Hepimiz bunlarla yüzleşiyoruz; spam’lerin her gün yaptığı yaylım ateşiyle, zero day’in istila ettiği malware saldırılarıyla, kötü niyetli şirket çalışanlarının neden olabileceği risk bir tarafa, enfeksiyona uğramış dizüstü bilgisayarların, veri paketlerini derinlemesine inceleyen firewall’ların ve izinsiz girişi engelleyen sistemlerin arkasından bağlantı kurmalarıyla. Hatta bazılarının mevzuat uyumu baskılarının sürekli artan listesi yönünde atacakları adımlara da dikkat göstermesi gerekiyor.

Daha iyi bir yıl olmasını sağlamak için bu kadar yüksek bir baskı altında neler yapabilirsiniz? Aksaklıklarla, sistem temizleme ve uyum başağrılarıyla dolup taşmayan bir yıl için... En iyi ağ güvenliği uygulamalarının bazılarına dikkatinizi çekmek istedik.

En iyi uygulamalar, faaliyete soktuğunuz eylem ve planlardır. Hiç şüphesiz bu planlarınız içerisinde, güvenlik tedbirlerini bu yılın bütçesine dahil etmek bulunuyordur. Her ne kadar daha fazla detaya inmeyi ve güncel güvenlik konseptlerinden (unified threat management [UTM] veya network admission control [NAC] gibi) bahsetmeyi düşünmüş olsak da, konuşlandırmayı düşünebileceğiniz en iyi yedi güvenlik aracından ziyade en iyi yedi uygulamaya odaklanmak daha uygun gözüküyor. Örneğin, şifrelemeye en iyi uygulamalardan biri olarak bakıyoruz, bir ürün ya da bir araç olarak değil. Çok sayıda ticari veya ücretsiz aracı bulacağınızdan eminiz. Her zaman için sizin modelinize en uygun olanını belirlemek için bu araçları denemelisiniz.

İşte bizim önem sırasına göre en iyi uygulama listemiz:
1) Kurumsal güvenlik politikaları belirleyin
2) Kurumsal güvenlik farkındalığı ve eğitimi sağlayın
3) Sıklıkla güvenliğinizi değerlendirin
4) Mevzuat uyumu değerlendirmesi yapın
5) Kurumsal çapta şifreleme konuşlandırın
6) Tüm kurumsal varlıklara değer biçin, koruyun
7) İş sürekliliği ve felaket kurtarma planlamasını test edin

Listeyi biraz daha uzun tutabilirdik ama bu yedi madde yeterince iyi sonuç verecektir. Çünkü bunları uyguladığınız takdirde ağ çalışma zamanında, performansta ve genel uyumunuzda hızlı bir gelişme kaydedebilirsiniz.

1) Kurumsal GüvenlikPolitikaları Belirleyin
Eğer henüz kurumsal güvenlik politikanız yoksa, şimdi tam zamanı. Ücretsiz ya da çok az bir ücret karşılığı bazı mükemmel modeller var. Favorilerimiz güçlü COBIT modeli, PCI Security Standards Council’den e-tail/retail odaklı PCI modeli ve ISO 27001/17799 olarak adlandırılan son derece çok yönlü uluslararası model. Bu modellerden herhangi biri harika bir başlangıç noktası olabilir.

Bir modelle çalışmaya başladığınızda, 8. sınıftaki bir kişinin dahi anlayabileceği basitleştirilmiş bir model oluşturmaya ihtiyacınız olacak. Neden? Bu sayede organizasyonunuzda yer alan herkes bu politikaları anlayabilir. Bir organizasyondaki çalışanların çoğu INFOSEC ya da uyum uzmanları değildir -ki bu yüzden tüm çalışanların anlayabilmesi ve bu politikaları yerine getirebilmesi için kurumsal güvenliğinizin tüm bölümleri anlaşılır bir dile sahip olmalı. Ayrıntı modeli IT çalışanlarınıza ayırın; CIO’nuza, ağ güvenliğini uygulamanıza ve mevzuat uyumu için IT desteği sağlayan herkese.

Eğer bu modeller sizin için çok bunaltıcıysa, iyi bir ağ güvenliği politikasının her zaman yaşayan bir güvenlik politikasıyla başladığını unutmayın. Bir sayfa dahi olsa organizasyondaki tüm idarecilerin bununla yaşamayı kabul ettiği bir güvenlik uygulamaları taslağı olmalıdır. Temel kurallar içinde kullanıcı erişimi ve parolalardan iş devamlılığı planına, felaket kurtarma planına (BCP ve DRP) kadar her şeyi içeren rehberler yer almalıdır.

Örneğin, mali bilgilerin ve müşterilerin özel kayıtlarının yedeklenmesi için politikalar oluşturmalısınız. Aynı zamanda felaket anı durumları için ikizleme (mirroring) sistemlerinin hazırlanması daha iyi olacaktır. Bazı durumlarda BCP ve DRP’niz ‘soguk’ ya da ‘sıcak’ bir site’a ihtiyaç duyabilir; burada ivedi olarak çalışanlarınız konuşlandırabilir ve doğal bir felaket ya da bir terörist saldırı sonrası operasyonlarınıza devam edebilirsiniz. Bir kurumsal güvenlik politikası oluşturmak, ileriye yönelik bir ağ güvenliği elde etmenin ilk adımıdır.

