Sizlere yeni bir boyayı tanıtmak istiyorum...
Web sunucunuzun güvenlik problemleri mi var? Bu sihirli boya ile hemen problemlerinizin üzerine bir kat boya yapın, işte mükemmel bir çözüm.
Uzaktan erişim sunucunuzun güvenlik probleminden kuşku mu duyuyorsunuz? Boyayın, kurtulun.
Hatta isterseniz merkezi sunucunuzu ve iletişim aktif cihazlarınızı, hatta ve hatta kablolamanızı boyayın, kurtulun.
Keşke bu kadar güzel bir dünyamız olsaydı, sanal bir dünya da bile böylesine harika bir çözüm henüz keşfedilmedi. Birçok güvenlik çözümü üreten firmanın aksini iddia etmesine karşın, tek bir kutudan çıkan ve bütün güvenlik sorunlarınıza cevap veren bir servis henüz yok.
Kaldı ki güvenlik gibi sürekli yeni sorunlann ortaya çıktığı (yeni saldırı yöntemleri, yazılımları vb. ) bir dünyada "% 100 güvenlik sağlarız" türünden bir paketin yakında çıkacağını söyleyenlerin, çoğumuzun bilmediği bir şeyleri biliyor olmaları gereklidir.
Peki bütün bu olumsuzluklar içinde elimizi kolumuzu bağlayıp "nasıl olsa bugün uygulamaya geçireceğim çözümler yarın geçersiz olacak" deyip oturmamız mı gerekiyor?
Kati surette hayır. Yapılması gereken aslında her yaklaşımda zaten olmazsa olmaz olan, ama ne hikmetse hep göz ardı edilip "bize birşey olmaz" diyerek ötelenen politikanın, proseslerin, yaklaşımların belirlenmesi ve bunların onaylı bir plan olarak kağıda geçirilmesi.
Dikkatlice baktığımızda güvenlik için hiçbir alanda, hiçbir plan yapmadığımız ortaya çıkıveriyor.
- Deprem İzmit-Gölcük dolaylarına gelene kadar İstanbul'da hiç kimse bina ve zemin etüdlerinin ne olduğunu bile bilmiyordu. Dünyanın bilinen en faal deprem bölgelerinden birinde bulunan ülkemizde deprem konusunda doğru düzgün bir eylem planı olmamıştı. Laf aramızda bugün için bile planlarımızı tamamladığımızı söyleyemeyiz ancak bazılarımız hiç olmazsa deprem sırasında ve sonrasında ne yapacağını planladı.
- Aşağı yukarı her kurumda yangında ne yapılacağının planları duvarda asılıdır. Hatta bazı kurumlarda yıllar önce kum ile doldurulmuş kovalar, kurum girişinde ziyaretçileri sabırla karşılamaya devam eder. Oysa dikkat ettiğinizde bu kovaların barındırdığı kum değil, artık yangını söndürme yeteneği kalmamış ama arkeolojik değeri artmış toprak kalıntıları olması ve duvarda asılı olan planda adları olan sorumluların çoktan emekliye ayrılmış oldukları gerçeği ile karşılaşıverirsiniz.
- Peki ya şehrinizde varsa şehirhatları vapurlarının cankurtaran yelekleri suda yüzer mi sizce? Belediye otobüslerinin fren balataları zamanında değiştiriliyor mu?
Paralarınızın durduğu bankanızdaki çalışanların şifreleri hangi standarda göre ve ne sıklıkla değişiyor?
Menkul kıymet müşterilerinin adlarının ve portföylerinin yer aldığı veri tabanı rakip firmanın eline geçebilir mi?
Rakibiniz son on yılın en büyük ihalesine hangi fiyatı vereceğinizi öğrenmiş olabilir mi?
Çalışanların tamamının annelerinin kızlık soyadlarının bulunduğu dosya sisteminizden kopyalanarak alınabilir mi? Peki birileri genel müdürün veya aynı işi yaptığı diğer bir arkadaşının maaşını öğrenmiş midir ?
Çok gizli olması gereken devlet sırları ile ilgili elektronik postalar bir başkasınca okunmuş olabilir mi?
Birileri kayıtları değiştirerek hapisten çıkabilir mi?
Web sayfanızı kurum itibarını zedeleyecek şekilde değiştirebilirler mi?
Korkarım bu yazıyı okuyan sizler yüksek sesle olmasa bile içinizden soruların önemli bir kısmına ya “evet” veya “bilemiyorum ama olabilir” cevabını verdi.
Öyleyse, bugünden yarına kalmaması gereken basittir : bilişim güvenlik planınızı yapmak/yaptırmak. Lütfen harekete geçiniz, zira yarın plan yapmak için çok geç olabilir.
Bu noktaya kadar gelmişken hazırlayacağınızı/hazırlatacağınızı umduğum plan için bazı başlıkları yazmadan geçemiyorum.
