CHIP Online'dan sistem güvenliği dersleri - 3

BAŞLARKEN: Bu dizinin ilk iki bölümünü kaçırdıysanız aşağıdaki linklere tıklayarak okuyabilirsiniz!

CHIP Online'dan sistem güvenliği dersleri – BÖLÜM 1

CHIP Online'dan sistem güvenliği dersleri – BÖLÜM 2

Günümüz iş dünyasıyla ilgili en heyecan verici şeylerden biri de, fikirlerin ve bilgilerin serbest akışıdır.

Bu bilgilerin bazıları, gizli tutulması gereken tescilli bilgiler içermektedir. Bu bilgiyi güvende tutmak konusunda önemli bir rol oynamaktasınız. Hassas bilgileri düzgün bir şekilde nasıl tanıyacağınızı, ele alacağınızı, koruyacağınızı ve imha edeceğinizi öğrenerek, üzerinize düşen görevi yapmış olacaksınız.

Bilginin Sınıflandırılması
Bütün bilgiler tescilli değildir ve hangi bilginin serbestçe paylaşılabileceğini, hangi bilginin ise gizli tutulması gerektiğini anlamak genellikle güçtür.

Bilginin sınıflandırılması, bilgiyle temas eden herkesin, bilginin önemini ve nasıl ele alınması gerektiğini anlamasına yardımcı olabilir.

Günlük çalışmalarınızda bilgiyi ele alırken, bu bilginin emanetçisi siz olmaktasınız. Bu bilginin işle ilgili potansiyel önemini anlamaktan ve bilgiyi düzgün bir şekilde korumaktan da siz sorumlusunuz.

Bilginin Sınıflandırma Seviyeleri

Bilgi, açıklanmasının, çalışanları, hissedarları, iş ortaklarını ya da müşterileri nasıl etkileyeceğine bağlı olarak üç kategoriden birisi içerisinde sınıflandırılabilir.

Yüksek İş Önemi
Bilgilerinin sıkı bir şekilde denetlenmesi ve kullanımının, sadece "bilmesi gerekenler" temelli olarak sınırlandırılması gerekmektedir. HBI (Yüksek İş Önemi) bilgileri arasında, kimlik kanıtlama delilleri, yayınlanmamış finansal raporlar ve devlet kimlik numaraları, tıbbi ve finansal profil bilgileri gibi kişisel olarak tanımlanabilir bilgiler de bulunmaktadır.

Orta İş Önemi
Bilgilerinin kullanımının, sadece erişim için işle ilgili makul bir ihtiyacı bulunan kişilerle sınırlandırılması gerekmektedir. MBI (Orta İş Önemi) bilgilerinin arasında, şirket içi Web siteleri, ürün takvimleri, ağ şemaları ya da çalışan dizinleri de bulunmaktadır. MBI bilgileri, isim, adres ve telefon numaraları gibi, yüksek duyarlılığa sahip olmayan kişisel olarak tanımlanabilir bilgiler de içerebilir.

Düşük İş Önemi
Bilgileri, açıklanmaları halinde son derece sınırlı maddi zarar oluşacak ya da bu türden bir maddi zarar hiç oluşmayacak türden bilgilerdir. LBI (Düşük İş Önemi) bilgileri arasında, basın bültenleri ve bütün çalışanların ve şartlı personelin okumasının onaylanmış olduğu bilgiler bulunmaktadır.

Bilgiyi Koruma Yöntemleri

Bilgi sınıflandırmalarını öğrendiğinize göre, bilgilerinizi güvenli halde tutmak isteyeceksiniz. Bunun için gerekli olan adımları burada bulabilirsiniz.

Uygun İzinleri Belirleyin: Siteleri HBI ya da MBI bilgileri gönderirken, bilmesi gerekenler esaslı olarak uygun izinleri belirleyin ve verin ve bireysel hesaplar yerine güvenlik grupları kullanın.

Anlık mesajlaşma: Yüksek güvenlik seviyesine sahip bilgileri anlık mesajlaşma üzerinden asla göndermeyin.

İşlerinizi Yürütmek Bilgiye İhtiyaç Duyuyor Musunuz?
Bilgiye erişim ya da bilginin görünürlüğü için işle bağlantılı makul bir ihtiyacınız yoksa, bilginin sahibinden, izinlerinizi kaldırmasını isteyin.

Veriyi Hemen İmha Edin
Bilgiyle işiniz bittiğinden, uygun ve güvenli bir yöntem kullanarak bilgiyi saklayın ya da imha edin.

Sosyal Mühendisliğe Karşı Dikkatli Olun
Gizli bilgilerinizi kendi istediğinizle açıklamanızı isteyen sosyal mühendislik hilelerine karşı dikkatli olun.