Kurumsal güvenlik politikalarınızı sağlama almak için idarecilerinizle birlikte çalışın. Bir kişi politikalarınızdan bir ya da daha fazlasını çiğnerse ne olacak? İhlal uluslararası mıydı? Eylem suça dönük müydü? Örneğin, çalışanlarınızdan biri salt-görme erişimi politikasını ihlal ederek, HR veritabanından bütün çalışanların kayıtlarını kopyalar ve bu bilgileri genele açık bir siteye postalar. Eğer bu gerçekleşirse ne yapabilirsiniz? Bütün personelin politikaları ve bu ihlalle bağlantılı zararları bilmelerini sağlamalısınız.

Bu siteyi (www.privacyrights.org) ziyaret ederek kaybedilen ya da çalınan kayıtların sayısını görebilirsiniz. Bu organizasyonlar en iyi kurumsal güvenlik politikalarını uyguladılar mı? Bu hadiselerin herhangi bir tanesi kötü niyetli bir çalışan yüzünden mi kaynaklandı?

Politikalarınıza sadece onları yerine getirmeleri için değil, aynı zamanda ihlallerin sonuçları için de yönetici seviyesinde destek sağlayın. Bunların içinde yazılı kınama, ücret kesintisi, sebepli işten atılma, hukuki dava, ihlalin yerel yetkililere ve olası ceza davası için belgelenmesi yer alabilir.

Bu bilgiler bütün çalışanlarla paylaşıldığında, olası kötü niyetli kurum çalışanlarının organizasyonunuza herhangi bir zarar vermeden önce düşünmelerini sağlarsınız. Hacker davaları, kötü niyetli şirket çalışanlarıyla ilgili olarak görülen celselerin ayrıntıları ve içtihatları görmek için www.cybercrime.gov adresine bakabilirsiniz.

En kötü durum senaryosuna göre plan yaparak, politika ihlallerine karşı en iyi şekilde hazırlanmış olursunuz. Bu bilgiyi edindikten sonra, diğer tarafa yönelelim ve kurumsal güvenlik politikalarınıza yapılan saldırıların içeriden değil de dış tehditlerden kaynaklandığını varsayalım. Eğer tüm çalışanlarınız politikalarınızı yerleştirmenize yardımcı olursa, ağ güvenliğiniz ve mevzuatla uyumunuz güçlü olacaktır. Bunu hayata geçirmenin en iyi yolu kurumsal güvenlik farkındalığından ve eğitiminden geçer.

2) Kurumsal Güvenlik Farkındalığı ve Eğitimi Sağlayın
Güvenilir bir çalışanın bir phishing dümenine düştüğünü ya da “şirket içi” bilgiye ihtiyaç duyan önemli gibi görünen bir kişinin telefonuyla karşılaştığını kaç kere duydunuz? Bu görmezlikten gelinmeyecek kadar sık oluyor. Bazı çalışanlar gitmemeleri gereken bazı web sitelerinde gezinmeye, online kumara ya da anında mesajlama araçlarıyla chat yapmaya bayılıyor. Onları, kurumsal kaynakların makul kullanımı hakkında eğitmeniz gerekiyor. Onlar aynı zamanda parola politikaları ya da “bir milyon kazandınız – buraya tıklayın ve hemen emekli olun.” diyen bir e-posta ekini neden açmamaları gerektiği hakkında pek fazla şey bilmiyorlar. Onları eğitime tabi tutmanın zamanı geldi.

Eğitim Toplantıları
Çalışanları üç ayda bir ‘ye ve öğren’ eğitim toplantılarına davet edin. Onlara en iyi uygulama bilgilerinden oluşan küçük bölümler sunun. Örneğin, anında mesajlaşmayla ilgili yapılacaklar ve yapılmayacaklar hakkında onları eğitin. Eğer yasal amaçlar için e-posta kullanıyorsanız, bazı durumlarda yasa tarafından gereklidir (finansal ticaret firmaları için SEC gereksinimleri), bunu yaptığınızı ve neden yaptığınızı onların bilmesini sağlayın. Acil durumlarda yapmaları gereken şeylerle ilgili bazı gerçek dünya örnekleri verin. Onları sık parola değiştirme politikasını neden uyguladığınız konusunda eğitin. Bununla birlikte parolalarının, klavye altına sıkıştırılmış bir kağıt parçası üzerinde neden olmaması konusunda eğitmeyi de ihmal etmeyin.

Bu toplantıların çok sayıda soru-cevapla interaktif olmasını sağlayın. Yılda bir kez olmak üzere, güvenlik politikanız konusunda proaktif olduğunu gösteren en iyi INFOSEC-uyumlu çalışanınıza ödül verin. Eğer onların ilgisini çekmeye devam edebilirseniz, verdiğiniz bilgilerin bazılarını günlük alışkanlıklarına adapte edeceklerdir. İşte asıl amacımız da bu zaten.

