Virüsler, trojanlar, casus yazılımlar (spyware), rootkitler, keyloggerlar, kod enjeksiyonları phishing, DoS vb.. güvenlik tehditlerini listeleyecek olursanız bu listenin oldukça uzun olduğunu görürsünüz. Ayrıca söz konusu liste, her yeni sıfırıncı-gün saldırısı* haberi geldikçe veya en son çıkan daha güçlü kötü amaçlı yazılım haberleri güncellendikçe daha da uzamakta. Her ne kadar sistemlerinizin en iyi anti-virüs, anti-spyware, anti-spam yazılımları ile korunduğundan emin olmak güvenlik açısından çok büyük öneme sahip olsa da, bu güvenlik savaşınızın sadece yarısını oluşturur ve IT sistemlerinizi kurumunuzdaki tartışmalı en büyük güvenlik açığına yani kullanıcılara karşı korumakta tek başına yetersizdir.
Güvenlik yazılımınızdan bağımsız olarak aşağıda yer alan 10 adet ipucu, kurumunuzda bugün, hemen şimdi uygulamanız gereken güvenlik önlemleridir. Eğer bu listedeki her şeyi yapmazsanız bir güvenlik açığı yaşama riskiniz artacaktır. Ve işini aslına bakarsanız sorun, bu açığı yaşayıp yaşamayacağınız değil, ne zaman yaşayacağınız sorusudur. Listemize bir göz atın ve hemen uygulamaya başlayın. Ne de olsa korunacak çok fazla şey var.
- Şifreler—mutlaka kullandırın! Ve güçlü şifreler kullanın!
Şifreler oldukça baş belasıdır ve her ne kadar pek çok organizasyon şifre gerektirmekteyse de bir şifre stratejisi uygulamada çok zayıf ve hatta gevşek kurallara sahiptirler.
Kullanıcılarınızdan şifre kullanmalarını istemenin yanı sıra istemeniz gereken iki şey daha var: şifrelerine ömür biçmeleri ve güçlü şifreler kullanmaları.
Şifrenin sık değiştirilmesi daha doğrusu şifreye ömür biçme eylemi, bir başkasının şifrenizi keşfetmesi ve örneğin bir çalışma arkadaşının kurumsal networke erişimine yardımcı olmak için kullanması riskini minimize eder. Güçlü bir şifre ise (harflerden, rakamlardan ve karakterlerden oluşan bir karışım kullanmak gibi) bir başkasının şifrenizi sosyal mühendislik yöntemleri ile ele geçirme olasılığını minimize eder. (“Normalde ben şifrem için çocuklarımın isimlerini kullanıyorum. Ya siz?”)
- Kilitler—mutlaka kullanın!
Eğer her isteyen verilerin depo edildiği cihazları dilediği yere götürebiliyorsa ve rahatlıkla cihazdaki bilgiye erişmeye çalışabilecek zamana sahip oluyorsa veri güvenliği neredeyse tamamen kullanışsız hale gelmektedir. Sunucu odalarının kilitli olması, masa-üstü bilgisayar ve laptopların çekmecelere kilitlenmesi ve genel anlamda fiziksel IT varlıklarının güvenlik altında tutulması özellikle de şube ofislerinde ve küçük-orta büyüklükteki işletmelerde sıklıkla atlanan bir önlem.
- Durgunluk monitörler—mutlaka kullanın!
Kullanıcılar bilgisayarlarından uzaklaştıklarında bilgisayarları tehditlere açık hale gelmektedir. Her isteyen sanki kendilerininmiş gibi bu bilgisayarlara geçip depolanmış olan tüm verilere erişebilir. Dolayısıyla bilgisayarlar en kısa durgunluk periyodunda kendilerini kilitlemek üzere ayarlanmalıdır. Eğer bazı kullanıcılar kısa bir durgunluk periyodu sonrasında şifrelerini tekrar girmek zorunda olmayı sıkıcı buluyorsa, bilgisayarı tekrar açmak için şifre yazılmasına gerek bırakmayan biyometrik çözümleri gözden geçirin.
- Güvenlik politikası—mutlaka edinin!
