Günümüzde artan internet kullanımı ve kurumların internet üzerindeki varlıkları, bu alanda artarak giden güvenlik ihtiyacını da beraberinde getiriyor. Bu yüzden, kurum içi bilgi güvenliğini sağlamak adına yapılması gerekenleri ve nereden başlanması gerektiğini belirlemek ve yol almak zor olabilir. Aşağıda bu konuda size yardımcı olacak bir rehber bulabilirsiniz.

Bu rehber, uygulanması gereken bütün güvenlik adımlarını kapsamamakta olup güvenlik prensibi olarak edinmeniz gereken en temel ve en kritik maddeleri içermektedir.

Kapsamlı Bir Güvenlik Politikası Hazırlama

Çalışanlarınız ağ içerisinde neler yapıp, neler yapmamaları gerektiğini biliyorlar mı?

Bu bağlamda yapılabilecekler:

  • Bir güvenlik politikası oluşturun. Örnek olabilecek spesifik politikalar; risk yönetimi, zafiyet yönetimi, veri korunması, erişim kontrolleri, iş devamı, log yönetimi ve denetimi, personel güvenliği, fiziksel güvenlik, güvenli yazılım geliştirme ve olay müdahale politikaları.
  • Neyin ne derece korunması gerektiğini belirleyin. Güvenlik ile alakalı düzenlemeler ve hukuki yaptırımlardan haberdar olun.
  • Güvenlik politikaları çalışanlardan beklenenleri ve uyulmadığı taktirde gerçekleştirilecek yaptırımları açıkca belirtmeli.
  • Politikalar kolayca anlaşılabilir ve erişilebilir olmalı, düzenli olarak gözden geçirilmeli ve dönemin, kurumun şartlarına göre güncellenmelidir. Yapılan değişiklikler bütünlük sağlaması ve kolay gözden geçirilmesi adına tarihlendirilip versiyonlarına göre isimlendirilmelidir.
  • Sektörünüzün gerektirdiği standartlardan yola çıkarak politikalarınızı şekillendirin.

Düzenli Denetim

Güvenlik programınız iyi çalışıyor mu? Güvenlik politikalarınız ne derece uygulanıyor?

Bu bağlamda yapılabilecekler:

  • Düzenli aralıklarla kontrol amaçlı kurum içi phishing mailleri yollayın, zafiyet analizlerinizi ve sızma testlerinizi yaptırın.
  • Güvenlik politikalarınızı kontrol etmek için checklistler kullanın.

Eğitim

Çalışanlarınız, şirketinizi herhangi bir phishing ya da sosyal mühendislik saldırısından koruyabilecek kadar bilgili mi? Uygulama geliştiren personeliniz güvenli kod yazmayı biliyor mu? Eğitim yoluyla proaktif koruma, özellikle sosyal mühendislik saldırılarına karşı ve uygulama geliştiricilerinize uygulamalar üzerindeki yaygın güvenlik zafiyetleri konusunda verilen eğitimler daha güvenli ürünlere ve şirket ortamına sahip olmanız açısından büyük önem taşır.

Bu bağlamda yapılabilecekler:

  • Çalışanlarınızın işe alındığında güvenlik politikalarınız konusunda bir eğitimden geçirildiğinden emin olun.
  • Çalışanlarınıza düzenli eğitimler verin. (online veya offline)

Loglama

Ağınızda olup bitenden anında haberiniz oluyor mu? Sistemlerinizde herhangi bir güvenlik olayı olduğunda, olup biteni kaynağına kadar takip edebiliyor musunuz? Düzgün bir loglama ile, ağınızda istem dışı bir durum olduğunda (örn. hard disk bozulması, güç kesintisi veya veri çalınması) bundan haberiniz olmalı ve duruma sebep olan öğeleri kaynağına kadar takip edebilmelisiniz.

Bu bağlamda yapılabilecekler:

  • Bu konuda kesinlikle genel çözümlere başvurmayın, her kurumun sistem ve öncelikleri kendine özeldir. Kurumunuzun sistemlerini gözden geçirip, izlenmesi gereken kritik öğeleri belirlemeniz ve bu sistemler üzerinde ters giden bir şeyler olduğu durumlarda tetiklenecek alarm konfigürasyonlarını yapmanız gerekiyor.
  • Bütün loglarınızı arşivleyin. Eğer sistemleriniz çok meşgul yada büyükse ve bütün logları arşivleyemeyecekseniz, kritik sistemlerin loglarını mutlaka arşivleyin.
  • Uygulama loglarının bütünlüğünü sağlamak adına log isimlerini ve hata kodlarını uyumlu olarak isimlendirin.

Güncelleme Yönetimi

Uygulamalarınız ve işletim sistemleriniz en güncel versiyonda mı? Güncellemeler otomatik mi yapılıyor? İşletim sistemlerinizi ve uygulamalarını güncel tutarak %99 oranında teknik saldırılardan kendinizi koruyabilirsiniz, %1'lik kısım tahmin edebileceğiniz üzere 0-day saldırılardır.

