Kuruluşunuzda kaç hata var?
Yazan: Zsolt Baranya, Bilgi Güvenliği Denetçisi, Black Cell Ltd.
Bilgi güvenliği uzmanı olarak çalıştığım süre boyunca, çoğu tek bir kuruluş tarafından değil birden fazla kuruluş tarafından yapılan çok sayıda hatayla karşılaşıyorum. Bir bilgi güvenliği sorumlusu ve denetçisi olarak bu hataları ya ortaya çıkarırım ya da yüzleşirim. Bu yazımda bu hataların neler olduğunu ortaya koymayı amaçlıyorum. Bilgi güvenliği alanında çalışan profesyonellere ve bilgi güvenliği yönetimiyle ilgili yaygın hatalardan kaçınmak isteyen yöneticilere tavsiye ederim.
- Çoğu durumda ayrıcalıkların yönetimi sırasında kuruluşlar, her kullanıcının işini gerçekleştirmek için gerekli izinleri almasını sağlamaya odaklanır. Ancak bu ayrıcalıkların dağıtımına ilişkin sistem düzgün bir şekilde yapılandırılmamış ve kimin hangi verilere veya sistemlere erişebileceği işe özel olarak belirlenmemiştir. Referans ayrıcalık kaydı eksikliği mevcut ve çoğu durumda yeni işe alınan veya yeniden atanan iş arkadaşları, yalnızca belirli çalışanlara atanan önceden tanımlanmış bir görüntüye dayalı izinler alıyor. Bu yaklaşım uygun değildir çünkü ayrıcalık inceleme sisteminin temel bir gereksinimi olan, çalışanlara ayrıcalıkların atanabileceği verilerin çıkarılmasını sağlayacak temel kayıttan (kayıt) yoksundur. Pek çok kuruluşta ayrıcalıkların gözden geçirilmesinin de mevcut olmadığının dikkate alınması önemlidir; bu, istismar edilmesi halinde gizliliği önemli ölçüde tehlikeye atabilecek kullanılmayan ayrıcalıklar olabileceğinden önemli bir risk oluşturur.
- Bir kuruluşun düzenleyici çerçevesi dikkate alındığında uyumluluk çok önemlidir. Yetkililer, belgelendirme kuruluşları ve ortaklar olan müşteriler, düzenlemelere, standartlara ve diğer geçerli kurallara uyulmasını bekler. Ancak çoğu kuruluş, kuruluş içinde mevcut olan gerçek güvenlik açıklarına ve risklere odaklanmak yerine genellikle uyumluluğu sağlamaya odaklanır. Düzenleyici bir kontrol listesine dayalı olarak uyumluluk için çabalamak, dikkati gerçek sorunlardan uzaklaştırabilir. Bu gibi durumlarda, risklerle orantılı koruma sağlanması temel ilkesine uyulmayabilir.
- Pek çok kuruluşta zamanla BT ve BT güvenliği, işletmeyi desteklemeyecek şekilde gelişti; bunun yerine işletme, BT tarafından oluşturulan süreçlere ve Bilgi Güvenliği departmanı tarafından uygulanan kurallara uyum sağlıyor. Her durumda BT ve Bilgi Güvenliği departmanının işi desteklemesi gerekir. Aksi takdirde üretkenlik tehlikeye girebilir veya daha kötü senaryolarda, temel işlemler imkansız hale gelebilir ve daha az ciddi durumlarda, engelleyici faktörler nedeniyle daha zor hale gelebilir. Bazı sıkıntılara yol açsa bile güvenliği sağlamak için uyulması ve uygulanması gereken kurallar olduğunu unutmamak önemlidir. Ancak iş yapmanın en etkili yolu ile bilgi güvenliği ve BT arasındaki ilişki arasındaki dengeyi bulmak gerekiyor.
- Risk yönetimi, ister iş riskleri ister bilgi güvenliği riskleri olsun, her organizasyonun hayatında çok önemli bir faaliyettir. Kuruluşlar genellikle riskleri tanımlar ve analiz eder, ancak azaltma planlarının geliştirilmesi ve uygulanması çoğu zaman gerçekleşmez. Belirlenen risklere yönelik hafifletme planlarının oluşturulduğu kuruluşlarda genellikle bir kontrol ve izleme sistemi eksikliği vardır ve bu da genellikle azaltma planlarının uygulanmamasına ve risklerin tedavi edilmeden bırakılmasına neden olur.
