10 güvenlik tavsiyesi

Zararlı yazılımlar yoluyla ülkelerin önemli altyapı sistemlerini etkileyen ya da dev kurumsal yapıları hedef alan yüksek profilli saldırılar dönemi başladı. Şimdi yeni dönemde bu tür saldırıların varyantlarının artmasını öngördüklerini belirten Eset Türkiye Genel Müdür Yardımcısı Alev Akkoyunlu, şirketlere yönelik başlıca 10 güvenlik tavsiyesini şöyle açıkladı:
 

1. Kurum içi güvenlik politikası oluşturulmalı: Herkes, her yere ve her şeye ulaşamamalı. Güvenlik politikası bütün kullanıcılar veya kullanıcı grupları için erişim kurallarını ve haklarını açıkça belirtmelidir.

2. Sorumluluklar belirlenmeli: Kurumun bilgi güvenliği politikası uyarınca personele düşen güvenlik rol ve sorumlulukları belgelenmeli; işe alınacak personele yüklenecek rol ve sorumluluklar açıkça tanımlanmış ve işe alınmadan önce personel tarafından iyice anlaşılması sağlanmış olmalıdır.

3. Eğitim şart: Çalışanlara düzenli periyotlarda güvenlik eğitimleri verilmelidir.

4. BT ekibine de eğitim şart:  Özellikle KOBİ ölçeğindeki kurumlar, BT hizmetini dışarıdan alabiliyor ya da bu konuda tek kişi istihdam edebiliyor. Her iki durumda da BT ekibinin – sorumlusunun, kurum içinde kullandığı uygulamalar ile ilgili düzenli eğitim alması gerekmektedir. Böylece kurum, hatalı kurulum ve kullanıma maruz kalmayacaktır.

5. Güçlü şifreler kullanılmalı: Sistem kullanımında zayıf şifrelere engel olunmalı, alfa nümerik, üç ayda bir değişen şifreler düzenlenmeli ve benzer şifrelerin tekrar kullanılması engellenmelidir.

6. Mobil cihazların kullanımına dikkat edilmeli: Çalışanların her yerden şirket verilerine ulaşmaya çalışması ve bu sırada gerekli güvenlik kurallarının oluşturulmaması, siber suçluların da her yerden bu bilgiye ulaşabileceği anlamına geliyor. Bu gözden kaçırılmamalı.

7. Envanter raporu tutulmalı: Tüm teknoloji varlıkları içeren bir envanter raporu düzenli olarak tutulmalıdır. Yeni sistemlerin geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmalıdır.

8. Yedekleme yapılmalı: Bilgi işlem sistemlerinde yapılan değişiklikler denetlenmeli ve yapılan değişiklikler için kayıtlar tutulmalıdır. Yedekleme politikası uyarınca bilgi ve yazılımların yedeklenmesi ve yedeklerin test edilmesi düzenli olarak yapılmalıdır.

9. İş sürekliliği yönetimi gerekli: Kurum bünyesinde bilgi güvenliği ihtiyaçlarına yer veren iş sürekliliği için geliştirilmiş bir süreç oluşturulmalı. Bu süreç, iş sürekliliği ile ilgili olarak kuruluşun yüz yüze olduğu riskleri, kritik iş süreçleri ile ilgili varlıkları, bilgi güvenliği olayları yüzünden gerçekleşebilecek kesintilerin etkisini, ilave önleyici tedbirlerin belirlenmesi ve uygulanmasını, bilgi güvenliğini de içeren iş sürekliliği planlarının belgelenmesi konularını içermelidir.

10.  Güncel güvenlik yazılımı olmalı:  Güvenlik yazılım ve donanımları istisnasız tüm çalışanlar tarafından kullanılmalıdır.  Kurum bünyesinde güncel ve lisanslı yazılımlar kullanılmalı. Eski veya korsan yazılımlar, yeni güvenlik tehditlerine cevap vermekte zorlanır.