Yazan: Sergio Bertoni, SearchInform’un Lider Analisti
Bilgi güvenliği ile ilgili konulara ilişkin mevzuatın güçlendirilmesi yönünde küresel bir eğilim bulunmaktadır. Düzenleyicilerin gereksinimlerinin yanı sıra, bilgi güvenliğiyle ilgili olayların miktarındaki büyük artış nedeniyle, giderek daha fazla kişi uygun düzeyde bilgi güvenliği güvenliği sağlamanın önemini anlamaya başlıyor. Dünyanın her yerindeki kuruluşlar ve işletmeler, topladıkları ve işledikleri verilerin güvenliğini sağlamak konusunda motive olmuşlardır.
Daha fazla sorumlulukla uğraşması ve çalışması gereken uzmanların ilk grubu bilgi güvenliği görevlileridir. Bu, özellikle alandaki genç uzmanlar için geçerlidir. Özellikle gelişmiş bilgi güvenliği koruma sistemine sahip olmayan bir şirkette çalışanlar için. Bu bir fantezi senaryosu değil, eğer bu sizin durumunuza da uyuyorsa, bu makale tam size göre.
O halde bazı temel bilgilerle başlayalım. Henüz gelişmiş bir bilgi güvenliği korumasına sahip olmayan bir şirkette çalışıyorsanız iki temel seçeneğiniz vardır:
- İş gereksinimlerine göre.
- Düzenleyicinin gereksinimlerine dayanmaktadır.
En verimli olanı düzenleyicinin gerekliliklerini iş gereksinimleriyle tamamlamaktır. Bu yazımızda bunun nasıl yapılacağına dair öneriler sunacağız.
İş yolu
Ön aşama. Koruma paradigmasını seçin.
Bilgi güvenliği konusunun önemini gerçekten anlayan bir şefe sahip olacak kadar şanslı olsanız bile, inisiyatif sahibi ve proaktif olmalısınız; her şeyin nasıl yapılması gerektiğine dair bir tür plan sunmalısınız. En azından envanterden (donanım, yazılım ve içerik) başlayarak “en azından” ne yapılması gerektiğine dair bilgileri içeren bir plan hazırlayın; En önemli risklerin nasıl tanımlanacağını ve bunların hafifletilmesine yönelik yöntemlerin nasıl ortaya çıkarılacağını açıklayın.
Planı kişiselleştirmek için farklı departmanların çalışanları ile etkileşimi başlatmak gerekiyor. Yuvarlak masa veya özel görüşmeler şeklinde her departman çalışanına yönelik bir anket yapın; daha çok beğendiğiniz yöntemi seçin.
Aşağıdaki dört sorunun cevabını bulmak gerekiyor:
- Uzmanlar neyi bilgi varlığı olarak görüyor?
- Bu bilgi varlıklarına yönelik riskler nelerdir?
- Onlara göre bu risklerin bir kuruluş için olası sonuçları nelerdir?
- Neyi olay olarak değerlendirecekler ve olayın kritikliğini nasıl değerlendirecekler?
Bu 4 soruya kesin yanıtlar yoksa, veri korumasına yönelik yeterli organizasyonel ve teknik önlemlerin geliştirilmesi mümkün değildir.
Anket ve diğer çalışanlarla yapılan görüşmeler sırasında sadece eylem yönteminin değil, aynı zamanda belirlenen standartlara uymamanın cezalarının da tartışılması çok önemlidir. Bilgi güvenliğini sağlamakla görevli denetçi yani çalışanın elinde, ihlalcileri etkilemenin mümkün olduğu bazı araçlar bulunmaktadır. Ancak önceden anlaşılması kolay olacak ve ancak cezalar tartışıldıktan sonra kurallar dizisini tam olarak geliştirmek çok önemlidir. İhlal edenler derken, aşağıdaki çalışan türlerini kastediyorum:
- Bilgi güvenliği kurallarına uymayan çalışanlar.
- Bilgi güvenliği ihtiyaçlarına zamanında ayrılan bütçe konusunda anlaşamayan yöneticiler.
- BT sistemlerinin kesintisiz çalışmasını sağlamaktan sorumlu olan BT uzmanları (bir şeyin arızalanması durumunda).
