Güvenlik Önerileri
Güvenli Hibrit Ofis Modelini Yönetmek İçin Alınması Gereken 8 Karar
Güvenlik programlarının başarılı olması için aralıksız denetleme ve geliştirme büyük önem taşıyor.
Pandeminin zorunlu kıldığı hibrit ofis modeli, 2021’de adapte olunması en zorlu değişimlerden biriydi. Güvenlik uzmanları için uzaktan çalışmanın güvenli kılınması, bulut ortamının risklerinin azaltılması ve tedarik zinciri genelinde güvenliğin artırılması en önemli maddeler arasında yer alacak. 2021’deki gelişmelere bakıldığında, 2022’de alınması gereken önlemler aşağıdaki gibi sıralanabilir:
1- Güvenlik bilinçliliğini artırın: Siber güvenlikte en hassas zincir, insan faktörü. Siber güvenlik yetkilileri mevcut iletişim kanallarını genişletmeli ve yenilerini açarak bilinci artırmalı. Sadece oltalama saldırılarına yönelik uyarılarla bulunmakla kalmayıp çalışanları, iş hayatını ilgilendiren düzenleme ve yasalardan haberdar etmeliler. Bilgi güvenliği bu anlamda kritik önem taşıyor.
2- Kimin bağlandığını bilin: Pandemi boyunca güvenli bağlantı kurmanın zorunluluğu daimî bir gereklilik olarak belirdi. Kırmızı çizgiyi belirleyen önlemler VPN (Sanal Özel Ağ) ve çok faktörlü doğrulama (MFA) kullanılması olarak belirdi. Güvenlik uzmanları, sistemlere şüpheli girişleri tespit etmek için erişim ve güvenlik kayıtlarını sürekli kontrol etmeli.
3- Güvenli VPN’ler ve yama güncellemeleri: VPN kullanımı, pandemi sürecinde manşetlere sürekli taşındı. Sebebi, şirketlerin gerekli yamaları gerçekleştirmeden tekrar VPN kullanmaya başlamasıydı. Siber korsanlar bu durumu fırsata çevirerek güvenlik zafiyeti bulunan cihazları tespit etmeye başladı. Rutin olarak güvenlik yamalarının gerçekleştirilmesi güvenlik modelinin temelinde yer almalı ve iş-ev arası çalışmanın temel önlemlerinden biri olmalı.
4- Bulutu güvenli kılmak: Bulut ve “talep üzerine” modelleri, çalışanların istedikleri uygulamaya herhangi bir yerden bağlanmalarını sağladığı için popüler hale geldi. Her ne kadar bulut modeline geçilmesi belli faydalar sunsa da, belli riskler de getirmiyor değil. Bulut ortamlarının ilk oluşturuldukları zaman otomatik olarak güvenliklerinin sağlanmadığını hatırlamak gerekiyor. Bulut ortamlarını güvenli kılmak zaman ve bilgi gerektirdiği gibi işyerlerini güvenli kılmak için güvenlik kontrolleri tüm çevrelere yayılmalı ve hem uygulama yüzeyi hem de bulut uygulama altyapısı için 360 derece güvenlik sağlamalı.
5- Tedarikçilerinizi bilin: 2021’in öne çıkanlarından biri olan SolarWinds siber saldırısı, şirketlerin iş faaliyetlerine entegre ettikleri araç ve hizmetleri çok iyi tanımaları gerektiğini açıkça gösterdi. Bu aşama ürün veya hizmetin çok iyi bir kuruluma sahip olması ve düzenlenmesi, yamaların takip edilmesini ve satıcıların sunduğu yeni ürünlerin bilinmesini gerektiriyor. Ek olarak, şüpheli her türlü eylemin denetlemesi şart. Güvenliğin çok hassas olduğu bir ortamda, şirketler üçüncü parti ürün ve hizmetleri kullanmamayı tercih edebilir.
6- Düşmanınızı tanıyın: Devlet sponsorluğundaki saldırılardan iklim hacktivistlerine ve garezli çalışanlara kadar, güvenlik ekipleri kötü amaçlı aktörlerin taktiklerini, yöntemlerini ve prosedürlerini anlamak durumunda. Düşmanlarını tanıyarak, güvenlik uzmanlarını korumakla yükümlü oldukları ortamlara yönelik riskleri daha iyi tespit edebilir. Birçok şirket, güvenlik stratejilerine bilgi sunabilecek siber güvenlik alarmları kullanıyor. Aralıksız denetleme ve analiz, bu tehditlere en kısa zamanda tepki vermek için kaçınılmaz olarak beliriyor.
7- Görünürlüğü koruyun: Şirketler güvenlik kontrol kurulumunun tüm platformlar, altyapı ve teknolojiler genelinde görülebilir ve uyumlu olduğundan emin olmak gerekli. Görünürlük ve kontrolün güvenlik ve geliştirme ekranları üzerinden takip edilmesi lazım. Bu ekranlar güvenlik ekiplerine eylem alınabilir analitikler, otomasyon ve tercihe göre ayarlanan kontroller sunmalı.
8- Yükü dengeleyin: Şirketler ağlarındaki yükü dengelemek ve uzaktan çalışanların isteklerini karşılamak için yeterli kapasiteye sahip olmalıdır. Çok sayıda çalışan tarafından erişim sağlanmak istendiğinde sürekli çöken bir sistemin güvenliğinin kurulması da bir anlam ifade etmez. Çalışanların performansı mevcut ve erişilebilir uygulamalara dayandığı için güvenlik şefleri faaliyetlerin akıcılığını sağlayacak çözümler bulmalıdır. Çok sayıda veri bankası bulunan şirketler, veri merkezleri ve bulutta denge kurabilmek için küresel yük dengeleme sistemlerini kullanmalıdır.
Siber güvenlik yetkililerinin 2022’de ilgilenmesi gereken birçok husus bulunuyor. Yukarıda bahsedilen sekiz karar, ofis dışına çıkan güvenliğin sağlanmasında fayda sağlayacaktır.