Kampanyalar
Kurumsal bilgilerinizi korumak üzere organizasyonunuzdaki tüm çalışanları eğitmek için bir kampanya başlatmalısınız. E-posta ya da Really Simple Syndication (RSS) aracılığıyla kendi “güvenlik yayını kanalı”nızı oluşturun ve mesajın kurumsal iş gücüne gitmesini sağlayın. Bu mesajların yaklaşmakta olan bir fırtına kadar önemli olduğu ve felaket anında neler yapılacağı hakkında onları bilgilendirin.

Aynı zamanda onlara etkili güvenlik ipuçları verebilir ya da yeni bir phishing dümeni hakkında uyarabilir veya kurumsal bilgileri çalmaya çalışan bir kişinin işten çıkarıldığını söyleyebilirsiniz. Tüm ekibi bu döngü içerisinde tutmak, kurumsal güvenlik duruşunuzu desteklemeye yardımcı olacaktır.

Posterler ve Diğer Farkındalık Araçları
Güvenlik farkındalığı eğitim firmalarından birinden bazı INFOSEC farkındalık posterleri edinmeye çalışın; genellikle onlardan eğitim hizmeti alabileceğinizi umut ederek bazı ücretsiz posterleri size vereceklerdir. Ayrıca, çalışanlarınızın ofislerinde hatırlatıcılar olarak saklayabilecekleri, yapılması ve yapılmaması gereken en iyi uygulamaların bulunduğu küçük kartpostallar gibi kullanabileceğiniz başka araçlar da var.

Sonuç: Bilgi güçtür -ki bu yüzden daha fazla hizmet zamanı ve daha az uyum sıkıntısı sağlama misyonunuzda size yardımcı olması için çalışanlarınıza yapmaları ve yapmamaları gereken eylemler konusunda bir başlangıç sağlayın; bunlar üretkenliğin artması, muhtemel gelir artışı ve herkes için iş güvenliği sonuçlarını getirir.

3) Sıklıkla Güvenliğinizi Değerlendirin
Yamalanıp yamalanmadığından ya da güncel olup olmadığından emin olmak için firewall veya IPS’inize en son ne zaman baktınız? Çoğu IPS sistemleri imza testleri için otomatik güncellemelere sahiptir ama ya bu özelliği açmayı unuttuysanız? Ağınızda herhangi bir düzenbaz kablosuz router ya da başka bir cihazın bağlı olup olmadığından emin olmak için kontrol ettiniz mi? Günlük olarak kurumunuza kaç tane dizüstü bilgisayar girip çıkıyor? Ne kadarında firewall çalışıyor, kaçında tam sistem taramasının açık olduğu güncel antivirüs yazılımı var?

merikan Yurtiçi Güvenlik Departmanı tarafından finanse edilen MITRE, Common Vulnerabilities and Exposures (CVE) sistemini geliştirmeye devam ediyor. Bu yıl sekiz yaşına basan sistem, tüm bilgisayar ve ağ ekipmanları üzerindeki savunmasızlığı takip etmek üzere oluşturulan, dünya çapında kabul gören uluslararası bir standart. Ağınızdaki makinelerin ne kadarında top 20 CVE’den biri var? Listeyi www.sans.org/top adresinde bulabilir ve daha fazla ayrıntıyı NIST’in (Ulusal Teknoloji Standartları Enstitüsü) ev sahipliği yaptığı National Vulnerability Database’den (http://nvd.nist.gov) görebilirsiniz.

NIST’den bahsetmişken, burada STIG adı verilen, sunucu ve sistemleri ayarlamak için en iyi uygulama rehberleri bulunuyor. Cyber Security Research and Development Act, (SiberGüvenlik Ar-Ge Yasası) NIST’in, federal hükumetin yaygın bir biçimde kullanabileceği tüm bilgisayar donanım ve yazılımlarıyla bağlantılı güvenlik risklerini minimize edecek seçenekler listesi oluşturmasına gereksinim duyuyor.

Neden bu kaynağın avantajından yararlanmayalım? DISA şu anda herkese STIG ve kontrol listeleri sağlıyor (http://iase.disa.mil/stigs/index.html). DISA web sitesinde en güncel STIG’ler hakkında bilgilendirilmek üzere “STIG-News Mailing List”e abone olabilirsiniz.
Windows Server STIG diye aratarak kritik öneme sahip Windows sunucularınızdan bir tanesine uygulamayı aklınızdan bile geçirmediğiniz bazı güçlendirme ipuçlarını bulabilir misiniz diye bakın. Ayrıca, NSA diğer birçok ücretsiz ve faydalı kaynağın yanı sıra bir Windows sunucusunu ayarlamak için en iyi uygulama rehberini de sunuyor. Eğer federal hükümetin ağ güvenliği için yeterince iyiyse sizin için de yeterince iyi olmalıdır.

Amerikan hükumetinin bu uygulama tavsiyeleriyle birlikte kendi güvenlik değerlendirmenizi de devreye alın. INFOSEC ortamınızdaki tüm gedikleri bulun ki, bunların dokümantasyonunu hazırlayabilesiniz ve ağınızı sağlamlaştırmak için gerekli çalışmaları başlatabilesiniz. Ağ güvenliği bir süreçtir, bir ürün değil. Bu sebeple bunu doğru bir biçimde yapmak için bulabileceğiniz en iyi rehberlerden faydalanarak durumunuzu değerlendirmeye ihtiyacınız var.

