Cuma, Eylül 22

Symantec’in yedi büyük günahı

İnternet güvenlik şirketi Symantec, şirketlerin uc nokta güvenliği konusunda ‘yedi büyük günah’ı açıkladı. Symantec’in CIO Digest Dergisi’nde yayınlanan bu yedi madde, uç nokta güvenliğine ilişkin çalışmalar yürüten, satın almalar yapan ve projeler üreten tüm güvenlik uzmanlarının bilgilendirilmesi açısından oldukça önemli. İşte Symantec’in bakışıyla yeni büyük günah:

  • Uç Nokta kavramını sadece bilgisayarlardan ibaret sanmak. Oysa ki uç noktalarla bağlantı halinde olan tüm USB cihazları, taşınabilir depolama araçları ve MP3 çalarlar da bu kapsama alınmalıdır ve bunların her birinin döngü içinde geleceğin uç noktaları olacakları unutulmamalıdır.
  • Her bir uç noktanın lokasyonunun bilindiğinden emin olunması. Oysa ki, erişim izni olmayan ve bir şirket çalışanın sahip olduğu mobil bir cihaz ya da dolandırıcı bir kablosuz bağlantı erişim noktası da pekala sisteme bağlanmak için kullanılıyor olabilir.  Bu tür erişimler, bağlantı sırasında uç noktalara ilişkin herhangi bir güvenlik politikası gereksinimi ile karşılaşmıyorlar ise o takdirde sistemler, bu gibi erişimlerin önlenmesini sağlayacak bir uygulama içinde olmalıdırlar.
  • Sadece uç noktaların korunuyor olması. Uç noktalar, ‘hacker’lar ve bilgi hırsızlığı için birer araç olarak da kullanabileceği için ağlar, uç noktaların potansiyel olarak bu tür suçlara alet edilmesi olasılığına karşı da korunmalı. Bu nedenle, çok katmanlı/kademeli güvenlik anlayışı kullanılmalı.
  • Uç nokta politikalarını, onların yürütülmesini sağlayacak teknolojik ortamı hazırlamadan uygulamaya koymak. Uygulanan politikaların ihlali karşında çalışanları uyarmak ya da cezalar uygulamak ne yazık ki yeterli çözümler değil.  Kullanıcıların, herhangi bir uç noktayı güvenli olmayacak bir biçimde kullanmasını engelleyecek ve ancak güvenli bir kullanımı mümkün kılacak teknolojik ortamın sağlanması olmazsa olmaz bir koşul.
  • İhmale açık, gevşek fiziksel ve teknik güvenlik anlayışının benimsenmesi. Hacker ya da hırsızların iki katmanlı güvenlik denetimine maruz kalmalarını sağlayacak, kayıp ya da çalınmış  diz üstü bilgisayarlar veya diğer mobil cihazlarla ilgili bir aksiyon planı mutlaka olmalı. Örneğin bazı kurumlar, çalınan ya da kaybolan taşınabilir bir cihazla ilgili olarak şirket politikaları gereğince çalışanların, kurumun BR departmanını mutlaka bilgilendirmesini zorunlu kılar ki BT uzmanları tarafından cihazda yer alan veriler kablosuz bağlantı aracılığı ile silinebilsin ve erişime kapatılabilsin.
  • Sisteme yeni dahil edilen ya da hariç bırakılan uç noktalarla ilgili eksik politikalar. Güvenlik politikaları, o uç nokta henüz aktif hale gelmeden uygulama kapsamına alınmalıdır. Sistem dışı bırakılan uç noktalarda ise, örneğin bu uç noktanın bilgisayar olduğunu düşünürsek hemen ismi silinerek ağ erişimi engellenmelidir ve üzerindeki kurumsal veri hemen yok edilmelidir.
  • Yetersiz yönetim desteği. Yeterli ve etkin bir yönetim desteği olmadan BT departmanı, güvenlik politikalarını verimli bir şekilde yürütmekte güçlük çeker. Bu desteği sağlayabilmek için, zararlı kodların sisteme ulaşmak için izlediği tüm yollar tespit edilmeli ve atakları engellemek için ihtiyaç duyulan tüm gereksinimler detaylandırılmalı.
%d blogcu bunu beğendi: