Şirketler için Güvenlik Rehberi

Ağınızı yönetirken, uygulama geliştirirken hatta kağıt dosyaları bile organize ederken güvenlik hata kaldırmaz bir kavramdır. Güvenliğini düşünen şirketler seçimlerini hassas bilgilerine göre düzenler ve değerlendirirler. Veriye yönelik tehditler zamanla değişebilir fakat güvenliğin temelleri sabittir. Bilgisayarınızdaki ve dosyalarınızdaki kişisel bilgilerinizin ne olduğunu bilmeli ve yalnızca şirketiniz için ihtiyaç duyduklarınızı saklamalısınız. Ayrıca siber güvenlik vakalarına karşı kesinlikle bir plan oluşturmalısınız.

güvenlik

1. Güvenlikle başlayın

Çalışanların uygulamalarındaki kişisel verilerden müşterilerin kredi kartı numaralarını içeren ağ dosyalarına kadar hassas veri, birçok şirketin her alanını kaplamaktadır. Şirket yöneticileri sıklıkla özel bilgilerini nasıl yöneteceklerini sorarlar. Uzmanlar bir anahtar adımda uzlaşmışlardır: Güvenlikle başlayın. Bunu şirketin her alanında göz önünde bulundurmanız gerekir mesela personel, satışlar, muhasebe, bilgi teknolojileri… Topladığınız verilerin türü, onları ne kadar süredir sakladığınız ve onlara kimlerin erişebileceği ile alakalı bilinçli seçimler yaparak riskleri en aza indirebilirsiniz.

  • İhtiyacınız olmayan kişisel verileri saklamayın.

Başlangıçta karar verirken size yön verecek temel bir prensip vardır: Kimse sahip olmadığınız şeyi çalamaz. Şirketler email şifrelerini ve adreslerini de içeren birçok gereksiz bilgiyi toplar ve bu insanlar için risk oluşturur. Bu yüzden öncelikle risk oluşturacak hassas verileri toplamaktan kaçınmak gerekir.

  • Bilgileri yalnızca meşru süresi boyunca elinizde tutun.

Bazen kişisel verileri, yapılan işlemin gereğince toplamak gerekir fakat işlem tamamlanmasına rağmen bu bilgileri uzun süre elde tutmak hesapsız bir risk oluşturmak demektir. Şirketler yasal süreyi göz önünde bulundurarak finansal bilgilerini güvenli bir şekilde temizlemeli ve riski en aza indirmelidir.

2.Veri erişimini kontrol edin

Elinde hassas veri bulundurması gereken şirketler verileri güvende tutmak için önlemler almalıdır. Çalışanların yanlızca bilmesi gerekenlere ulaştığından emin olacak şekilde veriler kontrol altına alınmalıdır.

  • Hassas verilere erişimi sınırlandırın

Kişisel verilerin dosyalarda yada çalışanların ağlarında saklanması kısıtlanmalıdır. Aksi takdirde bir grup çalışan hassas verileri bulunan binlerce müşterinin bilgilerini üçüncü parti bileşenlere izinsiz bir şekilde transfer edebilir.

  • Yönetici erişimini sınırlandırın

Sistemde büyük çaplı değişikliklere yol açabilecek yönetici erişimleri de kısıtlanmalıdır. Aksi takdirde çalışanların herhangi birinin kimlik belgelerinden ödün verme riski artabilir.

3. Güvenli parola ve kimlik doğrulaması isteyin

Eğer ağınızda kişisel veriler saklıyorsanız güçlü kimlik doğrulaması prosedürlerini uygulamak sadece erişime izinli bireylerin verilere ulaştığından emin olmanızı sağlar.

Şirket politikalarını düzenlerken sizlere yardımcı olabilecek bazı ipuçları şunlardır :

  • Çalışanlarınızı karmaşık ve eşsiz parola oluşturmaya zorlayın.

1234” yada “qwerty” gibi parolalar hiç parola oluşturmamakla neredeyse eşdeğerdir. Daha güvenli parola sistemleri uygulanmalı ve çalışanlar kompleks parola konusunda eğitilmeli. Şirket ve kişisel hesaplarda aynı ya da benzer parolaların kullanılmaması gerektiği vurgulanmalı.

  • Parolaları güvenli bir şekilde saklayın

Kimlik bilgilerinin açık metin halinde saklanması saldırganların müşterinin hassas bilgilerine ulaşmalarına zemin hazırlar. Şirketler parola risklerinden korunmak amaçlı iki aşamalı kimlik doğrulama prosedürlerini de uygulayabilirler.