4) Mevzuat Uyumu Değerlendirmesi Yapın
CEO’lar, CFO’lar ve CIO’lar günümüzde büyük bir uyum baskısı altındalar. Sadece çalışanların verimliliğini artırmaları ve verilerin çalınmasına karşı ağlarını korumaları beklenmiyor aynı zamanda onlardan IT uyumunun çok yönlü bir dokümantasyonu isteniyor.
Yapılması gereken ekstradan çok fazla iş olduğu için çoğu organizasyon Accenture veya Deloitte & Touche gibi danışmanlık firmalarına başvuruyor. Ancak bu üçüncü parti gruplar, müşterilerinin hesap denetimlerinin sonuçları yasal maksatlarla incelemeye alındığında herhangi bir yasal sorumluluktan feragat etmek istiyor.

Uyum, yasal sorumluluğun kabulüne ihtiyaç duyar. Peki o zaman, kendi hizmetleri ya da sizin hesaplarınız için sorumluluk kabul etmediklerinde, bu süreçte size yardımcı olması beklenen dış denetleyicilere o kadar çok parayı neden ödeyesiniz?

Harici bir firma IT uyum denetlemesini yapsın ya da yapmasın, öncelikli tavsiyemiz kendiniz ölçülebilir uyum değerlendirmesini yapmaya başlamanız olacak.

Organizasyonunuzu etkileyen düzenlemeleri incelemeniz gerekiyor. Amerika’da bunlar, bankalar için GLBA, sağlık ve sigorta sağlayıcıları için HIPAA, e-tail/retail’lar için PCI ya da genel firmalar için SOX-404 gibi çeşitlilik arz ediyor.

Bazı eyaletler kendi düzenlemelerine sahip. Örneğin Kaliforniya’da, şubelerden bir tanesi başarılı olmuş bir hacker saldırısıyla karşı karşıya kaldıysa, firmaların yasa gereği bu bilgiyi web sitelerinden bildirmeleri gerekiyor. Eğer bilgisayar veri dosyalarında yer alan kişisel bilgiler yetkisiz bir girişle tehlike altına girmişse, yasa gereği firmanın müşterilerine bunu açıklaması gerekiyor. Eğer sosyal güvenlik numarası, sürücü ehliyeti numarası, hesap numarası, kredi kartı numarası veya mali hesaplarına girişi sağlayan güvenlik kodu ya da parolalar gibi kişisel bilgilerle birlikte isimleri bir sunucudan, veritabanından meşru olmayan yollarla ele geçirildiyse Kaliforniya’lı müşterilerin bundan haberdar edilmesi şart.

Uyumu sağladığınızı ispatlamanın en kolay yolu verileri koruma adımlarınızı belgelemektir. En iyi politika ve uygulamaların yerli yerinde olduğunu ispatlayabilir olmalısınız. Bununla birlikte kurumsal verilerin gizliliği, kullanılırlığı ve bütünlüğünü korumak için doğru araçları, INFOSEC karşı tedbirlerini uyguladığınızı da ispatlayabilmelisiniz. Uyum durumunuzu sıklıkla değerlendirerek “kurumsal varlıklara götüren anahtarları açıkta bırakmadığınızı” ispatlamak için hazır olacaksınız. Eğer ağınıza girilmiş ve verileriniz çalınmış olunursa, bu duruma karşı korunmak için en iyisini yaptığınızdan organizasyonunuz için felaket söz konusu olmayacaktır.

5) Kurumsal Çapta Şifreleme Konuşlandırın
Eski bir deyiş şöyle der: “Gevşek dudaklar gemileri batırır”. Eğer gerçekleşmiş kimlik hırsızlıklarına bakacak olursanız, bunların çoğunun şifrelenememiş sistemlerde vuku bulduğunu görürsünüz. Örneğin, herkese açık bir e-ticaret sitesi sadece CVE’leri olduğundan değil, aynı zamanda firmanın şifrelemenin önemini anlamaması yüzünden hack edilebilmişti. Onlar sadece şifrelenmiş SSL oturumunun yeterli olduğunu düşünmüşlerdi.

Ancak alışveriş sepeti sistemleri bu şifrelenmiş kredi kartı bilgilerini alıp sakladı ve web sunucusuna bağlı bir veritabanı sunucu üzerine düz metin olarak deşifre etti. Bu iki sunucu hacker’lar için çocuk oyuncağıydı; bir SQL Injection saldırısıyla binlerce müşteri kaydı ele geçirildi ve kredi kartlarından para hortumlamak üzere kullanılmak için satıldılar. Sosyal güvenlik numaraları, isimler, adresler, telefon numaraları, banka hesap kayıtları ve kredi kartları listelerini karaborsadan satın alabilirsiniz. Bu şimdi bir endüstri oldu.

Organizasyonunuzun bu listeye eklenmesine müsaade etmeyin. En iyi çözüm kurumunuz içerisindeki elektronik iletişim ve veri kullanımına tüm cephelerden bakmaktır. Bu, anında mesajlaşmaları, dosya transferi, chat, e-posta, online toplantılar, tüm verilerin oluşturulmaları, değiştirilmeleri, depolanmaları, silinmeleri ve geri alınmalarının tamamını içermelidir.