Bu bağlamda yapılabilecekler:

  • Sistemleriniz üzerinde çalışan işletim sistemi ve uygulamalarınızı güncel tutun.
  • Bilgisayarlar için her zaman güncel ve temiz bir imaj dosyası bulundurun.
  • Güncellemeleri otomatize edin.
  • Kullanmadığınız uygulamaları devre dışı bırakarak, diğer bir deyişle, sadece ihtiyacınız olan uygulamaları kullanarak saldırı vektörlerini daraltın.

En Düşük Erişim Hakkı

Administrator hesaplarınızın kullanımı sınırlandırılmış mı? Şirket içindeki hesapların yetki ve erişimlerinden haberdar mısınız? Erişimi mümkün olduğunca minimumda tutmak izinsiz kullanıcıların hassas bilgilere ulaşmasını engeller. Windows işletim sistemleri üzerindeki kritik açıkların %96'sı admin haklarının kaldırılmasıyla önlenebilir.

  • Çalışanlar kesinlikle bilgisayarları üzerinde administrator yetkilerine sahip olmamalı.
  • Administrator seviyesindeki kullanıcılar sadece gerektiğinde kullanılmalı.
  • Dosya ve dizinler sadece o dosya ve dizin ile işi olan kullanıcılara açık olmalı.
  • Servisler sadece işlevlerini yerine getirebilecek kadar yetkiyle çalışmalı.
  • Kullanıcılar ve yetkileri düzenli olarak gözden geçirilmeli.

Ağ İçi Ayrım

Şirket ve misafir ağlarınız ayrı mı? Geliştirme yaptığınız sunucular çalışanlarınız ile aynı ağda mı? Hassas sistemlerinizin diğer sistemlerden ayrı tutulması büyük önem taşır.

Bu bağlamda yapılabilecekler:

  • Şirket ve misafir ağları ayrı olmalı.
  • Farklı sistemler üzerinden geçen trafikleri ayırmak için erişim kontrol listesi tanımlanmış switchler kullanın.
  • Kablolu ve kablosuz routerlarınızda NAC kullanın. Sadece izin verilen MAC adresleri ve bu adreslere tanımlı kullanıcı adı ve parolaya sahip kişilerin ağlara erişimine izin verin.
  • Kurum içi ağ haritanızı çıkarın ve düzenli olarak güncelleyin. Ağ haritasında hassas sistemlerinizin gözle görülür bir biçimde diğer sistemlerinizden ayrı olmasına dikkat edin.

Düzenli yedekleme

Kritik verilerinizin yedeklerini düzenli olarak alıyor musunuz? Yedekleme işlemi otomatik mi? Ne kadar sıklıkla verilerinizin yedeklerini alıyorsunuz? Şirket verilerinizi her türlü olaydan (hacker, ransomware, deprem, sel vs.) korumak için verilerinizi düzenli olarak yedekleyip korunaklı bir yerde tutmanız büyük önem taşır.

Bu bağlamda yapılabilecekler:

  • Yedeklerinizi düzenli olarak test edin. En az ayda bir yedeklerinizi çalıştırmayı deneyin. (Emin olun, bunu yapmak çok önemli. Yedeklerinin çalışmamasından dolayı veri ve para kaybı yaşayan şirket çok.)
  • Kritik verilerinizi günlük yedekleyin, diğer verilerinizi ise hafta bir yedekleyin. Bu sıklığı risk toleransınıza ve şirket ihtiyaçlarınıza göre değiştirebilirsiniz.
  • Yedekleme işlemini otomatize edin.
  • Yedekleriniz, yedekleme işlemi gerçekleşmediği zamanlarda kurum ağından uzakta bir şekilde saklanmalı. (fidye yazılımı kurbanı olmayın)

Fiziksel Güvenlik

Herhangi bir fiziksel güvenlik saldırısı için caydırıcı etkenleriniz mevcut mu, yoksa kapılarınız bu saldırılara sonuna kadar açık mı? Sunucu odalarınız herhangi birinin gelip de USB takabilmesine mahal veriyor mu? Doğru fiziksel korumalarla, veri hırsızlığı ya da basit fiziksel güvenlik saldırılarıyla işlerinizin bölünmesini engelleyebilirsiniz.

Bu bağlamda yapılabilecekler:

  • Bina içerisinde bulunan bütün kapı kilitlerinin güvenliğine dikkat edin. Kilitlerin RFID, güvenlik pini ve biyometrik okuyucular gibi özellikleri bulunmasına dikkat edin.
  • Erişimi kolay olan pencerelerinizi parmaklıklar ile korumayı ihmal etmeyin.
  • Binanın bütün girişlerini ve pencereleri kapsayacak şekilde güvenlik kameraları yerleştirin.
  • Binada dolaşacak ve güvenlik kameralarını takip edecek yeterli sayıda güvenlik görevliniz olsun.
  • Kapılarınızın ve menteşelerinin güvenlirliğinden emin olun.
  • Kritik önem taşıyan yerler ve sunucu odalarınızın birkaç güvenlik katmanı ile korunduğundan emin olun.