  • Brute force ataklarına karşı korunun

Saldırganlar brute force atakları ile parolalara ulaşana kadar sonsuz sayıda karakter kombinasyonu denerler. Başarısız kullanıcı girişi sayısı sınırlandırılarak risk en aza indirilebilir.

  • Kimlik atlatma saldırılarına karşı korunun

Arka kapılar açık olduğu sürece ön kapıların kapalı olması güvenlik sağlamaz. Saldırganlar tahmin edilebilir yollarla sistemi manipüle edebilir ve şirketlerin veritabanlarına kolaylıkla erişim sağlayabilir.

4. Kişisel verileri aktarım boyunca koruyun

Birçok şirket için, hassas veri depolamak bir şirket gereksinimidir. Ağınızı korumak için gereken önlemleri alsanız bile bazen veriyi herhangi bir yere göndermeniz gerekir. Veri depolama ve ulaştırma işlemleri boyunca bu verilerin güçlü bir kriptografi kullanılarak gönderilmesi gerekir. Veri şifrelemesi için TLS/SSL (Transport Layer Security/Secure Sockets Layer) gibi kriptografik hash algoritmaları kullanılabilir.

  • Hassas verileri yaşam döngüsü boyunca güvende tutun

Veri tek bir yerde kalmaz. Bu nedenle güvenlik aşamaları her ortamda sağlanmalıdır. Şirketler veri şifreleme kullanarak müşterinin tarayıcısı ve işletmelerin sunucuları arasında güvenli veri aktarımının oluşmasını sağlamalıdır.

  • Test edilmiş ve onaylanmış metotları kullanın

Teknik standartları takip ederken uzmanların geliştirmiş oldukları standartları aklınızda tutun ve şirketinizde uygulayın.

  • Uygun yapılandırmanın sağlandığından emin olun

En güçlü şifreleme metotlarına sahip olsanız bile uygun bir şekilde yapılandırmadığınız sürece koruma sağlanmayacaktır.

5. Ağınızı bölümlere ayırın ve trafiği izleyin

Ağınızda oluşabilecek saldırıları tespit etmek ve korunmak için ağınızın kullanışlı bir şekilde dizayn edilmesi gerekir.

  • Ağınızı bölümlere ayırın.

Sisteminizdeki tüm bilgisayarların diğerleriyle iletişim kurma ihtiyacı olmayabilir. Hassas veriyi ağınızda güvenli bir ağda diğer toplu ağlardan ayrı tutarak koruyabilirsiniz. Böylece saldırganların tek bir ağ üzerinden tüm ağdaki hassas verilere erişimini engellemiş olursunuz.

  • Ağınızı izleyin

Ağınıza izinsiz girişleri tespit edin ve gerekli önlemleri alın. Aksi takdirde saldırganlar zayıflıklardan yararlanarak ve ağınızda programlar kurarak saklanan hassas verileri sızdırabilir.
güvenlik

6. Ağınıza uzaktan erişimi güvenli hale getirin

Şirketler yalnızca ofiste olmaz. Mobil iş gücü üretkenliği artırırken aynı zamanda yeni güvenlik açıkları oluşturur. Eğer çalışanlarınıza, müşterilerinize ya da servis sağlayıcılarınıza ağınıza uzaktan erişim hakkı verirseniz bu erişim noktaları için bazı güvenlik önlemleri almanız gerekir.

  • Uçbirimlerin güvenliğinden emin olun.

Bir zincir ancak en zayıf halkası kadar güçlüdür. Ağ güvenliğiniz ise ağınıza bağlanan en zayıf güvenlikli uzaktan erişim noktasına bağlıdır. Güvenlik duvarı ya da güncel antivirüs yazılımları gibi temel güvenlik önlemlerine sahip olmayan istemcilere izin verilirse saldırganlar istemcinin sistemine erişim sağladığında tüm kimlik bilgilerine ulaşabilirler.

  • Makul erişim limitleri koyun.

Ağınıza yanlızca ara sıra ihtiyaç duyanların tüm erişime sahip olması gerekmez. Güvenlik riskini azaltmak için üçüncü parti erişimleri sınırlandırmalısınız.

