IT-Security konuları yakın zamanda gerçekleşen siber saldırılar sonrası IT yöneticilerinin ajandasında en önlerde yer almaktadır. Siber saldırılara karşı tam koruma hiçbir zaman mümkün olmayacaksa da saldırının başarılı olma riskini azaltmak için IT önlemler alabilir. Nitekim yapılan araştırmalarda belli ölçekteki firmaların IT-Security konuları ve teknolojilerine önemli yatırımlar yapmaya başladığını göstermektedir.
Bunda 2018 Mayıs ayında Avrupa’da yürürlüğe girecek olan GDPR (ülkemizde de KVKK) yükümlülüklerin etkisi büyüktür. Veri güvenliğinde özellikle kişisel verilerle alakalı ihmaller firmalara pahalıya patlayabilir. Örneğin Avrupa’da veri ihlallerinde veya firmanın güvenlik konularındaki ihmallerinin kanıtlanması durumunda toplam cironun %2’sinden %4’ine varan cezalar kesilebilmektedir.
Yürürlüğe giren bu kanunlar IT-Security için ne anlama gelmelidir, hangi tedbirler alınmalıdır diye düşünüldüğünde konunun bir hijyen sorununu işaret ettiğini rahatlıkla söyleyebiliriz.
Sistem Hijyeni
Amerikalı Center for Internet Security (CIS) düzenli olarak en iyi IT-Security pratiklerini yayımlar. CIS Controls başlığı uzmanlar tarafından sürekli güncellenen toplamda yaklaşık 20 önlem önerisi içerir. Bu önerilerden beşi şirketlerin siber saldırılara ve tehditlere karşı korunması için gereklidir:
- Yetkili ve yetkisiz cihazların envanterini tutmak
- Yetkili ve yetkisiz yazılımların envanterini tutmak
- Mobil aygıtlar, dizüstü bilgisayarlar, iş istasyonları üzerinde donanımın ve yazılımın uyumlu yapılandırmasını sağlamak
- Önlemlerinin tanımlanması ve uygulanması da dahil olmak üzere düzenli bir güvenlik açığı analizinin yapılmasını sağlamak
- Yönetici yetkilerinin ve ayrıcalıklarının kontrollü kullanımını sağlamak
Optimal bir savunma için futbolda olduğu gibi kaleyi sağlam tutmak lazım. Bunun için esasen iki faktör önemlidir: bütün ağı tarayarak donanım, yazılım, mobil aygıtlar ve diğer ağ elemanlarını bulacak güçlü bir Discovery Tool ve tüm CI’leri karmaşık ilişki ağlarıyla beraber bir veritabanında barındıran işlevsel bir CMDB.
Uygun araçların başarılı bir şekilde kullanılması için ön koşul ; ITIL Best Pratices dayalı fonksiyonel bir varlık ve yapılandıma yönetiminin oluşturulmasıdır. Sonrasında konuyu bir adım öne götürerek kurum envanterinde mevcut CI türlerinin güvenlik açısından kara listede olup olmadığı denetlenebilir, güvenlik açığı oluşturan eski versiyon yazılım vb. CI’ler CMDB üzerinden kolayca tespit edilerek gerekli müdaheleler yapılabilir.
Parola Hijyeni
Özellikle AB Veri Koruma Yönetmeliği (EU GDPR) ile bağlantılı olarak, parola yönetimi konusu önemli bir faaliyet alanıdır ve sonuç olarak, parola yönetimi, şirketteki tüm uygulamaların sorunsuz çalışmasını ve güvenliğini gerektiren kullanıcı ve erişim bilgilerinin doğruluğu için temel oluşturmaktadır.
Son veri güvenliği raporlarına göre, tüm veri ihlallerinin yaklaşık yüzde 63’ü zayıf veya çalıntı parola kullanımından kaynaklanıyor. Özellikle KVKK hükümleri açısından şirketler için bazı baş ağrılarına sebep olabilecek bir durum: Kuralların ihlal edilmesi gelecekte ciddi sonuçlar doğuracaktır.
Parola yönetimi söz konusu olduğunda, elle veya otomatik olarak parolaları sıfırlarken güvenlik açıklarından kaçınmak önceliklidir. Bir yandan, tüm GDPR ve güvenlik gerekliliklerini yerine getirmek için, organizasyon veya şirket için uygun süreçler tanımlanmalı ve uygulanmalıdır. Öte yandan, şirketler yalnızca yetkili kişilerin veri ve parolalara her an erişebileceklerine dair kanıt sağlayabilmelidir.
Bu açıdan, parola yönetimi için kullanıcı dostu bir self servisin kullanılması değerli olabilir. Aktüel self servis imkanlarına göre sadece kullanıcının kendi user bilgilerine erişebilmesi garantilenir. Böylece, üçüncü şahıslar tarafından bir güvenlik ihlali açıkça ortadan kaldırılabilir. Buna ek olarak, self-servisler hizmet masasını(Service Desk) rahatlatmakla beraber süreçlerin otomasyonunu ve optimizasyonunu sağlar.
Fastpass’ın IT-compliance risklerine etkisi ile ilgili IDC tarafından yayınlanan makalede kurumsal parola yönetimiyle alakalı daha çok bilgi bulabilirsiniz.
IT-Security gelecekte IT’yi giderek daha fazla etkileyecek çok karmaşık bir konudur. Tehditlere karşı korunmada başarının temel faktörü meslektaşların hassasiyetinin yanında koruyucu ve savunma mekanizmalarının uygulanmasıdır, örneğin sistem ve şifre hijyeni için etkili önlemler.
Öyleyse, varlık yönetimi ve şifre yönetimi ile ilgili evödevlerini yapmak için doğru zaman.