Gerçekleşmeye doğru ilerlemek
Bilgi ve altyapının korunmasına yönelik tedbirlerin listesini aşağıda bulabilirsiniz. Ancak bu süreçlerle ilgili eylemlerin kalıcı olarak yinelenmesi gerektiğinin dikkate alınması önemlidir.
Nominal envanteri değil, gerçek hayattaki envanteri kastediyorum. Neye sahip olduğunuzu anlamanız gerektiğinden, altyapının ilk kontrolünü yapın:
- Hangi donanım ve yazılım kullanılıyor
- Firmware’in güncel sürümleri nelerdir?
- Hangi bağlantı noktaları açık kalır
- Hangi bağlantılar var
- Depolama Alanı Ağında hangi veriler tutulur; herhangi bir kişisel veya gizli veri var mı; kimin erişimi var.
Envanterin düzenli olarak yapılması gerektiğinden bu sürecin otomatikleştirilmesi ideal senaryodur. Tipik olarak envanter her yapıldığında bazı beklenmeyen bulgularla karşılaşılır. Ve envanteri ilk kez gerçekleştirdiğinizde, kesinlikle açık portları ve uygunsuz klasörlerde tutulan belgeleri bulacaksınız.
Envanteri tamamladıktan hemen sonra kripto korumasını sağlamanız gerekir. Başkalarıyla etkileşime giren bir node’unuz ya da önemli bilgilerin yer aldığı bir veri deponuz varsa, bunları acilen korumanız gerekiyor. Hem veri hem de kanallar için kripto koruma seçeneklerinin bulunduğunu ve her ikisinin de korunması gerektiğini hatırlatmak isterim. Hiçbir şey korunmasız hatırlatmamalı. Ve elbette şifrelerinizi/anahtarlarınızı kaybetmeyin😊.
Bu, en azından erişim haklarının Active Directory’deki klasörlere ve bilgisayarlara uygun şekilde dağıtılmasını gerektirir. Ancak bu durumda yalnızca öznitelik bazlı erişim kontrolü (içeriğe dayalı değil, diğer bir deyişle belirli bir dosya veya klasöre erişim kontrolü) uygulayabilirsiniz.
İçerik tabanlı erişim kontrolünü uygulamak daha iyidir. Dosya içeriğini analiz eden özel çözümlerin yardımıyla yapılabilir. Dosyadaki verilerin ne kadar gizli olduğuna bağlı olarak çözüm, dosyayla etkileşime izin verir veya bunu yasaklar. Örneğin gelişmiş DCAP sınıfı çözümü bu görevle ilgilenir.
Toplam olmalıdır. Mevcut tüm kaynakların (yazılım ve donanım) denetiminin yapılması gerekmektedir. Kötü haber ise her şeyi manuel olarak analiz etmenin imkansız olmasıdır. İyi haber şu ki, neredeyse tüm BT sistemleri eylemleri genellikle oldukça ayrıntılı bir şekilde günlüğe kaydediyor. Otomatik sistemler bu günlükleri işleyerek bir olayı (veya birbirine bağlı olaylar bağlantısını) bir olaya dönüştürebilir. Hemen hemen her bütçeye uygun böyle bir sistemi tercih edebilirsiniz, üstelik ücretsiz, açık kaynaklı (ELK vb.) olanlar da mevcut.
- Güvenlik politikalarını düzenleme
Olay akışında olaylar tespit edildiği anda hazır güvenlik politikalarınızı kendi politikalarınızla tamamlamaya başlayabilirsiniz. Hem hazır hem de özelleştirilmiş politikaların, mevcut iş süreçlerine ve altyapı ihtiyaçlarına göre zaman zaman düzenlenmesi gerekmektedir. Bizim durumumuzda politikalar, antivirüslerden NGFW’ye kadar herhangi bir veri koruma aracındaki tüm ayarları temsil eder.
- Bilgi güvenliği ile ilgili konularda çalışanların farkındalığının arttırılması
Pek çok bilgi güvenliği sorunu bilgi ve anlayış eksikliğinden kaynaklanmaktadır. Bu nedenle çalışanların eğitimi ve yetiştirilmesi çok önemlidir ve ihmal edilmemelidir. Hatta büyük şirketler özel eğitim portalları geliştiriyor ve eğitim sürecini oyun biçimi de dahil olmak üzere farklı biçimlerde organize ediyor. Bazı kuruluşlarda, örneğin devlet kurumlarında, oyunlaştırma yerine mevzuat geliştirme ve eğitim düzenleme uygulamasına geçilmektedir. Eğitim sürecinin organizasyonu için kullanılan yöntemler ne olursa olsun, bu süreçte kullanabileceğiniz birçok ücretsiz materyal kamuya açıktır. Örneğin, dijital okuryazarlığı geliştirmeye yardımcı olabilecek faydalı materyallerin listesini düzenli olarak genişletiyoruz.