Müşteri kayıtları nasıl saklanıyor? Diğer gizli bilgilerin elektronik versiyonları nasıl korunuyor? Verilerin yedeklenmesi yeterli değil.

Ağınıza dışarıdan erişenler için bir VPN kurmalısınız. Şifrelenmiş bir tünel aracılığıyla ağınıza erişim sağlayan sistemlerin, altyapınızdaki en zayıf bağlantılar olmadığından da emin olmalısınız. Eğer yamalanmamışlarsa, güncellenmemişlerse, malware’lardan temizlenmemişlerse sisteminize girmelerine izin vermeyin. Eğer bir çalışanınızın dizüstü bilgisayarıyla gitmesine izin verdiyseniz, cihazı geri alın ve bu arada VPN tünelini de kapatın.

Sabit disklerinizden e-posta oturumlarınıza, dosya transferlerinize kadar her şeyi şifreleyebilirsiniz. Sabit diskler için (www.truecrypt.org), e-posta ve anında mesajlaşma için (www.openssl.org) bir sürü ücretsiz araç var. Ayrıca ücretsiz şifrelemenin büyük babası, Phil Zimmermann tarafından 2002’de oluşturulan PGP (Pretty Good Privacy; www.openpgp.org) de var.

Ancak şifreleme hafife alınmamalıdır. Anahtarların depolanması ve parola erişimi için politikalar oluşturmaya ihtiyacınız var. Böylelikle, son kullanıcılar anahtar ve parolaları kaybettiğinde, bu bilgileri deşifre edecek, anahtarları resetleyecek ya da parolaları değiştirebileceksiniz.

Hâlihazırda çalıştırmakta olduğunuz bazı sunucu ve hizmetlerin zaten şifreleme desteği sunduğunu fark edebilirsiniz; bu özelliği devreye sokmanız için sadece ilgili kutucuğu işaretlemeniz yeterlidir. Eğer içerisinde gizli bilgiler bulunan bir dizüstü bilgisayar çalınırsa, verileri deşifre edecek parola ya da anahtara sahip olmadığından hırsıza bir faydası olmayacaktır. Eğer birisi, Ethereal ve VOMIT (voice-over- misconfigured-internet- telephony) saldırısı gibi bir araç kullanarak yeni VOIP sisteminizi gizlice dinliyorsa, veri akışı şifrelendiğinden fazla ileri gidemeyeceklerdir.

6) Tüm Kurumsal Varlıklara Değer Biçin, Koruyun ve Takip Edin
Tüm IT kaynaklarınızın değerine yakından bir göz atmalısınız. Tüm ekipmanlar buna dahil; yeni VOIP telefon sisteminizden dizüstü bilgisayarlarınıza, masaüstlerinize, sunuculara ve diğer tüm ağ ekipmanlarına kadar. Sizin için ne kadar değerliler? Eğer birisi kurumunuza ait bir dizüstü bilgisayarı çaldıysa, onu yerine getirmenin maliyet ne olabilir? Peki eğer bu bilgisayarda kurumunuzun tüm ticari sırları bulunuyorsa değeri ne kadardır?

Alan adınız içerisinde bulunan tüm kurumsal varlıklar üzerinde bir envanter değerlendirmesi yapın. Eğer mühendisler dosya sunucunuz üzerinde kod saklıyorsa, bu kodun değeri nedir? Dosya sunucusu 3000 dolar maliyetle yerine konabilir ancak kodların yeniden bir araya gelmesi yıllar alabilir.

Kurumsal kaynaklarınıza bir değer vererek, bu kaynakları daha iyi nasıl koruyabileceğinizi belirleyebileceksiniz. Eğer önemli kaynakların nerede durduğunu ve bunların organizasyonunuz için değerini bilirseniz bir depolama alan ağının ya da günlük yedek almanın haklılığı daha kolay ortaya çıkacaktır.

Ya peki satış ekibi müşteri ilişkileri yönetimi (CRM) sistemleri için SugarCRM (www.sugarcrm.org) gibi bir ücretsiz aracı seçerse ne olacak? SugarCRM satış ekibiniz için bir yedekleme hizmeti sağlıyor mu? Size haber vermeden, satışçıların tüm müşteri listesini kendi web sunucularına yerleştirmeleriyle karşı karşıya kalabilirsiniz. Sonra, onların kullandığı sunucuda sorun çıktığında, muhtemelen kurumunuzdaki en değerli kaynaklardan birini kurtarmak için çağrılacaksınız.

Eğer fiziksel güvenlik ve kaynak denetimi çalışması yaptıysanız, bu “yeni” sunucuyu bulmuş ve kontrolünü ele almışsınızdır; şifrelemeyi devreye koymuş, günlük yedeklemeyi ayarlamış ve bakım programına koymuşsunuzdur.

Bilmediğiniz bir şeyi koruyamazsınız. Tüm kurumsal kaynakların kontrol altında tutulması çok önemlidir. Her bir kaynağın değerini de içeren bir tabloyu hızlı bir biçimde oluşturabilirsiniz; IT bakış açısında, CFO’ninkine lüzum yok. Sonra şifreleme, güçlü yetkilendirme, ayrı alt ağ, ağ iletişimi hizmet kalitesini (QoS) sağlama, yedekleme planı vs. gibi INFOSEC karşı tedbirlerini hesaba katabilirsiniz; hizmet dışı süresini en aza indirmek, verilerin çalınması ya da kritik bir kaynağın kaybını önlemek için bunu yapmaya ihtiyacınız var.

