Ana sayfa BT Gündem Bilişim güvenliğinde yapılan yedi büyük günah

Bilişim güvenliğinde yapılan yedi büyük günah

86
0

Sonuçları henüz kamuoyuna duyurulan CSI/FBI Bilgisayar Suçu ve Güvenlik anketinin bulguları şu gerçeği gözler önüne seriyor: “bilgisayar güvenliğine ilişkin konular içinde en önemli başlık, kesinlikle uç nokta güvenliği.” Ve buna rağmen kurumlar, çalınan veri ve cihazlar yoluyla oluşabilecek tehditlere karşı yeterli tedbirleri almakta çok bilinçli davranmıyorlar.Bir Başka Gün Bir Başka Kayıp Cihaz

Gün ışığına çıkan ve kanıtlanan en yakın hırsızlık vakalarından ilki, içinde şirket çalışanının kişisel bilgilerinin olduğu bir şirket diz üstü bilgisayarının çalınmasıydı. Akabinde, haziran ayında ise hırsızlar, AT&T’de yönetici pozisyonunda görev alan ve sayısı ifşa edilmeyen birçok şirket çalışanının isimlerinin, sosyal güvenlik numaralarının, maaş ve bonus bilgilerinin bulunduğu bir diz üstü bilgisayarı alıp ortadan kayboldular. Mart ayında ise, National Institutes of Health (Ulusal Sağlık Enstitülüleri) çalışmasında kayıtlı olan 2500 hastaya ilişkin tıbbi bilgilerin içinde olduğu kamuya ait bir diz üstü bilgisayar aniden kayboldu. Bu gibi hırsızlık vakalarının sonuçları üzerine çok şey söylenebilir ancak sebep olacağı muhtemel sonuçlar açıkça şöyle sıralanabilir: finansal kayıp, marka prestijinin düşmesi, iş sürecinde verimlilik ve zaman kaybı ile “uygunluk ve düzenlemelere ilişkin yeni gereksinimler. “ Fakat işin asıl trajik yanı, kurumlar kritik verilerin kaybolması durumunda olabileceklere karşı genellikle hazırlıksız durumdalar!

Geçtiğimiz günlerde Symantec’in CIO Digest Dergisi’nde uç nokta güvenliği kavramına ilişkin “yedi büyük günah” kapsamlı bir şekilde sıralandı ki bu yedi madde, uç nokta güvenliğine ilişkin çalışmalar yürüten, satın almalar yapan ve projeler üreten tüm güvenlik uzmanlarının bilgisine mutlaka sunulmalıdır.

Uç Nokta kavramını sadece bilgisayarlardan ibaret sanmak. Oysa ki uç noktalarla bağlantı halinde olan tüm USB cihazları, taşınabilir depolama araçları ve MP3 çalarlar da bu kapsama alınmalıdır ve bunların her birinin döngü içinde geleceğin uç noktaları olacakları unutulmamalıdır.
Her bir uç noktanın lokasyonunun bilindiğinden emin olunması. Oysa ki, erişim izni olmayan ve bir şirket çalışanın sahip olduğu mobil bir cihaz ya da dolandırıcı bir kablosuz bağlantı erişim noktası da pekala sisteme bağlanmak için kullanılıyor olabilir. Bu tür erişimler, bağlantı sırasında uç noktalara ilişkin herhangi bir güvenlik politikası gereksinimi ile karşılaşmıyorlar ise o takdirde sistemler, bu gibi erişimlerin önlenmesini sağlayacak bir uygulama içinde olmalıdırlar.
Sadece uç noktaların korunuyor olması. Uç noktalar, hacker lar ve bilgi hırsızlığı için birer araç olarak da kullanabileceği için ağlar, uç noktaların potansiyel olarak bu tür suçlara alet edilmesi olasılığına karşı da korunmalı. Bu nedenle, çok katmanlı/kademeli güvenlik anlayışı kullanılmalı.
Uç nokta politikalarını, onların yürütülmesini sağlayacak teknolojik ortamı hazırlamadan uygulamaya koymak. Uygulanan politikaların ihlali karşında çalışanları uyarmak ya da cezalar uygulamak ne yazık ki yeterli çözümler değil. Kullanıcıların, herhangi bir uç noktayı güvenli olmayacak bir biçimde kullanmasını engelleyecek ve ancak güvenli bir kullanımı mümkün kılacak teknolojik ortamın sağlanması olmazsa olmaz bir koşul.
İhmale açık, gevşek fiziksel ve teknik güvenlik anlayışının benimsenmesi. Hacker ya da hırsızların iki katmanlı güvenlik denetimine maruz kalmalarını sağlayacak, kayıp ya da çalınmış diz üstü bilgisayarlar veya diğer mobil cihazlarla ilgili bir aksiyon planı mutlaka olmalı. Örneğin bazı kurumlar, çalınan ya da kaybolan taşınabilir bir cihazla ilgili olarak şirket politikaları gereğince çalışanların, kurumun BR departmanını mutlaka bilgilendirmesini zorunlu kılar ki BT uzmanları tarafından cihazda yer alan veriler kablosuz bağlantı aracılığı ile silinebilsin ve erişime kapatılabilsin.
Sisteme yeni dahil edilen ya da hariç bırakılan uç noktalarla ilgili eksik politikalar. Güvenlik politikaları, o uç nokta henüz aktif hale gelmeden uygulama kapsamına alınmalıdır. Sistem dışı bırakılan uç noktalarda ise, örneğin bu uç noktanın bilgisayar olduğunu düşünürsek hemen ismi silinerek ağ erişimi engellenmelidir ve üzerindeki kurumsal veri hemen yok edilmelidir.
Yetersiz yönetim desteği. Yeterli ve etkin bir yönetim desteği olmadan BT departmanı, güvenlik politikalarını verimli bir şekilde yürütmekte güçlük çeker. Bu desteği sağlayabilmek için, zararlı kodların sisteme ulaşmak için izlediği tüm yollar tespit edilmeli ve atakları engellemek için ihtiyaç duyulan tüm gereksinimler detaylandırılmalı.