEM tarafından geliştirilmiş ve kul- Verilerin Korunması Kanunu'nun belirlediği yetki
lanıma sunulmuştur. ve sorumluluklar dikkate alınmalı ve çalışanlar
bilgilendirilmelidir.
√ Çalışanlara, kurumsal e-posta kullanımı teşvik
edilmeli, zaruret olmadıkça bireysel e-posta kul- Çalışan Önlemleri
lanımına izin verilmemelidir. √ Çalışanlar; bilgi varlığının gizlilik derecesi / sı-
√ Yazıcı kullanımı durumunda, dokümanın gizlilik nıflandırılması hakkında yetkinliğe sahip olma-
derecesine göre uygun yazıcıya yönlendirme için- lıdır. Gizlilik derecesi, bilmesi gereken kişiler dı-
çalışanlar yetkilendirilmelidir. şındakilere açıklanmasının veya verilmesinin millî Genel Kurallar √ Dış taraf çalışanının uzaktan kurum ağına bağ-
√ Kullanıcı hesaplarının güçlü parolalarla korun- güvenlik veya kişisel güvenlik açısından sakıncalı Güvenlik önlemleri çerçevesinde kurumun sektö- lanması gerektiği durumlarda sadece ihtiyaç du-
ması sağlanmalıdır. Uzaktan çalışma durumunda görülen bilgi varlığının, ülke menfaatine, gerçek rü, sektördeki çalışma alanı, büyüklüğü, çalışan yulan kaynaklara erişim sağlanır.
riskler artacağından, parolaların sık değiştirilmesi ve tüzel kişiler ile kamu kurum/kuruluşlarına za- sayısı ve bulunduğu bölgeye göre aşağıdaki ku- √ Kurum ağına uzaktan bağlantı sırasında bilgi
sağlanmalıdır. Bu konuda kurum parola politika- rar vermesini önlemek amacıyla önem derecesi- rallar uzaktan bağlantı için uygulanabilir. Bu ku- varlıklarının gizliliğine, bütünlüğüne, erişilebilirli-
sına uyulmalıdır. ne göre sınıflandırılması ve adlandırılması şeklin- rallar, bir kurumun uzaktan bağlantı politikaları ğine zarar gelmesi durumunda, bu zarardan bağ-
√ Kurum sistemlerine erişimlerde ayrıcalıklı yetki- de açıklanabilir. Bilgi varlıkları, bilginin niteliğine, olarak düşünülebilir. lantıyı yapan kullanıcı sorumludur.
lere sahip kullanıcı hesaplarının sayısı kısıtlanarak tutulduğu ortama, saklanmasına, sunulmasına, √ Uzaktan erişim için yetkilendirilmiş kullanıcı bu
yalnızca gereksinim duyan kullanıcılara yetkiler işlenmesine ya da aktarılmasına ilişkin hususlar Uzaktan Erişim Kuralları hakkı diğer kurum çalışanı veya üçüncü taraf ki-
tanınmalıdır. Ayrıcalıklı yetkilere sahip kullanıcı göz önünde bulundurularak sınıflandırılır. √ Kurum çalışanı farklı bir fiziksel lokasyondan, şilere kullandırmaz.
hesaplarının parolaları, güvenli ortamlarda saklan- kurum ağı ve sistemlerine erişimi için VPN (Sanal √ Çalışanlar ve dış taraflar yaptıkları VPN bağlan-
malı ve bu parolaların belirli sıklıkta değiştirilmesi- √ Bilgi varlığının gizlilik derecesine göre işlenme- Özel Ağ) kullanır. tısının ifşa olması/hesaplarının ele geçirilmesi/
hali hazırda var olan zararlı yazılımın kasıtlı ka-
ni sağlayacak düzenlemeler yapılmalıdır. si, saklanması, taşınması ve transferi konusunda √ Kurum ağına VPN ile bağlanmak isteyen kulla- sıtsız kurum ağına bulaştırılması ile ilgili doğacak
√ Uzaktan çalışanlar için kurum tarafından onay- bilgi sahibi olmalıdır. nıcılar gerekli formları doldurarak, kullanım kural- yasal sorumluluklardan kendileri/birim sorumlu-
lanmış depolama platformları, iletişim / video √ Bilgisayarlarına onaysız yazılım yüklememelidir. larını okuduğunu ve uymayı kabul ettiğini taahhüt su sorumludur.
