Siber Güvenlikte Eğitim Öğretim ve Farkındalık Programları


Siber Güvenlikte Eğitim Öğretim ve Farkındalık Programları

Günümüzde, güvenlik bilinci eğitimi her ölçekteki firmalar için oldukça önemlidir. Bu eğitimler sayesinde yönetim kadrosu ve firma çalışanları bilişim ile ilgili konuları daha net anlayabilmektedir. Eğitimler özellikle IT departmanının duyduğu güvenlik endişelerini doğru bir şekilde tüm çalışanlara aktarmayı sağlar. Günümüzde birçok organizasyon, çalışanlarının bilgisayarlarını ve kişisel bilgilerini nasıl koruyacaklarını öğretmek için siber güvenlik eğitim programlarına yoğun bir şekilde yatırım yapmaktadır.

Tüm organizasyonlar siber saldırılardan ve olası zafiyetlerden etkilenmemek için bir takım donanımsal ve yazılımsal güvenlik tedbirleri alırlar. Ancak güvenlik tedbirlerinin en önemli bacağı olan organizasyon çalışanının bilinçlendirilmesi bu tip eğitimlerle gerçekleşmektedir. Çalışanlar verinin nasıl korunacağını, hangi tehditlere karşı daha duyarlı olunması gerektiğini, sosyal mühendislik saldırıları ile karşılaştıklarında ne tip tepkiler vermesi gerektiğini, kısacası riskler, tehditler ve korunma yöntemleri ile ilgili yapılması gerekenleri teorik ve pratik olarak bu eğitimlerle öğrenirler.

Belirli aralıklar ile eğitimlerin tekrar edilmesi güvenlik bilincinin artırılmasına olumlu etki edecektir. Periyodik güvenlik bilinçlendirme eğitiminin amacı, olası güvenlik sorunları ile yüzleşerek yeni teknikleri ve yöntemleri geliştirmektir. Bir organizasyonun güvenlik eğitimlerine önem vermesi olası güvenlik sorunlarının büyük ölçüde azalmasını sağlayacaktır.

Organizasyon Güvenliğinde Sosyal Medya Yaklaşımı

Sosyal medya, hassas bilgilerin, toplanması için yaygın kullanılan bir kaynaktır. Sosyal medyadan alınabilecek kritik veriler saldırganlara yol göstermektedir. Sosyal siteler genellikle kullanıcıların kişisel bilgilerini, hobilerini, yerleşim yerini, iş ve mesleki bilgilerini, evlilik, eş, çocuk, anne, baba ve kardeş gibi ailevi bilgilerini, alışkanlıklarını, merak duyduğu alanlarını, dergi, kitap, site gibi üyelik bilgilerini barındırırlar. Bu kapsamdaki bilgi birikimleri saldırganların özellikle beklediği sosyal mühendislik bilgileridir. Bu bilgiler ışığında saldırgan, saldırı yapmak istediği kişinin ön bilgilerine ulaşmış olur ve birçok sosyal mühendislik saldırıları için yeterlidir. Özellikle bu bilgilerine ulaşılan kişilere farklı kimliklerle yapılan hile, rüşvet, şantaj ve korkutma gibi çalışmalar ile maddi ve manevi zararlar verilebilmektedir. Bu saldırıların günümüzde birçok örneği bulunmaktadır [14].

Organizasyonlarda Bilgi işlem Sorumluları

Bilgi işlem birimlerinin temel hedefi bilişim sistemlerinin yönetimini yapmak ve mükellefi olduğu sistemlerin çalışmalarının sürekliliğini sağlamaktır. Ayrıca yönettiği sistemlerin güvenlik açıklarını fark edip bu kapsamda çalışmalar yapmak, yeni açıkların oluşmasını önlemek ve var olan açıkların kapatılmasını sağlamak görevleri arasında gözükmektedir. Kurumlarda siber olaylarla öncelikli ilgilenmesi gereken birim Kurumsal Siber Olaylara Müdahale Ekipleridir. Bu ekipler siber güvenliğe ilişkin olarak hazırlanmış politikalara uygun hareket etmek, gereksinimleri raporlayarak ilgili makamlara iletmek ve çözüm önerileri geliştirmek gibi görevleri üstlenirler. Ancak henüz tüm kurumlarda bilgi işlem birimleri ile siber olaylara müdahale ekipleri arasında görev ayrılığı ilkesi oluşturulmadığından siber güvenliğinde bilgi işlem personelleri tarafından sağlanması beklenir.

Kurumların en önemli departmanlarından biri olan bilgi işlem birimi personelleri sürekli gelişen yeni teknolojiler, sistemler ve yazılımlar üzerinde kendilerini geliştirmeleri gerekmektedir. Yeni teknoloji yeni siber güvenlik açıklarını da beraberinde getirir. Bir sistemin açığını görmek bazen uzun zaman ve uğraşlar almaktadır. Bu nedenle bilgi işlem personelleri bilişim açıkları ile sürekli ilgili olmalı ve yıl içerisinde araştırmalar, eğitimler, seminer ve konferanslara katılımlar ile bilgilerini güncel tutası gerekmektedir.

