Demo İste

Kurumunuzun Güvenliği İçin Temel Kavramlar, Tedbirler

Güne Güvenlikle başlayın !

Bilgi güvenliği politikanız var mı? Yoksa, o halde hemen hazırlamaya başlamalısınız, varsa gözden geçirmenin tam zamanı. Çünkü güne güvenlikle başlıyoruz.

Mümkün en yüksek güvenliği yakalamak ve sürekli kılmak için, izlenecek yol haritasına güvenlik politikasında yer verilmelidir. Politikamızı, kurumumuzun tepe yönetimi dahil, tüm çalışanlarını kapsayacak şekilde bütünleşik bir sorumluluk anlayışıyla yola çıkarak oluşturmalıyız. Bu sayede, güvenlik yatırımlarına, güvenlik risklerine karşı tedbirlere, güvenlik farkındalığı oluşturma eylemlerine güçlü bir sponsor belirlemiş oluruz.

Güvenlik Standartlarımız Hazır mı?

Kurumumuz, hangi güvenlik altyapısı, kuralları, bileşenleri, entegrasyonları, hizmetleri ile çalışıyor, tanımlamalıyız. Internete çıkışımızdan,  elektronik postalara, dış ve iç entegrasyonlardan, uygulama güvenliğine, sistem ve ağ altyapısından parola politikalarına dek, genel ve kurumumuza özel standartları detaylı tanımlamalıyız. Yazımızın devamında açıklanmış bu temel standartlara politika dokümanında, taktik ve detay talimatlara ise prosedürlerde yer vermeliyiz ve süreçlerimizi oluşturmalıyız.

Altın Kural 1. Yaptığınızı tarif edin, tarif ettiğinizi yapın.

Veri Erişiminiz Kontrol Altında mı?

Kurumlar, verilerini güvende tutmak için önlemler almalıdır. Çalışanlarımızın, yalnızca yetkisi olduğu yere, yetkisi kadar ulaştığından emin olacak tedbirler, kurallar ve teknoloji sağlanmalıdır. Gerekli uyarı mesaj ve onay mekanizmaları oluşturulmalı, yönetici erişimi sınırlandırılmalıdır. Sistemde büyük çaplı değişikliklere yol açabilecek yönetici erişimleri özellikle kısıtlanmalıdır.

Altın Kural 2. Hassas verilere erişimi sınırlandırın, yetkileri kontrol edin. 

Sorular : Neye Sahipsiniz? Neyi İşliyorsunuz? Neden Sorumlusunuz?

Hangi bilgilere sahipsiniz? Bu bilgiler gerçekten gerekli mi? Benim olmayan bir şeyi kimse çalamaz. O halde gereksiz, hassas verilerinizi gözden geçirin. Bu veriden hangi sıfatla sorumlusunuz? Sorumluluklarınız neler, tabi olduğunuz mevzuat nedir biliyor musunuz? KVKK’ya hepimiz tabiiyiz ve altın kuralımız;

Altın Kural 3. İhtiyacınız olmayan kişisel verileri saklamayın.

Tüm kurumlar, mevzuat ve yasal süreyi göz önünde bulundurarak bilgilerini saklamalı, peryodik imha prosedürlerini hazırlamalı, riski azaltmalıdır.

Altın Kural 4. Bilgileri yalnızca yasal süresi boyunca elinizde tutun!

Güvenli Kimlik ve Parola Doğrulama

Güçlü kimlik doğrulaması prosedürlerini uygulamak, sadece yetkililerin verilere ulaştığından emin olmanızı sağlar.

İpuçları;

  • Çalışanlarınızı karmaşık ve eşsiz parola oluşturmaya zorlayın.
  • Parolaları güvenli bir şekilde saklayın, beyaz masa politikası oluşturun
  • Brute force (şifre tahmini ile) ataklarına karşı korunun
  • İki faktörlü kimlik doğrulamayı tercih edin

Ağınız güvende mi?

  • Ağınızı bölümlere ayırın.

Sisteminizdeki tüm bilgisayarların diğerleriyle iletişim kurma ihtiyacı olmayabilir. Hassas veriyi ağınızda güvenli bir ağda diğer toplu ağlardan ayrı tutarak koruyabilirsiniz. Böylece saldırganların tek bir ağ üzerinden tüm ağdaki hassas verilere erişimini engellemiş olursunuz.

  • Ağınızı izleyin

Ağınıza izinsiz girişleri tespit edin ve gerekli önlemleri alın. Aksi takdirde saldırganlar zayıflıklardan yararlanarak ve ağınızda programlar kurarak saklanan hassas verileri sızdırabilir.

