Planlayın
Güne Güvenlikle başlayın !
Güvenlik Standartlarımız Hazır mı?
Kurumumuz, hangi güvenlik altyapısı, kuralları, bileşenleri, entegrasyonları, hizmetleri ile çalışıyor, tanımlamalıyız. Internete çıkışımızdan, elektronik postalara, dış ve iç entegrasyonlardan, uygulama güvenliğine, sistem ve ağ altyapısından parola politikalarına dek, genel ve kurumumuza özel standartları detaylı tanımlamalıyız. Yazımızın devamında açıklanmış bu temel standartlara politika dokümanında, taktik ve detay talimatlara ise prosedürlerde yer vermeliyiz ve süreçlerimizi oluşturmalıyız.
Altın Kural 1. Yaptığınızı tarif edin, tarif ettiğinizi yapın.
Veri Erişiminiz Kontrol Altında mı?
Altın Kural 2. Hassas verilere erişimi sınırlandırın, yetkileri kontrol edin.
Sorular : Neye Sahipsiniz? Neyi İşliyorsunuz? Neden Sorumlusunuz?
Hangi bilgilere sahipsiniz? Bu bilgiler gerçekten gerekli mi? Benim olmayan bir şeyi kimse çalamaz. O halde gereksiz, hassas verilerinizi gözden geçirin. Bu veriden hangi sıfatla sorumlusunuz? Sorumluluklarınız neler, tabi olduğunuz mevzuat nedir biliyor musunuz? KVKK’ya hepimiz tabiiyiz ve altın kuralımız;
Altın Kural 3. İhtiyacınız olmayan kişisel verileri saklamayın.
Tüm kurumlar, mevzuat ve yasal süreyi göz önünde bulundurarak bilgilerini saklamalı, peryodik imha prosedürlerini hazırlamalı, riski azaltmalıdır.
Altın Kural 4. Bilgileri yalnızca yasal süresi boyunca elinizde tutun!
Güvenli Kimlik ve Parola Doğrulama
Güçlü kimlik doğrulaması prosedürlerini uygulamak, sadece yetkililerin verilere ulaştığından emin olmanızı sağlar.
İpuçları;
- Çalışanlarınızı karmaşık ve eşsiz parola oluşturmaya zorlayın.
- Parolaları güvenli bir şekilde saklayın, beyaz masa politikası oluşturun
- Brute force (şifre tahmini ile) ataklarına karşı korunun
- İki faktörlü kimlik doğrulamayı tercih edin
Ağınız güvende mi?
- Ağınızı bölümlere ayırın.
Sisteminizdeki tüm bilgisayarların diğerleriyle iletişim kurma ihtiyacı olmayabilir. Hassas veriyi ağınızda güvenli bir ağda diğer toplu ağlardan ayrı tutarak koruyabilirsiniz. Böylece saldırganların tek bir ağ üzerinden tüm ağdaki hassas verilere erişimini engellemiş olursunuz.
- Ağınızı izleyin
Ağınıza izinsiz girişleri tespit edin ve gerekli önlemleri alın. Aksi takdirde saldırganlar zayıflıklardan yararlanarak ve ağınızda programlar kurarak saklanan hassas verileri sızdırabilir.
- Ağınıza uzaktan erişimi güvenli hale getirin
- FW, Anti-Virus, EDR, IPS, IDS, anti-DDOS vb Güvenlik bileşenlerinin sizler için gerekli olanlarının topolojisinde yer aldığından emin olun.
Altın Kural 5. Sızma testlerinizi yaptırın
Tüm Geliştirdiğiniz Uygulamalarınızda Güvenliği Unutmayın !
Süreçlerinizi Tanımlayın, Uygulayın
Problem yönetiminiz, değişiklik yönetiminiz, yama yönetiminiz tanımlı mı? O halde bunları biran önce tanımlayın!
Risk Analizlerini Yapın, Güvenlik Planlarınızı Oluşturun
Senaryolar ve envanter/süreç bakış açısıyla olasılık ve etki parametreleriyle içsel ve arta kalan risklerinizi tanımlayın. Riski azaltmak için tedbirlerinizi gözden geçirin, almayı planladığınız tedbirleri aksiyon tarihleri ile oluşturun.
İş Sürekliliği, Acil Durum Planları Hazır mı? Yedekleme Prosedürleri Tanımlı Mı?
Altın Kural 6. İş sürekliliği testlerinizi yaptırın
Çalışanlarınız Farkında Mı?
Sosyal mühendislik atakları siber tehditlerin başında gelmektedir. Oltalama saldırıları gibi ataklara karşı çalışanlarınızın gerekli eğitimleri aldığından emin olun. Kendinizi ve çalışanlarınızı güncelleyin. Sorumluluklarının farkında olmalarını, en zayıf halka kadar güçlü olduğunuzu anlamalarını sağlayın.
Altın Kural 7. Sosyal mühendislik testi yaptırın