Yükleniyor...

Türkiye'nin Yazılım Rehberi
MENÜ

Şirketler İçin Kurumsal Güvenlikte Kilit Noktalar

Günümüz kurumlarında bilginin ve kaynakların kurum içinde paylaşılması gerektiği için, sistem içerisinde bilgisayarlar çeşitli yollarla birbirine bağlanmaktadır. Bazı kurumlar kendi bilgisayar bağlantılarını kurmuşlar ve dış dünyayla da irtibata geçebilmek için bilgisayar ağlarını İnterenet’e uyarlamışlardır. Geçmişte kapalı kapılar arkasında gerçekleştirilen bu olaylar İnternet’in ortaya çıkmasıyla farklı bir noktaya gelmiştir. Bildiğiniz gibi İnternet sanal bir dünyadır ve bu dünyanın kesin bir şekilde belirlenmiş kuralları yoktur. Bundan dolayı saldırganlar istedikleri şekilde zayıf noktaları tespit edip mevcut sistemlere sızabilmekte ve sistem içerisinde problemler ortaya çıkarabilmektedirler. 

 

Bir kurumun sahip olduğu maddi varlıkların yanında kurum içindeki bilgi de değeri olan ve güvenli bir şekilde korunması gereken bir varlıktır. Kurumsal Güvenlik Sistemleri(KGS) sadece güvenli ve sisteme entegre olmuş bir şekilde değil, aynı zamanda sizin şirketinizi anlık saldırılara karşı savunabilmelidir. Günümüzde şirketler, tüm verilerini internet üzerinden kayıt altında tutmaktadır. Aynı zamanda şirketler için İnternet, içinde bulundukları iş süreçlerinde olmazsa olmaz bir durum haline gelmiştir. İnternet kullanımının yaygınlaşması ile bilişim sistemlerinin güvenliği de önem kazanmaya başlamıştır.

 

 

KGS alanında uzmanlaşmış kişiler, şirketlerin güvenliği ve iş verilerinin korunması için proaktif olarak geniş bir perspektiften sisteme yaklaşmalıdır. Çünkü güvenlik açıkları, hedefine ulaşmış başarılı bilişim saldırıları ve bilgi kayıpları kurumların prestijlerini zedelemekte, güvenilirliklerini azaltmakta, ve şirket için pazar ve müşteri kayıplarına neden olabilmektedir. Kurumlar için tüm bu riskler düşünüldüğünde tehditlere karşı güvenliğin sağlanması hayati önem taşımaktadır. KGS sistemlerinin başlıca kilit noktalarını şöyle sıralayabiliriz: Kurumsal güvenlik, personel güvenliği, yazılım güvenliği, donanım ve ağ güvenliği, fiziksel güvenlik, elektronik güvenlik ve işlem güvenliğidir.

 

1)Kurumsal Güvenlik: Kurumların mevcut verileri tespit edilerek eksik yanlarının belirlenmesi, istenmeyen tehditlerin ve istenmeyen tehlikelerden korunması amacıyla gerekli güvenlik analizlerinin yapılarak önlemlerin alınmasıdır. En çok rastlanılan güvenlik açıklarına baktığımızda: VPN sunucuları, web uygulamalarında SQL sorgularının değiştirilmesi ve başka sitelerde kod çalıştırma, kolay tahmin edilebilir şifreleme sistemleri, güncellemeleri yapılmamış web sunucuları, işletim sistemi, uygulamaların standartların dışında olması ve hatalı yapılandırılmış saldırıları testpit sistemleri. Tüm bu problemlere karşı kurumsal güvenliğin sağlanabilmesi için, kullanıcıların kurumsal güvenliği programı kapsamında oluşturulacak bir Kurumsal Güvenlik Politikası belirlemesi gerekmektedir. Bununla, şirketlerdeki tüm bilişim faaliyetlerinde güvenlik anlamında kapsayıcı bir rol üstlenmektedir.

 

2)Personel Güvenlği: Kurumların içindeki personel güvenliği, kurumun kendi personeli, danışmanlar, geçici çalışanlar, çalışılan kurumlar gibi son kullanıcıya kadar olan sistem içinde olabilecek tüm şahısları kapsar. Bilindiği üzere KGS en büyük zaaflarından biri insan faktörüdür. Bundan dolayı, KGS oluşturulurken kurumlardaki personel konuyla ilgili bilinçlendirilmeli, karşılaşılacak personel hataları belirlenmeli ve personellerin kasıtlı davranışlarına karşı da önlemler alınmalıdır. Personel güvenliğinde alıncak önlemler: Personelin işe alım sürecinde personel ile ilgili yapılacak araştırmalar, kurum içindeki kritik işlerde izlenmesi gereken prosedürle ilgili gizlilik anlaşmaları ve personelin kurumdan olası ayrılması veya izne ayrılması durumunda izleyeceği güvenlik tedbirlerini kapsamaktadır. Örneğin, kurumdaki personeller, bilgisayar sisteminde alınması gereken işlemsel ve fiziki güvenlik tedbirlerini bilmeli ve üst düzeyde uygulayabilmeldir.