 

  • Ağınıza uzaktan erişimi güvenli hale getirin
  • FW, Anti-Virus, EDR, IPS, IDS, anti-DDOS vb Güvenlik bileşenlerinin sizler için gerekli olanlarının topolojisinde yer aldığından emin olun.

Altın Kural 5. Sızma testlerinizi yaptırın

Tüm Geliştirdiğiniz Uygulamalarınızda Güvenliği Unutmayın !

Güvenli kod geliştiriyor musunuz? Projelerinizde güvenlik adımları tanımlı mı? Süreçlerinize başlamadan önce güvenlik ihtiyaç ve risklerini tespit ettiniz mi? Ürünlerinizin zafiyet testini yaptırıyor musunuz, cevabınız hayır ise hemen başlamalısınız. Sadece uygulamalarınızın değil, tüm iç ve dış ağınızın güvenlik testi yaptırmalısınız.

Süreçlerinizi Tanımlayın, Uygulayın

Problem yönetiminiz, değişiklik yönetiminiz, yama yönetiminiz tanımlı mı? O halde bunları biran önce tanımlayın!

Risk Analizlerini Yapın, Güvenlik Planlarınızı Oluşturun

Senaryolar ve envanter/süreç bakış açısıyla olasılık ve etki parametreleriyle içsel ve arta kalan risklerinizi tanımlayın. Riski azaltmak için tedbirlerinizi gözden geçirin, almayı planladığınız tedbirleri aksiyon tarihleri ile oluşturun.

İş Sürekliliği, Acil Durum Planları Hazır mı? Yedekleme Prosedürleri Tanımlı Mı?

İş Sürekliliği, acil/afet gibi durumlar birbirinden farklıdır. Her sorun her kurumu aynı oranda etkilemez. Dolayısıyla kurumunuza özgü iş sürekliliği planlarınız hazır olmalı. Kurumunuzun bulunduğu coğrafyadan farklı bir lokasyonda acil durum iş sürekliliği merkezi yoksa oluşturmayı planlayın.

Altın Kural 6. İş sürekliliği testlerinizi yaptırın

Çalışanlarınız Farkında Mı?

Sosyal mühendislik atakları siber tehditlerin başında gelmektedir. Oltalama saldırıları gibi ataklara karşı çalışanlarınızın gerekli eğitimleri aldığından emin olun. Kendinizi ve çalışanlarınızı güncelleyin. Sorumluluklarının farkında olmalarını, en zayıf halka kadar güçlü olduğunuzu anlamalarını sağlayın.

Altın Kural 7. Sosyal mühendislik testi yaptırın

Paylaş
Sitemizdeki deneyiminizi iyileştirmek ve hizmetlerimizi daha iyi hale getirmek için yasal düzenlemelere uygun çerezler (cookies) kullanıyoruz. Çerez tercihlerinizi düzenlemek için ayarlara gidebilir veya çerez politikamız hakkında detaylı bilgi alabilirsiniz.
Çerez Politikamız ve Gizliliğiniz

Zorunlu Çerezler

Her zaman etkin
Zorunlu çerezler, web sitesine ilişkin temel işlevleri etkinleştirerek web sitesinin kullanılabilir hale gelmesini sağlayan çerezlerdir. Web sitesi bu çerezler olmadan düzgün çalışmaz.
Çerez PolitikamızGizlilik Politikamız

Performans Çerezleri

Her zaman etkin
Performans çerezleri, ziyaretçilerin web sitesine ilişkin kullanım bilgilerini ve tercihlerini anonim olarak toplayan ve bu sayede web sitesinin performansının geliştirilmesine olanak sağlayan çerezlerdir.
Çerez PolitikamızGizlilik Politikamız

Fonksiyonel Çerezler

Fonksiyonel çerezler, kullanıcıların web sitesine ilişkin geçmiş kullanımlarından yola çıkılarak gelecekteki ziyaretlerinde tanınmalarını ve hatırlanmalarını sağlayan ve bu sayede web sitelerinin kullanıcılara dil, bölge vb. gibi kişiselleştirilmiş bir hizmet sunmasına olanak tanıyan çerezlerdir.
Çerez PolitikamızGizlilik Politikamız

Reklam Çerezleri

Reklam çerezleri, üçüncü taraflara ait çerezlerdir ve web sitelerinde ziyaretçilerin davranışlarını izlemek için kullanılırlar. Bu çerezlerin amaçları, ziyaretçilerin ihtiyaçlarına yönelik ilgilerini çekecek reklamların gösterilmesidir.
Çerez PolitikamızGizlilik Politikamız
next4biz Destek

Size özel online bir toplantı ile Next4biz'i daha yakından tanımaya ne dersiniz?

Süper Fikir!👍