7) İş Sürekliliği ve Felaket
Kurtarma Planlamasını Test Edin
İş sürekliliği demek “ışıkların yanmaya devam etmesi” demektir, felaket kurtarma ise “ışıklar gittiğinde ne yapacağız” demektir ve onların yanmasına ihtiyaç duyarız.

Mümkün olduğunca mantıklı aralıklarla iş sürekliliği ve felaket kurtarma planlarınızı teste tabi tutmalısınız. Yılda bir kereden az değil; yılda dört kez gibi bir sıklıkla. Bunu bir pazar akşamı gibi boşta olduğu saatlerde yapmak en iyisidir ki bu sayede organizasyonunuzun operasyonlarını bölmezsiniz. İlk BCP/DRP’inizi oluşturmak için en iyi yol, muhtemel senaryoların bir listesini düşünmektir.

IT’ci arkadaşlarınıza aşağıdaki listenin en az on katı uzunluğundaki bir listeyle gelmelerini isteyerek, bu işlemi eğlenceli ve ilginç bir hale getirebilirsiniz. En uzun listeyle gelen bir ödül kazanabilir. Gerçekleştirmeniz gereken testlerden bazıları şunlardır:

Ne olacak?
a) Elektrik kesilirse
b) Router devre dışı kalırsa
c) Telefon sistemi devre dışı kalırsa
d) İnternet devre dışı kalırsa
e) Kritik bir sunucu offline olursa
f) Bir sabit disk bozulursa
g) Bir uygulama göçerse
h) Ağınızda bir malware salgını patlak verirse
i) Isıtıcı/klima sistemi çalışmıyorsa
j) Doğal bir afet meydana gelirse
k) Organizasyonunuz içinde grip salgını olursa

Organizasyonunuzun çalışmasını engelleyebilecek başka problemleri düşünebileceğinizden eminim. Bunların hepsini yazın. COBIT ve ISO 27001/17799 modellerinde, BCP ve DRP planlaması hakkında önemli oranda bilgi bulacaksınız. Operasyonlarınızı etkileyeceğini düşündüğünüz herhangi bir şeyi kaçırıp kaçırmadığınızı kontrol edin.

Kritik acil durumlar için cold, warm ya da hot backup alanlarınız bulunuyor mu? Eğer yoksa hemen planlamaya başlamalısınız. Eğer bunu karşılayamıyorsanız, siz acil durumunuzu çözene kadar organizasyonunuz sanal olarak çalışmaya devam edebileceği bir ‘sanal’ ofisi evinizden oluşturabilirsiniz. .

2007’yi IT İçin Harika Bir Yıl Yapmak
Sürekli saldırı ve risk altında olduğumuzu bildiğimizden, 2007’de ağ güvenliğini sağlamak için bu yedi pratiği hayata geçirmek için bu çok iyi bir zaman. Hacker’lar, kötü niyetli şirket çalışanları ve siber suçlular 2006’da at koşturdular; kurumsal LAN’larımızı istila ettiler, çoğu organizasyonu uyum dışında kalma riskine attılar, markalarımızı sönük hale getirdiler, üretkenliğimizi ve çalışanlarımızın moralini düşürdüler ve internet otobanında çoğumuzu yolcu koltuğuna oturttular. Daha proaktif bir yaklaşımla, ölçülebilir hedefler belirleyerek ve yol boyunca kaydettiğiniz ilerlemeyi belgeleyerek, 2007’de kendinizi IT Güvenliği’nin sürücü koltuğunda bulabilirsiniz.

Töre Duman, ARITECH Genel Müdürü
Cep telefonumuzla ya da PDA gibi araçlarla, GPRS, WAP, Wi-Fi, vb. servisler sayesinde, PC kullanarak birtakım işlemleri yapmaya başladık. Örneğin, kredi kartı borçlarımızı cep telefonumuzu kullanarak ödeyebilir ya da istenilen bir hesaba havale yapabilir hale geldik. Ancak, mobil güvenlik yapısını oluşturmadan, bahsettiğimiz hizmetlerin ticari hayatta uygulanabilirliği bulunmuyor.

SMS ve ses aktarmanın bilgi aktarmanın gerisinde kalacağı günler çok uzak olmadığından, birçok GSM şirketi, finans firmaları ile beraber bu alana yatırım yapıyor. SIM kartımızdaki bize özel sayısal imza sayesinde kablosuz PKI uygulaması da hayatımıza girecek. Bunun dışında, halihazırda kullanılan kablosuz iletişim cihazları ve son çeyrekte hizmete sunulması planlanan WiMAX altyapısıyla ilişkili güvenlik teknolojileri, 2007 BT güvenlik hizmetlerinin önemli maddeleri arasında olacak.