 

3)Yazılım Güvenliği: Yazılımlarda kullanılan tersine mühendislik yöntemleri ve araçları ile algoritmalarının ortaya çıkartılması veya bu algoritmalarının değiştirilmesini engellemeye yönelik yöntemlerin bütünüdür. Burada günümüzün tüm koşulları değerlendirildiğinde, her an kötü amaçlı yazılımlarla karşı karşıyayız. Son zamanlarda bu tür saldırılara karşı hazırlıklı olmak son derece önemlidir. Çünkü kötü amaçlı yazılımlar en çok kullanıcı bilgisayarlarına zarar verir ve kurumsal sistemdeki bilgisayarların ağında yayılabilir. Dolayısıyla, sistemdeki kullanıcılar bilgisayarlarında bir antivirüs yazılımı bulundurmalıdırlar.

 

4)Donanım ve Ağ Güvenliği: Bilişim sisteminde bulunan her türlü donanım ve ağ bileşenlerinin korunmasına ve en uygun şekilde kullanılmasına yönelik güvenlik tedbirlerini kapsar. Burada en önemli noktalardan bir tanesi, aktif ağ elemanlarını besleyen elektrik alt yapısının sağlam ve sorunsuz olmasıdır. Sistemin içindeki elektrik elemanlarıyla ilgili gerekli önlemlerin alınması gerekmektedir.

 

5)Fiziksel Güvenlik: Kuruma kaynaklarına yetkisiz girişlerin ve erişimlerin engellenmesi, veri hırsızlığına karşı sistemin korunmasıdır. Bu kaynak ve veriler, işletmedeki çalışanların bilgileri, işletmedeki veriler, işletmedeki ekipmanlar, işletmenin altyapısı ve sistem içerisinde kullanılan her türlü aracı kapsayabilir. Örneğin, fiziki giriş denetim sistemleri kullanılarak gerekli alanlara, sadece o alanla ilgili yetkilendirilmiş personelin girişinin sağlanması. Bununlar ilgili kartlı okuyucu, parmak izi, retina tanımlama ve kimlik kontrolleri gibi çözümler bulunmaktadır.

 

6)Elektronik Güvenlik: Sistem içerisindeki elektronik cihazlar çalışırken sinyaller üretiriler ve bu sinyaller bazı özel cihazlar kullanılarak veriye dönüştürülebilirler. Yazıcıdan alınan veriler, bilgisayar ekran görüntürleri ve ses kayıtları gibi veriler çeşitli yöntemler kullanılarak yeniden elde edilebilir. Bünyesinde önemli gizli veriler kullanan kurumların elektronik güvenliklerinin sağlam olması gerekmektedir. Bu alana verilecek en iyi örnek zırhlama yöntemidir. Bünyesinde gizli belgeler ve bilgiler bulunduran askeri, diplomatik ve istihbarat alanlarında bilgisayar ve elektronik sistemlerin bulunduğu ortamlar tamamen iletken bir maddeyle kaplanarak elektromanyetik dalga yayılımları durdurulur. Ortamların havalandırma girişlerine ise dalga kırıcı yansıtıcılar yerleştirilir. Mevcut elektrik şebekesine ise frekansları kesen filtreler aracılığıyla bağlantılar yapılır.

 

 

7)İşlem Güvenliği: KGS’lerde verilerin işlenmesine ait gerekli önlemleri kapsar. İşlem güvenliğini sağlamaya yönelik en çok rol tabanlı güvenlik çözümleri kullanılır. Bu yapıda, kullanıcıların kurum içerisindeki görev ve sorumluluklarına göre roller tanımlanır. Kullanıcılar kendilerine atanan roller sayesinde ilgili yetkilere sahip olurlar. Roller bilgi sistemi uzmanları aracılığıyla merkezi bir şekilde kullanıcılara verildiği için KGS’lerde kullanılması kolaylaşır.[1]

 

[1] Bilişim Güvenliği Tedbirleri ve TKDK Kurumunda Uygulama Örneği, Emine Tuğ İlçin, Ş. Feyza Adak, Hüseyin Çakır.
Yorum yapmak için LinkedIn ile giriş yapmalısın
Önceki Sonraki
Başarı ! Hata !