7. Yeni ürünler geliştirirken güvenlik yöntemlerini uygulayın

Yeni bir uygulama ve yenilikçi bir yazılım geliştirirken ilk aşamada kullanıcıların memnuniyetini düşünün. Eğer hassas bilgi saklayacaklar ya da göndereceklerse ürününüzün veriyi güvenli bir şekilde idare edeceğinden emin olun.

  • Mühendislerinizi güvenli kod geliştirme konusunda eğitin.

Şirketler güvenli iletişim mekanizmalarını kurmalı ve güvenli kod geliştirme pratikleri yapmalıdır. Böylece zararlı üçüncü parti uygulamalarının müşterin mesajlarını, konum bilgisini, ve diğer hassas bilgilerini içeren uygulamalarla iletişim kurması engellenmiş ve yine risk azaltılmış olur.

  • Güvenlik için platform rehberini takip edin.

Bazen en akıllıca eğitim uzmanları dinlemektir. Güvenli geliştirme işlemi sırasında açık platform rehberlerini takip etmek zayıflıkları tespit edip önlememize yardımcı olur.

  • Gizlilik ve güvenlik özelliklerinin çalıştığını doğrulayın.

Eğer yazılımınız güvenlik ve gizlilik özellikleri sunuyorsa aktifliğinden emin olmalısınız. Aksi takdirde özel kameraların genel kullanıma açık olması gibi bir takım ihmaller söz konusu olabilir.

  • Yaygın zafiyetleri test edin.

Her tehditin test edilmesinin yolu yoktur fakat sıkça bilinen ve öngörülebilir zafiyetlere karşı önlemler alınması gerekir. OWASP (Open Web Application Security Project) her yıl sıkça görülen bu zaafiyetleri tanımlamaktadır.

8. Servis sağlayıcılarınızın uygun güvenlik önlemleri uyguladığından emin olun

Konu güvenlik olduğunda servis sağlayıcılarınızı dikkatle takip edin ve onları seçerken mantıklı adımlar atın.

  • Yazılı olarak kaydedin

Uygun güvenlik standartlarını ısrarla sözleşmelerinizin bir parçası haline getirin.

  • Uygunluğunu doğrulayın.

Sözleşmelerin servis sağlayıcıları ile güvenlik beklentilerini içermesi ilk önemli adımdır. Bu aynı zamanda işlem üzerinde gözetim sağlamak için de önemlidir. Gizlilik ve güvenlik politikaları ve sözleşmedeki terimler kullanıcı bilgilerini korumaya yönelik düzenlenmelidir. Riskleri azaltmak için geliştirme süreci boyunca servis sağlayıcılara sorular sormak ve takip etmek gerekir.
güvenlik

9. Güvenlik akışını takip etmek için prosedürler koyun ve artabilecek zafiyetleri ele alın

Yazılımınızı ve ağınızı güvenlik altına almak tek bir işlemle tamamlanan bir yöntem değil, kendinizi sürekli korumanız gereken ve devam edegelen bir süreçtir.

  • Üçüncü parti yazılım güncellemeleri ve yamalarını yapın

Güncel olmayan yazılımlar güvenliği tehdit eder ve düzenli olarak yamaların yapılması riskleri aza indirmek için önemli bir adımdır.

  • Güvenlik uyarılarını dikkatle inceleyin ve onları onarmak için aceleci davranın.

Gelen güvenlik uyarılarına kayıtsız kalmak yerine güvenlik zafiyeti raporlarını incelemek ve efektif bir şekilde ele almak gerekir.

10. Evrakları fiziksel medya ve aygıtları güvence altına alın

Ağ güvenliği kritik bir faktördür fakat sorunların çoğu evrak işleri, hard diskler, dizüstü bilgisayarlar ve flash diskler gibi fiziksel medyalardan kaynaklanmaktadır. Bu yüzden şirketlerin fiziksel güvenliği ele almaları gerekir.

  • Hassas dosyaları güvenli bir şekilde saklayın

Kullanıcıların kişisel bilgilerini içeren dokümanlar kolay ulaşılabilir alanlarda bırakılmamalıdır.Kişisel bilgileri işleyen aygıtları korumalı, hassas veriler güvenli bir şekilde yok edilmeli ve riskleri azaltmak için belgeleri güvenle saklama politikaları geliştirilmelidir.

Şirketiniz siber güvenlik hedeflerine ne kadar yakın? Bilgi Güvenliği GAP Analizi hizmetimize bakmak isteyebilirsiniz.