Eğer şirketiniz IT varlıklarının kullanımı konusunda resmi bir güvenlik politikasına sahip değilse, çağın gerisinde kalmış demektir. Kullanıcılarınızın üretkenliği ile IT varlıklarını ve verileri güvende tutma arasında bir denge sağlayacak güvenlik politikaları geliştirmelisiniz. Ve bir politikaya sahip olduğunuzda tüm kullanıcılarınızı kapsayacak bir eğitim ayarlamayı ve her yeni çalışan için bu eğitimi oryantasyonun bir parçası haline getirmeyi unutmayın.
- Yönetici hesapları—hepsinden kurtulun!
Pek çok şirket kullanıcılarına spesifik uygulamaları kurmalarına olanak tanıyan yönetici hakları tanırlar. Sizin işinizi kullanıcıların yapmasına izin vermeyin! Kullanıcılar tarafından kurulan yazılımlar sadece potansiyel güvenlik sorunları oluşturmakla kalmıyor, aynı zamanda IT’nin işini kullanıcının yapmasına güvenerek organizasyonunuzun ihtiyaç duyduğu gerçek IT kaynağı hakkında bilgi edinilmesini de zorlaştırıyor.
- Güncellemeler—en azından kritik olanları mutlaka yapın!
Pek çok güvenlik sorunu, bir bilgisayar korsanının işletim sistemleri bileşenlerinden birinde bulduğu bir açık sebebiyle ortaya çıkmaktadır. Bu potansiyel istismarlara bir dur diyecek en yakın tarihli güncellemeleri almak için işletim sistemini kayıt ettirdiğinizden emin olun. Bazı kişiler, kullanıcıların en çok ihtiyaç duyduğu uygulamalar üzerinde bu güncellemelerin nasıl bir etki yapacağını görmeden tüm kullanıcılar için ayrım gözetmeden güncelleme yapmanın çok da akıllıca olmadığını iddia edebilirler. Ancak eğer kullanıcı standart masa-üstü üretkenlik yazılımını kullanmaktaysa kritik güncellemeler büyük ihtimalle hiçbir uygulamaya zarar vermez.
- Yedekleme—yoksa yapmadınız mı??
Bir kullanıcı diskinin tüm önemli verileri bir felaket anında depoladığını ve sizi bir bozukluk ve hatta sistem hırsızlığı durumunda tüm sistemi yeniden kurma zahmetinden kurtardığını farz edin. Ancak bunu sağlamak biraz zor, özellikle de mobil bir çalışma gücü söz konusu ise. Bu hayali gerçeğe dönüştürmek için kullanıcılarınızla yakın temas halinde çalışmanız gerekecek.
- İletişim kurun—sürekli!
Güvenlik hakkında bir haberi kullanıcılara duyurmak önemli bir şeydir. Ancak daimi güvenliğin önemini sürekli kullanıcılara aktarmak tamamen farklı bir şeydir. Eğer kullanıcılarınıza güvenlikle uğraşmaktan sıkıldığınızı gösterirseniz, onlar da bununla uğraşmaktan sıkılacaktır. Güvenlik ile ilgili iletişim kurmayı bir alışkanlık haline getirin ve bu sayede insanlar da sahip olduğunuz güvenlik politikasına saygı duyacaklardır.
- Kablosuz erişim noktaları—hemen kapatın!
Kablosuz erişimin bu denli yaygın olması ve konuşlandırılma kolaylığı nedeniyle, bu erişim noktalarını bir güvenlik gediği olarak göremeyebilirsiniz. Bu erişim noktalarına bir tip kablolu-eşdeğerinde güvenlik (WEP) koyun ve bu sayede o sırada oradan geçenler veya şirketinizi ziyaret edenler networkünüze kolaylıkla sızamasınlar.
- IT Takipleri—en son ne zaman kontrol ettiniz?
Tüm ekipmanlarınız ve ayarları ile ilgili bir hesap tutmak oldukça zaman alıcı ve yorucu bir iştir. Ancak bunu düzenli aralılarla tekrarlarsanız güvenlik sorunlarınızı daha erken teşhis etmekle kalmaz, aynı zamanda kullanıcılarınızı da hizada tutmuş olursunuz – ki bu durum da güvenliği daha da arttırır.
Ve işte size bir de bonus ipucu: bu listeyi gözden geçirin ve her bir maddeyi yeni baştan uygulayın. IT altyapınız kullanıcı gereksinimlerini karşılamak üzere sürekli bir değişim içindedir ve bu değişimler sırasında listedeki maddelerden birisi rahatlıkla gözden kaçabilir.
Kaynak : 