+ Fiziksel Güvenlik
- Sistem odası kapılarının kilit sistemleri
- Yangın söndürme tertibatı
- Havalandırma sistemleri
- Yedeklerin bir nüshasının duracağı çelik yanmaz kasa (diğer bir nüsha uzakta ama güvenli bir yerlerde olmalı)
+ İletişim Ağı Güvenliği
- Firewall sistemleri
- Şifreleme (encryption)
- Sanal özel ağlar
- İletişim ağı izleme
+ İş İstasyonu Güvenliği
- Kırılganlık analizleri
- Kullanıcı adı ve şifresi (password)
- Geçersiz (işten ayrılma gibi), kullanılmayan kullanıcı haklarının silinmesi
- Biometrik kontrol
- Şifrelenmiş dosyalar
- Envanter/demirbaş izleme
- Tek bir merkezden uygulama yükleme
- Disket sürücü kontrolü
- Virüs kontrolü/kişisel firewall çözümleri
+ Sunucu Güvenliği
- Geçersiz, kullanılmayan uygulamaların ortadan kaldırılması, silinmesi
- Virüs kontrolü
- Yabancı/istenmeyen girişlerin kontrolü
- Güvenlik yamalarının sürekli güncel olarak tutulması
- Erişim engellemeleri
- Kırılganlık analizleri
+ Uygulama Güvenliği
- Kırılganlık analizlerinin uygulamaları da içermesi
- Uygulamalara ek şifreleme (password)
- Uygulamalarda olası arka kapıların oluşmasının engellenmesi
- İyi niyetli korsan (ethical hacker) tarafından testler yapılması
Güvenlik sorunlarına sihirli tek bir çözüm var aslında, kurumsal güvenlik planının yapılması, onaylanması ve uygulanması.
Unutulmaması gereken bir nokta da güvenlik planlarının (hangi sektörde ve hangi amaçla olursa olsun) ciddiye alınarak, güncel tutulmasının gerekliliğidir. Aksi halde planda adları olan emekliye ayrılmış arkadaşlarımızın yangını söndürmeye gelmelerini beklemek durumunda kalırız.
Güvenlik planlaması kurumunuzda biraz daha fazla vakti olan herhangi bir personele ek görev olarak verilemez. Güvenlik planlaması ciddi bir görev olarak değerlendirilmeli, ya bir uzman kuruluşdan bu hizmet satın alınmalı veya kurumunuz içinde bu iş için ayrılmış bazı kişileri eğitimlere gönderdikten sonra onlardan bu görevi yerine getirmeleri beklenmelidir. Plan tamamlandıktan sonra mutlaka belirli süreler ile güncellenmesi sağlanmalı ve sürekli gelişmeler takip edilmelidir.
Lütfen modern güvenlik sistemleri kuralım, bunların kontrolünü sürekli yaptırtalım, ekiplerin sürekli güncel teknolojiler konusunda eğitim almalarını sağlayalım. Bugünden önlemimizi alalım yarın geç olmasın. Önleminizi almamışsanız ilk defa bir güvenlik problemi ile karşılaşmanız son karşılaşmanız olabilir, bir daha karşılaşma şansınız da olmayacaktır.
Güvenlik Politikalarının BelirlenmesiKurumların kendi kurmuş oldukları ve İnternet’e uyarladıkları ağlar ve bu ağlar üzerindeki kaynakların kullanılması ile ilgili kuralların genel hatlar içerisinde belirlenerek yazılı hale getirilmesi ile ağ güvenlik politikaları oluşturulur. Güvenlik politikasının en önemli özelliği yazılı olmasıdır ve kullanıcıdan yöneticiye kurum genelinde tüm çalışanların, kurumun sahip olduğu teknoloji ve bilgi değerlerini nasıl kullanacaklarını kesin hatlarıyla anlatmasıdır. Güvenlik politikası olmadan güvenli bir bilgisayar ağı gerçekleştirilemez.
Ağ güvenliğinin sağlanması için gerekli olan temel politikalar aşağıda sıralanmıştır:
Kabul edilebilir kullanım (acceptable use) politikası :
1-Erişim politikası
2-Ağ güvenlik duvarı (firewall) politikası
3-İnternet politikası
4-Şifre yönetimi politikası
5-Fiziksel güvenlik politikası
6-Sosyal mühendislik politikası
Güvenlik için Fiziksel Gereksinimler ;
· 7x24 monitor edilen güvenlik sistemi
· Fiziksel güvenlik (Giriş kontrollü kapılar, 7x24 güvenlik görevlisi)
· Merkezi plaza klima sistemi
· Kesintisiz güç kaynağı ve jeneratör sistemi desteği
Otomatik yangın belirleme ve söndürme sistemi
Hazırlayan :Montana Pine Resort Bilgi İşlem Sorumlusu Uğur BAŞAR
