Çoğu şirket güvenlik risklerini bildiğini sanıyor — ama genelde yanlış yerlere bakıyor. Gerçekten etkili bir risk belirleme stratejisinin nasıl olması gerektiğini anlatıyoruz. Ve neden İK yazılımınızın halka açık web siteniz kadar tehlikeli olabileceğini açıklıyoruz.
İşletmenizin Güvenlik Yol Haritasındaki Kör Noktalar Neden Tehlikeli?
"Güvenliyiz Sandığımız Yanılgı"
Yıllardır siber güvenlik dünyasını izliyorum. Şirketler genelde kendi güvenliklerini kusursuz sanıyor. Duvar tipi güvenlik (firewall), parola yöneticisi falan kurmuşlar. Bir de "şüpheli linklere tıklamayın" diye uyarı maili atıyorlar. Bitti mi iş?
Hayır.
Aslında çoğu kurum, gerçek risklerini göremiyor. Göz önünde olanlara odaklanıp, günlük yazılımlardaki açıkları atlıyorlar. Takımlarının en çok kullandığı araçlar bunlar.
Düşünün. Muhasebe ekibi finans verilerini tutan yazılımlar kullanıyor. Tasarımcılar fikri mülkiyete erişimli araçlarla çalışıyor. İK'ciler çalışanların kişisel bilgilerini yönetiyor. Bu yazılımlar hayati öneme sahip. Ama kaç kez güvenlik denetimi yaptınız?
Web Uygulamaları: Herkesin Konuştuğu Ama Göz Ardı Ettiği Hedef
Web uygulamalarıyla başlayalım. Müşterilerin girdiği, internete bağlı, hacker'ların radarında olanlar bunlar.
Sorun şu: Herkes bunların önemli olduğunu biliyor diye, doğru denetim yapılıyor sanmayın.
Derinlemesine inceleme şart. Şunlara bakın:
- Veriler uygulamada nasıl akıyor?
- Kimlik doğrulama nerede ve ne kadar güvenli?
- Hassas bilgiler şifrelenmiş mi?
- Kullanıcı oturumları nasıl yönetiliyor?
- Hata durumlarında ne oluyor?
Çoğu şirket kısmen yapıyor. Ama yüzeysel test yetmez. Kapıyı kilitleyip arkadaki açık pencereyi görmemek gibi.
Asıl Tehlike: İş Yazılımları
Güvenlik planlarının çöktüğü yer burası.
Takımlarınız QuickBooks'la muhasebe tutuyor, AutoCAD'le tasarım yapıyor, İK sistemlerinde veri yönetiyor, Excel'lerde gizli bilgiler saklıyor. Bunlar "iç araçlar" diye denetimden kaçıyor.
Yanlış yaklaşım.
Saldırganlar tam buraya odaklanıyor. Şirketler müşteri uygulamalarına kaynak ayırırken, iç araçlar zayıf erişimle, şifresiz verilerle, berbat parola kurallarıyla ortada kalıyor.
Önemli nokta: Riskleri ayrı ayrı değerlendiremezsiniz. Uygulamaların birbirleriyle nasıl konuştuğunu, erişimleri, birinin düşerse diğerini nasıl etkilediğini bilin.
Kullananlarla konuşun. Muhasebeciniz satıcının bilmediği hileler, kestirmeler yapıyor. Zayıflıklar orada gizli.
CIA Üçgeni: Güvenlik Kontrol Listesi
Uzmanlar veriyi korumak için CIA'dan bahseder:
Gizlilik — Sadece yetkili erişsin.
Bütünlük — İzinsiz değişmesin.
Erişilebilirlik — İhtiyaçta hazır olsun.
Her uygulamanızı bu üçüne göre tartın. Sorun: Şirketler gizliliğe takılıp diğerlerini unutuyor.
Veriyi korumak yetmez, bozulursa ne olacak? Erişim güvenli diye sistemler çökerse?
Gerçek değerlendirme üçünü de kapsar.
Gerçek Güvenlik Planı Nasıl Yapılır?
Pratikte şöyle:
Her şeyi haritalayın — Tüm yazılımları listeleyin. Göz önünde olanı da sıradanı da.
Kullananlara sorun — İK, muhasebe, tasarım ekipleriyle görüşün. Dertlerini, hilelerini öğrenin. Bu, riskleri ortaya çıkarır.
Derin inceleyin — Kutucuk işaretlemeyin. Her birini CIA'ya göre değerlendirin.
Öncelikleri belirleyin — Hepsi birden düzelmez. En hassas verili, en erişimli, en zayıf olanlara odaklanın.
Düzeltin — Çoğu plan burada tıkanır. Riski bulmak yetmez, zamanlı, sorumluluklu plan yapın.
Son Söz
İyi bir güvenlik planı, listelemek değil. Teknoloji ekosisteminizi, kim ne kullanıyor, zayıflıklar nerede anlamak.
Genelde beklemediğiniz yerlerde.
Takımlarınızla konuşmaya başlayın. Onları ne rahatsız ediyor, hangi araç sinir bozuyor sorun. Çoğu kez sorunlar orada, dinleyen birini bekliyor.
Etiketler ['cybersecurity', 'risk management', 'web application security', 'business security', 'it infrastructure', 'data protection', 'vulnerability assessment']