konferans araçları, proje yönetim araçları gibi √ Bilgisayarlarında lisansız yazılım kullanmamalıdır. eder. Formda, erişmek istedikleri kaynak ve servis
uygulamalar kullanılmalıdır. Yalnızca ihtiyaç du- √ Kötücül yazılımların, bilginin bütünlüğünü bilgileri belirtilir. Sonuç
yulan uygulamaların sistemlerde yüklü olması ve bozma, gizliliğini ifşa etme ve erişilebilirliğini √ Uzaktan erişim talepleri ilgili yöneticilerin ıslak Gelişen sosyal ve ekonomik koşullar ile teknolojik
bunun dışındaki uygulamaların sistemlere yük- engelleme sonuçlarını doğurabileceğinin farkın- imzalı onayı ile yerine getirilir. yenilikler, sosyoekonomik yaşamı ve çalışma ha-
lenmesi engellenmelidir. da olmalıdır. √ Dış tarafların çalışanına verilecek olan uzak yatını büyük ölçüde etkilemektedir. Endüstri top-
√ Kurum, çalışanlardan işe girişlerde bilgi güven- √ Sosyal mühendislik amaçlı faaliyetlerde bu- bağlantı yetkilerinden ilgili yönetici sorumludur. lumlarında teknolojide ve üretim sistemlerinde
liği taahhütnamesi alındığı durumlarda, taahhüt- lunmamalıdır. √ Onaylanan uzaktan erişim talebi Bilgi Sistemle- meydana gelen değişmeler, uluslararası rekabet,
namede uzaktan çalışma modeli hakkında sınır- √ Güçlü parola kullanmalı ve kimseyle paylaş- ri Ağ Yöneticisi tarafından karşılanır. artan işsizlik gibi faktörler çalışma sürelerinde
ları belirleyen bilgilendirme yapmalıdır. mamalıdır. √ Kurum uygulamalarına, sistemlerine ve ağ bileşen- esneklik yapılması gerekliliğini ortaya çıkarmıştır.
√ Kurum, uzaktan erişim için yetkilendirilmiş ku- √ Tespit ettikleri bilgi güvenliği ihlallerini kurum lerine uzaktan erişim aktiviteleri kayıt altına alınır. Yaşamakta olduğumuz salgın da bu ihtiyacı kat-
rum çalışanlarını ve bağlantı detaylarını kayıt altı- yetkililerine bildirmelidir. √ Kurum iç ağına uzaktan bağlantı yapılamaz. lamıştır.
na almalıdır (loglama). √ Kurumsal cihazları/ortamları, başka kimselerin Uzaktan Çalışma Kuralları
√ Kurum, ilişik kesen çalışanının uzaktan erişim kontrolsüz kullanımına izin vermemelidir. Uzaktan çalışma modeli, pek çok kişi ve kurum
uygulamalarını ve parolalarını derhal devre dışı Uzaktan bağlantıya (VPN) izin verilen kurumlarda;
bırakmalıdır. √ Kurum varlıklarına erişim sağlarken erişim √ Kurum çalışanı uzaktan çalışılacak ve/veya VPN için bilgi güvenliği sağlandığı ve ilgili riskler kont-
rol altına alındığı sürece uygun bir çalışma yön-
√ Kurum, uzaktan kurum ağına erişecek bilgisa- kontrol politikalarını göz önünde bulundurmalıdır. bağlantısı yapılacak ağın güvenliğinden emin olur.
yarların işletim sistemini, yamalarını ve antivirüs √ Kişisel taşınabilir ortamlar/cihazlar üzerinden √ Halka açık olan ağlardan kurumsal iş bilgisa- temidir. Şüphesiz ki her sektör ve çalışma alanı
için farklı riskler vardır. Bu itibarla, bu yazının
yazılımlarını güncel tutmalıdır. kurum ağına erişim sağlamamalıdır (kurumca yarları ile kablolu/kablosuz bağlantı kurulmaz ve
√ Kurum, yüksek önemdeki sistemlere erişimler- izin verilen veya zorunlu durumlar hariç). VPN bağlantısı yapılmaz. kapsamında daha ziyade genel nitelikteki risklere
de 2FA Two-factor autentication (İki adımlı kimlik √ Kurum bünyesinde onaysız olarak teknik açık- √ İş bilgisayarı dışındaki çalışanın şahsi kullanı- değinilmiş olup, sektörel bazlı oluşabilecek diğer
doğrulama) adı verilen iki kademeli güvenlik doğ- lık taraması ve saldırı/sızma faaliyetlerinde bu- ma ait bilgisayarlar ile kurum ağına VPN bağlantı- risklerin doğru analiz edilmesi ve gerekli önlemle-
rulaması kullanmalıdır. 2FA, iki adımlı doğrulama lunmamalıdır. sı kurulamaz. Kurumsal iş bilgisayarları ile yapılan rin alınabilmesi en doğru yöntem olacaktır.
veya TFA olarak da bilinen İki Faktör Kimlik Doğru- √ Kurum bünyesinde uygulanan güvenlik ön- VPN bağlantılarında bilgisayara uygulanan güvenlik KAYNAKÇA
laması, yalnızca bir şifre ve kullanıcı adı değil, aynı lemlerini devre dışı bırakabilecek faaliyetler yap- kontrollerinin (antivirüs yazılımı, işletim sistemleri -Tübitak BİLGEM Erişim Kontrol Kılavuzu
zamanda “çoklu faktör kimlik doğrulaması” ola- mamalıdır. güvenlik yamaları vb.) güncel ve çalışır olduğundan
emin olunur. -Tübitak BİLGEM Bilgi Güvenliği Taahhütnamesi
26 27