Merhaba sevgili Kernelblog takipçileri uzun bir aradan sonra yeniden sizlerle birlikte bilgi güvenliği dünyasının kapılarını açmaya geldim.
Bu yazımda ve ilişkili olacak diğer yazılarımda sizlere Bilgi Güvenliğine yönelik yaygın tehditler ile bu tehditlere karşı alınabilecek önlemler hakkında bilgi vermek , olası tehditlerin engellenebilmesi amacıyla en zayıf halka olarak anılan son kullanıcıların oluşturduğu tehditlerin tamamen ortadan kaldırılamasa dahi iyi planlanmış bir güvenlik stratejisi ile risklerin en aza indirilebileceğinin altını çizmek isterim.
İyi bir güvenlik stratejisi nasıl belirlenir diyecek olursak. Kurumun/şirketin büyüklüğü, sektörü, yasal olarak bağlı olduğu mevzuatlar kapsamında belirlenir diyebiliriz. Ancak en temele inecek olursak çalışanların ve destek alınan üçüncü şahıs firma çalışanların bilgi güvenliği bakış açısının benimsetilmesi ve farkındalıklarını arttırıcı faaliyetlerin yapılmasıdır. Şimdi gelin bu faaliyetler nelerdir bakalım.
Bilgi Güvenliği Farkındalığı Arttırıcı Faaliyetler
· Bilgi Güvenliği Farkındalığı temel eğitimi,
· Bilgi Sistemleri kaynaklarına erişimi olan çalışanlara özel Bilgi Güvenliği Farkındalık eğitimi,
· Kurum/şirket içi bültenler hazırlanması,
· Belli periyotlarda bilgi güvenliği temel konularını hatırlatıcı mesajlar oluşturulması,
· Temel bilgi seviyesini tespit etmek adına bilgi güvenliği bilinç anketlerinin yapılması,
· Güncel saldırı yöntemleri dikkate alınarak sosyal mühendislik senaryoları oluşturup tatbikatlar düzenlemek,
· Üçüncü şahıs firma çalışanlarının bilgi güvenliği eğitim seviyesini ölçümlemek ve gerekli eğitimlerin verilmesi,
Bilgi Güvenliği Farkındalık Eğitimi
Bilgi güvenlik farkındalık eğitimi mutlaka bilgi güvenliği politikalarını, prosedürlerini, standartlarını içerecek şekilde, bilgi güvenliği ve verilerin korunması konusundaki bireysel sorumlulukların neler olabileceği ve bu verilerin korunması için alınabilecek önlemlerin neler olduğu konularını kapsamalıdır. Aynı zamanda verilen eğitimin yeni teknolojiler ve ortaya çıkan riskler göz önünde bulundurularak belli periyotlarda güncellenmesi ve çalışanlara tekrar eğitimin verilmesi önemlidir.
Ek olarak Bilgi Sistemleri kaynaklarına erişimi olan çalışanlara ise alanları doğrultusunda genel kabul görülmüş riskleri ve prensipleri (En az haklar prensibi, görevler ayrılığı vb.) içerecek şekilde, ilgili bilgi teknolojileri sistemlerinin kullanımına/yönetimine yönelik ilgili mevzuat ve yönergeler hakkında bilgi sahibi olması amaçlanarak eğitim içeriği hazırlanır.
Bilgi Güvenliği Bülten ve Hatırlata Mesajları
Bilgi Güvenliği eğitimlerinin yanı sıra yıl içerisinde gerçekleşen bilgi güveliği olayları, mevzuat güncellemeleri, yakın zamanlı yaşanmış siber saldırılar, veri sızıntıları, veri ihlalleri gibi konularda tüm çalışanların bilgilendirilmesi amacıyla pop-up’lar şeklinde hatırlatma mesajları, bültenler ve kurum portalında/sitesinde bir bilgi güvenliği bölümü oluşturulup çalışanların ihtiyaç duyduğu anda faydalanabilmesi adına sss bölümünün oluşturulması gereklidir.
Sosyal Mühendislik Senaryoları
Çalışan farkındalığını arttırmanın en önemli basamağı sayılabilecek adımdır. Güncel saldırı yöntemlerini dikkate alarak çalışanların ilgi alanları da düşünülerek yapılan tatbikatlardır diyebiliriz. Sosyal mühendislik senaryoları ile ilgili daha detaylı bilgi için bu adresteki makalemize de mutlaka göz atmanızı öneririm.
Bir sonraki yazımda görüşmek dileğiyle. İyi Okumalar.