- Yasal gerekliliklere ve standartlara göre idari koruyucu önlemler oluşturan kuruluşlar, içerik gereklilikleri nedeniyle genellikle uzun düzenlemeler, prosedürler ve talimatlarla karşı karşıya kalmaktadır. Bu genellikle kurumsal düzenleyici belgelerin, ne BT operasyon personelinin ne de kullanıcıların bunları okumayacağı için görevlerini yerine getirmediği bir duruma yol açar. Bu durumda kuruluşlar genellikle özet oluşturmama veya paydaşlara düzenlemelerin içeriğine ilişkin eğitim vermeme hatasına düşmektedir. Sonuç olarak, organizasyonel düzenlemeler rollerini yalnızca kısmen yerine getirecek veya hiç yerine getirmeyecektir.
- Birçok kuruluş, olay ve olay yönetimi faaliyetlerini gerçekleştirmek için Güvenlik Bilgileri ve Olay Yönetimi (SIEM) sistemlerini kullanır. Ancak çok az kişi bu sistemler için uyarı ayarlarının nasıl düzgün şekilde yapılandırılacağını biliyor. Yaygın bir hata, çok fazla olay ve olay için uyarılar ayarlamak ve bu da önemli uyarıların çok sayıda bildirim arasında kaybolmasına neden olmaktır. Uyarı hacminin yüksek olması nedeniyle olay işleyicinin kritik bir uyarıyı gözden kaçırma olasılığı daha yüksektir. Öte yandan, çok az olay ve/veya olayın yapılandırıldığı ve devam eden bir olayın tespit edilememesiyle sonuçlanan tam tersi senaryoyla da karşılaşılmaktadır. Belirli uyarıların yapılandırılması ve uyarı sisteminin risklerle orantılı olarak tasarlanması gerekir.
- Paylaşımlı hesapların yönetimi birçok kuruluşta yetersizdir. Çoğu zaman bu tür paylaşımlı hesaplar oluşturulurken sorumluluk ilkesine uyulmuyor. Bazı durumlarda paylaşılan hesapları kullanmaktan başka alternatifin olmayabileceğini unutmamak önemlidir. Ancak bireylere ayrı ayrı atanmış hesaplar oluşturmanın mümkün olduğu durumlarda bu yapılmaz. Kuruluşların sıklıkla yaptığı bir diğer önemli hata, paylaşılan hesaplar için erişim yönetiminin olmamasıdır. Örneğin, birisi bir kuruluştan ayrıldığında şifreler değiştirilmez ve paylaşılan hesaplar bağlamında güvenlik açıkları kalır.
- Sosyal medya platformlarının organizasyonel kullanımı birçok kurumda yetersizdir. Operasyonel ve yönetimsel görevlerin yerine getirilmesine ilişkin herhangi bir düzenleme bulunmamaktadır ve bu durum çoğu zaman itibarın zedelenmesine yol açmaktadır. Talihsiz yorumlar, örneğin birisinin kişisel hesabında sosyal medya hesapları arasında geçiş yapmayı unutması ve bunun sonucunda kişisel görüşünün kuruluş adına ifade edilmesiyle sonuçlanabiliyor. Ek olarak, bir kuruluşun sosyal medyayı iletişim veya iş faaliyetleri için kullanması ve uygun BCP süreçleriyle kurtaramadığı hesaba erişimini kaybetmesi, önemli dezavantajlara neden olabilir. Kurumsal sosyal medya platformlarının düzenlenmesi ve yönetilmesi önerilmektedir.
Tespit ettiğim genel hatalardan kaç tanesi kuruluşunuzda mevcut? Eğer bir hatanın bile ortaya çıkmasına yardımcı olabilseydim bu yazı amacına ulaşmış demektir.
yazar hakkında
Zsolt Baranya, Macaristan ve Almanya'da Black Cell Ltd.'nin Kıdemli Bilgi Güvenliği Denetçisidir. Daha önce yerel bir kamu kuruluşunda bilgi güvenliği sorumlusu ve veri koruma sorumlusu görevlerinde bulunmuştur. Ayrıca Ulusal Afet Yönetimi Genel Müdürlüğü, Kritik Altyapı Koordinasyon Daire Başkanlığı'nda kıdemli masa görevlisi olarak çalıştı ve burada Macar kritik altyapılarının bilgi güvenliği uyumluluğundan sorumlu oldu. Zsolt'a şu adresten ulaşılabilir: [email protected] ve şirketinin web sitesinde https://blackcell.io/
24 Mart 2024