Taylan Dedeoğlu, CA Çözüm Ortakları Yöneticisi
Güvenlik dendiğinde yalnızca virüs, spyware gibi unsurları tehdit olarak görmemek gerekir. İnternet üzerinden erişilen içeriğe de güvenli olarak ulaşmak güvenliğin ayrı bir boyutu. İçeriği filtreleyen ürünler de en az antivirüsler kadar önemli. Çünkü kullanıcılar, hiçbir kötü niyet veya benzeri bir tutum sergilemeden girdikleri ve gayet masum görünen bir sitede bile olmadık tehlikelere maruz kalabiliyorlar.

Türkiye’de artık bilgisayar ve İnternet kullanımı olmayan firma kalmadı diyebiliriz. Bu yapılanma da beraberinde data üretimini, kesintisiz olarak İnternet’e erişimi ve böylece de İnternet’in firmaya erişimini sağlıyor. Hiçbir güvenlik önlemi almadan İnternet kullanmak otobanda yürüyüş yapmaya benzetilebilir. Minimum seviyede olsa bile bir antivirüs ve antispyware ürününün mutlaka kullanılması gerekiyor.

Şahin Tulga, HP Türkiye Genel Müdürü
HP'nin sunduğu ethical hacking, herhangi bir kurumun İnternet sitesini, İnternet bankacılığının, o kurumun bilgisi dahilinde güvenlik açısından test edilmesini ifade ediyor. Günümüzde birçok firmanın İnternet sitesi yasadışı yollarla kurumlardan habersiz olarak saldırıya uğruyor ve çökertiliyor. Biz ethical hacking olarak adlandırılan çalışmayı, firmanın sistemlerinde bir açık olup olmadığını bulmak için firmayla belirli gizlilik kurallarını içeren bir sözleşmeyle yapıyoruz.

İşin özünde, firmanın bilgi teknolojileri (BT) sistemine bir saldırı düzenliyoruz ve bu saldırılar sonucunda açık yakalarsak da bunu firmayla paylaşıyoruz. Bu çalışmalarda amaç, insanların sistemlerin dışında tutmaktan ziyade doğru kişilerin içeri alınmasının sağlanması olarak görülebilir. Bu sayede kurumların yetki prosedürlerinin doğru olarak çalışıp çalışmadığını da görmüş oluyoruz.

Cüneyt Kavi, KAVİ Bilgisayar Genel Müdürü
Kavram olarak güvenlik yatırımları hiçbir zaman yeterli olmaz. Aslında Türkiye’de sorun burada başlıyor. Kurum hiçbir zaman tamam, ben hazırım diyemez. Belki çok klasik olacak ama güvenlik zincirinde açığınız en zayıf halka. Kurumun gözardı ettiği ya da önemsemediği yatırım hacker’ın giriş noktası olabilir.

Hepimizin masumane amaçlarla kullandığı Google; hack aracı olabiliyor ya da çok paralar döktüğü işletim sistemi eksik kurulduğu için giriş noktası haline gelebiliyor. İnsanımız yapısı sebebiyle, kurumların kurumsallaşamadığı ve buna bağlı olarak güvenlik ilkesi oluşturamadığı sürece IT güvenliği konusunda her zaman bir adım geride olacak. Kaldı ki Türkiye ekonomik olarak Dünya’da önemli oyunculardan olmak üzere iken ve sanayimiz Dünya’da hakettiği konuma oturmuşken bilginin güvenliği bugün herzamankinden daha önemli.

Özgür Danışman, Koç.net Güvenlik Ser. Yöneticisi
Güvenliği sağlamak için birbiri ile paralel iki konuya çok önem veriyoruz. İlki bilgi güvenliğini süreç olarak ele alıyoruz ve bu doğrultuda bilgi güvenliği yönetimi sistemini kurarak işletiyoruz. Diğer konu da BGYS ışığında öngördüğümüz teknolojik altyapının devamlılığının sağlanması. Teknolojik altyapımızda bilgi güvenliğini sağlamak için bütünleşik bir güvenlik çatısı oluşturulmuştur.

Fiziksel güvenlikten başlayarak, OSI katmanlarında en üst seviyedeki güvenlik risklerini gidermek için koruma sağlayan altyapılar mevcuttur. Biometrik giriş kontrol sistemleri ile fiziksel girişler kontrol altına alınmakta ve sürekli güncellenen Atak Tespit ve Önleme Sistemleri kullanılarak yapılan saldırılar gözlemlenmekte ve engellemektedir. Gizlilik ve bütünlüğün sağlanabilmesi için bilgi sistemlerine erişimler merkezi olarak yönetilen Güvenlik Duvarı Sistemleri ile korunmakta ve kayıt altına alınmaktadır.

Taner Bengi, METEKSAN Genel Müdür Yard.
BT güvenlik politikaları, kurumların güvenliğe yaklaşımını gösterip güvenlik çalışmalarında izlenecek ilkeleri belirliyor. Bu bağlamda, güvenlik politikasının organizasyonel açıdan önem teşkil eden bütün risk ve süreçleri kapsaması ve alınacak aksiyonlara ışık tutan bir elkitabı gibi hazırlanması gerekiyor.