Bilgileri Sadece Korumalı Cihazlarda Saklayın
HBI ya da MBI bilgilerini, mobil bir cihazda saklarken, cihazın, uygun koruma özellikleriyle donatıldığından emin olun.

Küçük bir test

Şimdi sizi test edeceğiz!
Bilgileri nasıl koruyacağınızı öğrendiniz. Şimdi bu bilginizi test edelim. Aşağıdaki senaryoya doğru cevap verebilecek misiniz?

Aşağıdaki senaryoyu okuyun ve doğru ya da yanlış cevabı seçin.

Ofis dışındasınız ve akşamüstü gerçekleşecek bir toplantı için, yayınlanmamış bir finansal raporun bir kopyasına ihtiyaç duyuyorsunuz. Ekibinizdeki üyelerden biri, raporun onda bulunduğunu söylüyor ve raporu size ulaştırmayı teklif ediyor.

Bu raporu size ulaştırmasının uygun bir yolunun, IRM kullanarak sizin e-posta hesabınıza göndermesi olduğu doğru mu yoksa yanlış mı bir bilgidir?

Doğru
Evet, Yayınlanmamış finansal raporlar, yüksek güvenlik seviyesi bilgilerine bir örnektir. Bu bilgilerinin uçtan uca şifrelenmesi gerekir. IRM kullanarak e-posta göndermek, bu bilgileri aktartmanın kabul edilebilir bir yoludur.

Laptop ve diğer mobil cihazları korumak

Dizüstü bilgisayarınızın ve diğer portatif cihazlarınızın (PDA'lar) fiziksel olarak korunması, en önemli sorumluluklarınızdan birisidir. Dizüstü bilgisayarınızın ya da PDA'nızın çalınması, hassas şirket ya da müşteri bilgilerinin kaybedilmesine neden olabilir ve bu bütün taraflar için maddi kayba yol açmanın yanı sıra, müşterilerle olan ilişkilerin da zarar görmesine neden olabilir.

Dizüstü bilgisayarınızda herhangi bir türden HBI bilginizin bulunması halinde, şifreleme kullanarak bu bilgileri korumalısınız. Şifrelemeye sahip olmayan bir dizüstü bilgisayara, teknik açıdan yetkin izinsiz kişilerin girmesi son derece kolaydır.

Aygıt Bilgilerini Kaydet
Dizüstü bilgisayarınızı ya da PDA'nızı kayıp ya da çalınmış olarak rapor etmenizin gerekmesi halinde polis ve Güvenlik ekibine sunabilmek amacıyla, dizüstü bilgisayarın ismini, seri numarasını, mal numarasını ve model numarasını kaydedin.

Cihazı Apaçık Sergilemeyin
Bir dizüstü bilgisayar taşıdığınızı belli eden bilgisayar çantaları kullanmayın. Bunun yerine, sırt çantası, evrak çantası ya da el çantası gibi daha sık karşılaşılabilen bir nesne kullanın.

Gözden Uzak Olan Akıldan da Uzak Olur
Dizüstü bilgisayarınızı mümkün olduğunca yanınızda taşıyın; eğer yanınızda taşıyamıyorsanız, arabanın koltuğunda bırakmak yerine bagajına koyun.

Çalınırsa... Rapor Edin
Hırsızlığı, polise ve güvenlik ekibine rapor edin ve Kurumsal kullanıcı şifresini hemen değiştirin.

Bir özet geçelim...

Bilgi güvenliği konusunda akılda tutulması gereken önemli noktalar şunlardır:

Bilgileri, açıklanmalarının, çalışanları, hissedarları, iş ortaklarını ya da müşterileri nasıl etkileyeceğine göre sınıflandırın – Bilgiler, Yüksek İş Önemine mi (HBI), Orta İş Önemine mi (MBI) yoksa Düşük İş Önemine mi (LBI) sahipler?

Nasıl bir bilgiyi –HBI, MBI ya da LBI- ele aldığınızı bilmekten ve bu bilgiyi uygun şekilde korumaktan sorumlusunuz?

HBI verilerini, şifreleme kullanarak uçtan uca korumanız gerekmektedir.

S/MIME, şirket dışı e-posta mesajlarındaki bilgileri korumanıza yardım edecektir.

IRM, aktarımda olan ya da saklanan bilgileri korumak için ve özellikle de Sharepoint'e bilgi gönderirken ya da dosya paylaşırken kullanılabilir.

Dizüstü ve portatif cihazlarınızı hırsızlıktan korumak, en önemli sorumluluklarınızdandır.

Bu özel dosya Microsoft Türkiye'nin katkıları ile hazırlanmıştır.