Envantere alınan yazılım, port ve donanımlarda mevcut açıkların incelenmesini amaçlayan, manuel veya otomatik olarak gerçekleştirilen süreçtir.
Tüm kaynakları manuel olarak kontrol edebilir ve yama yapılmamış sürümlerin olup olmadığını, varsayılan şifrelerin ve erişim hakkı ihlallerinin mevcut olup olmadığını ortaya çıkarabilirsiniz. Doğrusunu söylemek gerekirse bu zahmetli bir yöntemdir. Yeni başlayan ancak meraklı bir uzmansanız, bu görevle başa çıkacaksınız. Bununla birlikte, başarılı olmak için makul miktarda beceriye ihtiyaç vardır. Bu nedenle en iyi seçenek, koruma analizini yılda bir kez yapacak profesyonel bir ekiple çalışmaktır (süre, kurumun özelliklerine ve gereksinimlerine göre belirlenecektir). Pahalı olmasına rağmen bu seçenek genellikle en faydalı olanıdır.
Diğer bir seçenek ise otomatik olanıdır; hem ticari hem de açık kaynak olabilen özel bir yazılım olan güvenlik açığı tarayıcısını kullanabilirsiniz.
Bu önemli bir aşamadır ve bu aşamada belirtilen koruyucu önlemlere uymayı ihmal etmezseniz harika olur. Sorunu kendi başınıza çözmeye karar verirseniz, yararlı kaynakların listesi aşağıda verilmiştir:
Bu aşamada olayın araştırılması, analizi ve önlenmesi ile ilgili iş süreçleri başlar. Bu aşamadaki temel amaç sadece tüm kritik olayları düzeltmek değil, dahası, belirlenen güvenlik politikalarına rağmen olumsuz olayların neden meydana geldiği, bunların sonuçlarının nasıl hafifletilebileceği ve bunların nasıl hafifletilebileceği gibi ilgili sonuçlara varmaktır. gelecekte bu tür olayların yaşanmasını önlemek için. Bu, olayların ve yanlış pozitiflerin ortadan kaldırılmasına yönelik basit bir politika ayarlaması değildir; yalnızca teknik önlemlerin değil, aynı zamanda kurumsal önlemlerin de yardımıyla genel olarak bilgi güvenliği korumasının arttırılmasıdır. Ayrıca farklı türdeki tehditlere yanıt vermenin pratik edilmesini amaçlayan siber eğitimlerin düzenlenmesi de yararlı bir seçenek olabilir.
Açıkçası, bu tüm eylemlerin kapsamlı bir listesi değil. Bilgi güvenliğinin korunmasını sağlamak için kurumsal altyapının birçok hususunun ve özelliğinin dikkate alınması gerekir. Ancak, neyle başlayacağınız konusunda hiçbir fikriniz yoksa veya bundan sonra ne yapacağınızı düşünüyorsanız ve bir şeyi kaçırıp kaçırmadığınızı kontrol ediyorsanız, bu yapılacaklar listesi faydalı olacaktır.
yazar hakkında
Küresel risk yönetimi araçları geliştiricisi SearchInform’un Lider Analisti Sergio Bertoni.
Sergio’nun bilgi güvenliği alanında pek çok uygulamalı deneyimi var ve yıllardır şirketin başarısına katkıda bulunuyor. Sergio, bilgi güvenliği trendleri ve yeni dolandırıcılık yöntemleri (basit kimlik avından derin sahtekarlıklara kadar) dahil olmak üzere farklı bilgi güvenliği konuları hakkında yorum yapıyor, iletişim kanallarının güvenliğinin nasıl sağlanacağı konusunda tavsiyeler veriyor ve işletmelerin bilgi güvenliği korumasını organize etmeye yönelik en iyi uygulamaları paylaşıyor.
Sergio’ya şirketimizin web sitesi https://searchinform.com/ adresinden ulaşılabilir.