Genel olarak, iyi bir güvenlik politikasının, CISSP CBK (Common Body of Language) altında öngörülen 10 maddeyi (erişim denetimi, ağ güvenliği, güvenlik yönetimi, uygulama ve sistem güvenliği, kriptografi, güvenlik mimarisi ve modelleri, operasyon güvenliği, iş sürekliliği ve olağanüstü hal kurtarma planı, güvenlik suçları ve fiziksel güvenlik) içermesi gerektiğini söyleyebiliriz. Merkezi yönetim, proaktif güvenlik ve risk yönetimi gibi hususlar ise bu çerçevede kapsanan alt maddeler olarak düşünülebilir.

İnternet'ten gelen bir saldırının çalışma masamıza
kadar gelen bir hırsızdan ya da cebimizden bir şeyler çalan yankesiciden hiçbir farkı yoktur.

Göksel Topbaş, MICROSOFT Server Grubu
Ürün Pazarlama Müdürü
Türkiye’de işletmeler bulundukları iş kolu itibariyle güvenliğe ayrı pencerelerden bakıyor. İş ihtiyaçlarına göre örneğin finans, telekomünikasyon ve kamu sektörlerinde faaliyet gösteren işletmeler ve kurumlar, güvenliğe çok büyük önem veriyor ve şu anda güvenliğe bütünsel bir bakış sergileyebiliyor. Diğer iş kolundaki işletmeler de güvenlik konusunda her geçen gün biraz daha fazla bilinçleniyor.

Genel olarak bir antivirüs ve bir Firewall çözümü bugün hemen her firma tarafından kullanılıyor. Yatırım konusunda eksik olan noktanın ise süreç, teknoloji ve kullanıcı bilincinin bileşkesi olarak nitelendirebileceğimiz uçtan uca güvenlik yaklaşımı ve anlayışı olduğunu görüyoruz. Microsoft olarak bizim vizyonumuz ürünlere odaklanmak dışında kurumlar için uçtan uca güvenliği sağlamak yönünde.

Ahmet Kutan, RZK Mühendislik Genel Müd. Yard.
İnternet'ten gelen bir saldırının çalışma masamıza kadar gelen bir hırsızdan ya da cebimizden bir şeyler çalan yankesiciden hiçbir farkı yoktur. Bu saldırılar hızla gelişen, her gün yeni bir yöntem eklenen organize suçlardır ve suçluların yakalanması çok zordur. Korumasız bir sistemle kaybedilen sadece maddi kayıplar değil, maddi boyutların ötesinde boşa giden zaman ve emektir. İnternet tehditleri, aynı anda farklı İnternet teknolojilerinin ve protokollerinin kullanıldığı karmaşık bir hal almıştır.

Bu karmaşık tehditlerle başedebilmek için, Bütünleşik İnternet Güvenlik Sistemleri geliştirilmeye başlanmıştır. Bütünleşik Güvenlik Sistemi başlığı altında; Firewall, Saldırı Tesbit ve Durdurma, AntiVirus, AntiSpam ve İçerik Filtreleme fonksiyonlarından bahsedilebilir.

Gökhan Say, SYMANTEC Türkiye Müdürü
Güvenlik yatırımı yapması için bir kurumun ölçeğinden çok ne kadar risk taşıdığı önemli. Yani bir saldırıya maruz kaldığınızda veya sistemleriniz kesintiye uğradığında ne kaybedeceğiniz son derece önemli. Büyük ölçekli şirketlerde bu danışmalık hizmetiyle sağlanabilirken orta ölçekli şirketlerin de basit anlamda bir risk analizi danışmanlığı almalarında büyük fayda var.

Kurumun ağ geçidi güvenliğini de sağlıyor olması mutlaka gerekli. Güvenlik alanında en temel önlem özellikle “uç kullanıcı” alanında sağlanmalı. Çünkü mobil bir dünyaya geçilmesi ile artık ağımızın sınırları kalmamış durumda. Bu noktada özellikle davranışsal bloglama gerçekleştirebilen bir takım akıllı çözümlerle güvenliğin sağlanması ve uç kullanıcı alanında antivirüsten böyle entegre bir çözüme geçişin sağlanması son derece önem arz ediyor.

Luc-Erol Alptuna, TREND MICRO Ülke Müdürü
Firmaların güvenlik alanında rasgele yatırım yapmalarının kendilerine pek bir katkısı yok. Bilgi güvenliği dediğimiz kavram dinamik ve çok hızlı değişen bir olgu. İsterseniz dünyanın en iyi ve en pahalı çözümlerini alın. Gerekli güncellemeleri yapmıyorsanız 1 ay içinde güvenlik sorunları ile karşılaşmaya başlarsınız. Yeni çıkan bir virüs, rootkit vs. şirketin ağını dakikalar içinde çökertebilir ve işletmeyi çalışamaz hale getirebilir.

Bu nedenle, güvenlik yatırımlarında konunun uzmanları ile çalışmak gerekir ve böylece ihtiyaç duyulmayan pahalı çözümlere para harcanmasının da önüne geçilir. Birlikte çalışılacak iş ortağı, işletmede tepe yönetimden ofis elemanına kadar herkesçe sıkı sıkıya uyulacak bir güvenlik politikası belirleyerek bundan hiçbir koşulda taviz verilmemesini de sağlayacaktır. Sonuçta da işletme için gerçek anlamda bir güvenlik şemsiyesi kurulmuş olacaktır.