Güvenlik Mimarisi

Kurumlardaki temel zafiyetlere sebep olan en önemli etken düzgün şekilde tasarlanmamış ağ yapılarıdır. Tasarım sorunu olan sistemlerde kullanıcılar her türlü cihaza kolay bir şekilde erişim sağlayabileceğinden yetkisiz ve kontrolsüz olarak erişimler olabilmektedir. Ağ ve kullanıcı güvenliği için güvenli ağ mimarinin tasarlanması ve bu çerçevede gerek erişim yetkilerinin gerekse uygulama erişim kontrollerinin düzenlenmesi önemlidir. Güvenli bir ağ tasarlanabilmesi için öncelikle organizasyonun iyi tanımlanması, beraberinde işlere uygun donanım ve yazılımların hazırlanması, dolayısı ile kuruma uygun ağ yapısının çıkartılması ilk aşama için önemlidir. Ayrıca tasarım oluşturma esnasında kullanıcı yetkilerinin belirlenmesi, kullanıcıların erişim alanlarının çıkartılması ve kritik bilgilerin ne düzeyde kritik olduğu konusunda şablonlarının oluşturulması gerekmektedir. Güvenlik mimarisi oluşturulurken bir takım kritik sorulara yönelik cevapların verilmesi genel çerçeveyi çizmek için gerekli olacaktır.

- Ağda bilgiler hangi alanda tutulmaktadır,

- Bilgiler kritiklik seviyesine göre sınıflandırılmış mı?

- Bu bilgilere hangi yetki seviyesinde erişim sağlanmalıdır,

- Hangi kullanıcı hangi yetki seviyesine sahiptir,

- Bilgilere hangi ortamdan erişimler olmalıdır (kurum içi, kurum dışı).

Güvenlik mimarı bu sorulara gelen cevaplar ışığında veri tabanı sunucularını hangi alana konumlandıracağını (İnternete hizmet veren sunucular ise Dış DMZ, sadece iç ağdaki kullanıcılara ve servislere hizmet veren sunucular sadece iç ağa, ortak çalışacak sistemler için hibrit network yapıları gibi..) belirler. En uygun kullanıcı yetki seviyelerini ve bu yetkilendirmeyi hangi cihaz üzerinde tutacağına karar verir. Ayrıca çalışmanın amaçları ve hedefleri çerçevesinde oluşturulan prensipler yazılarak protokole dönüştürülür. Bu sayede güvenlik mimarisinin gelişimi sürekli olarak devam eder.

Güvenlik Tasarım Süreci ve Güvenlik Mimarisinin Kontrolü.

Oluşturulan güvenlik mimarisine dayanarak birlikte sistemin düzgün ve beklenen düzeyde çalışıp çalışmadığının test edilmesi gerekir. Güvenlik tasarım süreci süresince tüm sistemin düzgün bir şekilde kurulup kurulmadığı ancak güvenlik risk değerlendirmesi yapıldıktan sonra anlaşılabilmektedir. Sistemin güvenli çalıştığı zamanlarda alınan güvenlik önlemlerinin etkinliğinin belirlenmesi önemli bir konudur. Bu nedenle önce riskler belirlenmeli hiçbir detay göz ardı edilmemelidir. Başlıca risk ve kategorileri şu şekilde sıralanabilir;

- Sistemlerin zarar görme olasılığı ve zarar görmesi halinde kurumun ne tür problemler yaşayacağı ayrıca maliyetlerin ne tutarda olduğu,

- Siber güvenlik tehditlerinin ve bu tehditlerin olma olasılıklarının belirlenmesi,

- Hangi tür siber saldırıların kurumu tehdit edebileceği,

- Güvenli olarak gözüken sistem aslında yeterince güvenli mi?

Sistem içerisinde doğru kurulmuş bir güvenlik yapısının etkisi kaçınılmazdır. Ancak çoğu zaman bu tür yapıların doğru kurulup kurulamadığı kurumlar tarafından bilinemez. Geleneksel yaklaşımda organizasyondaki tüm kurulum güncelleme ve güvenlik çalışmaları bilgi işlemde görevli personeller tarafından yapılmaktadır. Sadece sistem sorumlularının kontrol ettiği organizasyonlarda işletme körlükleri olabilmektedir. Yeni yaklaşımlarda, sorunun çözümü için organizasyonların sistemlerine sızma veya penetrasyon testi olarak isimlendirilen testler uygulanması gerekir. Penetrasyon testleri tasarlanmış olan ağı farklı bir bakış ile değerlendirmek demektir. Bu testler ağ tasarımının performansını ölçerek, karşılaşılabilecek riskleri ve tehditleri ortaya çıkarmak için büyük bir öneme sahiptir.

Test esnasında siber güvenlik uzmanları bir saldırgan gibi hareket eder ve sistemin tüm açıklarını, zafiyetlerini ve bu zafiyetler sonucunda erişebilecek verileri ortaya çıkararak ağın performansını ölçmeye çalışır. Sonucun raporlanmasının ardından ağın performansına göre alınması gereken tedbirler belirlenir.

MEB


İlginizi Çekebilecek Yazılar







İletişim | Gizlilik | Kullanım Koşulları