Kamu ve ozel sektor kurumlarında bilişim teknolojilerine olan bağımlılığın artmasıyla siber alanda yaşanan riskler de artıyor.

Siber sucluların bir yontem olarak kullandığı sosyal muhendislik gibi insan temelli saldırıların riskini azaltmak icin calışanların siber guvenliğe ilişkin konularda daha fazla bilgilendirilmeleri gerekiyor. Şirketler icin en onemli risk unsurları icerisinde yer almaya başlayan siber saldırılara alınacak onlemler artık sadece şirket ekonomisini değil ulke ekonomisini de ilgilendiriyor. ESET Turkiye Genel Mudur Yardımcısı Alev Akkoyunlu, siber saldırıları onlemek icin kurumların dikkat etmesi gereken 10 konuyu sıraladı.

1. Mobil cihazların kullanımına dikkat edilmeli: Calışanların her yerden şirket verilerine ulaşmaya calışması, gerekli guvenlik kuralları oluşturulmaması siber sucluların da her yerden bu bilgiye ulaşabileceği anlamına geliyor. Bu gozden kacırılmamalı.

2. Kurum ici guvenlik politikası oluşturulmalı: Guvenlik politikası butun kullanıcılar veya kullanıcı grupları icin erişim kurallarını ve haklarını acıkca belirtmelidir.

3. Sorumluluklar belirlenmeli: Kurumun bilgi guvenliği politikası uyarınca personele duşen guvenlik rol ve sorumlulukları belgelenmeli; işe alınacak personele yuklenecek rol ve sorumluluklar acıkca tanımlanmış ve işe alınmadan once personel tarafından iyice anlaşılması sağlanmış olmalıdır.

4. Calışanlara eğitim: Calışanlara duzenli periyotlarda guvenlik eğitimleri verilmelidir.

5. IT ekibine eğitim: IT ekibinin de kullandığı uygulamalar ile ilgili duzenli eğitim alması gerekmektedir. Boylece kurum hatalı kurulum ve kullanıma maruz kalmayacaktır.

6. Guclu şifreler kullanılmalı: Sistem kullanımında zayıf şifrelere engel olunmalı, alfa numerik, uc ayda bir değişen şifreler duzenlenmeli ve benzer şifrelerin tekrar kullanılması engellenmelidir.

7. Envanter raporu tutulmalı: Tum teknoloji varlıklarını iceren bir envanter raporu duzenli olarak tutulmalıdır. Yeni sistemlerin geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaclar belirlenirken guvenlik gereksinimleri goz onune alınmalıdır.

8. Yedekleme yapılmalı: Bilgi işlem sistemlerinde yapılan değişiklikler denetlenmeli ve yapılan değişiklikler icin kayıtlar tutulmalıdır. Yedekleme politikası uyarınca bilgi ve yazılımların yedeklenmesi ve yedeklerin test edilmesi duzenli olarak yapılmalıdır.

9. İş surekliliği yonetimi gerekli: Kurum bunyesinde bilgi guvenliği ihtiyaclarına yer veren iş surekliliği icin geliştirilmiş bir surec oluşturulmalı. Bu surec, iş surekliliği ile ilgili olarak kuruluşun yuz yuze olduğu riskleri, kritik iş surecleri ile ilgili varlıkları, bilgi guvenliği olayları yuzunden gercekleşebilecek kesintilerin etkisini, ilave onleyici tedbirlerin belirlenmesi ve uygulanmasını, bilgi guvenliğini de iceren iş surekliliği planlarının belgelenmesi konularını icermelidir.

10. Guvenlik yazılımı olmalı: Guvenlik yazılım ve donanımları istisnasız tum calışanlar tarafından kullanılmalıdır. Kurum bunyesinde guncel ve lisanslı yazılımlar kullanılmalı. Eski veya korsan yazılımlar, yeni guvenlik tehditlerine cevap vermekte zorlanır.


https://www.technopat.net/2014/12/04...manin-10-yolu
__________________