Güvenlik sorunu yaşamamak için ipuçları...
Yeni işletim sistemine geçiş sırasında güvenlik sorunu yaşamamak için ipuçları...
BT sektöründeki yeni çıkan bir işletim sistemi (OS) gibi önemli olaylar önemsenmeden geçilemez çünkü her türde ve boyutta işletmeyi etkilerler. Çoğu kimse kendi kendine "yeni bir sürüme geçmeli miyiz; evetse ne zaman?" diye soracaktır. Bu süreci yaşamış herkes, süreçte pek çok soru sorulması ve değerlendirme yapılması gerektiğini bilir. Konu işin bilgi güvenliği yönüne geldiğinde, ne gibi riskler var ve işletmeler özellikle nelere dikkat etmeli? İşte bunlar hakkında kısaca bilgiler.
Birinci adım: Planlama
Her iş planının önemli bir adımı olan maliyet ve yarar değerlendirmesiyle başlayalım. Bir işletim sisteminin yeni bir sürümünün çıkmasının kendisi, geçiş başlatmak için bir neden oluşturmaz. OS lisansının kendi fiyat etiketinden bağımsız olarak ilave maliyetler olacaktır. Bunlar donanım ve yazılım yükseltmelerini, ağ alt yapısında yapılacak değişiklikleri, danışmanları, BT kadrosu ve yardımcı kadro maaşlarını, kullanıcı eğitimini ve yönetim maliyetlerini içerir.
Ayrıca, şirketin geçişten ne yarar sağlayacağının açıkça anlaşılması da önemli. Yönetim süreçlerini basitleştirecek veya işlemleri gerçekleştirme sürelerini kısaltacak mı? Güvenlik açısından, OS'nin eski bir sürümünün kullanılması daha büyük riskler ve güvenlik açıkları getirir. Örneğin, zaman geçtikçe üretici eski işletim sistemlerine verdiği desteği bitirebilir ve bu şirketin işletme süreçlerini olumsuz etkileyebilir.
Bir şirket geçiş yapılması gerektiğini gördüğünde, ikinci adım, önemli verileri kaybetme veya kullanım dışı kalma olasılığı kalmaması için BT hizmetlerini ve yazılımı yeni OS ile uyumluluk için test etmektir. Ayrıca, tüm donanımın da yeni OS'nin gereksinimlerini karşıladığından emin olmanız gerekir. Gerekirse, yapılacak ayarlamaları da (bellek arttırımı, sabit disk değiştirme ve benzeri) plana dahil edin.
Planlama aşamasının üçüncü adımı, araçları ve geçiş senaryosunu tanımlamaktır. Geçişin şirketin işletme süreçleri açısından olabildiğince sorunsuz olması için, geçiş sürecini otomatikleştirecek ve bir şeyler yolunda gitmezse senaryoyu geri alabilecek en uygun yazılımı seçmek önemlidir. Düzgün bir geçiş için önce yeni OS'nin üreticisinin sağladığı geçiş araçlarına dikkat etmeniz gerekir.
Geçiş aracı seçildikten sonra süreçleri ve takvimi baştan sona betimleyen bir senaryo oluşturun: gece mi, hafta sonu mu yapılacak; şirketin tamamı aynı anda mı, yoksa şubeler, departmanlar, katlar ayrı ayrı mı geçiş yapacak vb.?
Kullanıcıların bilgisayarlarının yedeklerinin nereye depolanacağını ve hangi verilerin kopyalanacağını belirlemek çok önemlidir. Örneğin, (bilgi güvenliği politikanıza buna izin veriyorsa) yalnızca işle ilgili bilgileri yedekletmek, çalışanlardan önceden tüm kişisel verilerini, ses ve video dosyalarını kaldırmalarını istemek iyi bir fikir olabilir. Bu, yedekleme kopyalarının boyutunu makul bir düzeyde tutmanıza yardımcı olacaktır. Ve tabii bu yedeklerin yanlış kimselerin eline geçmemesi için gereken önlemlerin alınması gerekir. Bir şeyler yolunda gitmezse, size vakitten ve nakitten tasarruf sağlayacak hızlı kurtarma prosedürünü denemeyi ihmal etmeyin.
İkinci aşama: Pilot geçiş
Bir pilot geçiş çalışması, tüm senaryonu baştan sonra uygulamanıza olanak tanır ve planlama aşamasında dikkatinizden kaçmış olabilecek tüm teknik ve kurumsal zayıf noktaların belirlenmesini ve giderilmesini sağlar. Geçiş sürecinin sonunda, sistemi alır almaz hemen iş bağlayabilmesi için her kullanıcının elinde tam olarak çalışan ve (bilgi güvenliği paketi dahil) gerekli tüm yazılımı, verileri ve ayarları içeren bir bilgisayar olmalıdır. Bu başarılamazsa, bunun işletme üzerinde yapacağı etki, BT uzmanlarının, sistemin ince ayarını yapmak için göstermesi gereken ek çaba miktarına bağlı olacaktır. Pilot geçiş sürecinde olabildiğince çok sayıda farklı yapılandırmayı: işletim sistemlerinin değişik kapasitelerini, ofis ve dil paketlerini hesaba katmak bunun için önemlidir. Donanımdaki en küçük farklılıkların bile geçiş sürecini karmaşıklaştırabileceğini akılda tutun.
Üçüncü aşama: Geçiş
Senaryonun provası yapıldıktan, karmaşıklık yaratan tüm sorunlar değerlendirildikten ve tüm açıklar giderildikten sonra nihayet ana aşamaya; yeni OS'ye geçiş aşamasına geçebilirsiniz. Geçiş işleminin yapılma zamanı geldiğinde, BT uzmanları hazırlıklıdır ve ellerinde ayrıntılı bir eylem planı vardır. Şirket için hoş olmayacak sonuçlardan kaçındığınızdan emin olmanın tek yolu budur.
Geçiş sürecinde bilgi güvenliği olayları yaşamamanıza yardımcı olacak birkaç ipucu:
Veri yedeklerinin nerede depolanacağına ve veri deposunun yetkisiz erişimden nasıl korunduğuna dikkat edin. Aynı şey veri aktarım kanalı için de geçerlidir.
Geçiş deneyiminiz yoksa, dış kaynak olarak kullanılacak uzmanlar uygun bir plan hazırlamaya ve gereksiz güçlüklerden kaçınmaya yardımcı olacaktır.
Teknik destek hazırlıklı olmalıdır. Çalışanlara eğitim verilmelidir. Kullanıcıların isteklerini önceliklendiren bir senaryo geliştirilmelidir.
Tüm çalışanlara belirtilen dönemde bazı bakım çalışmalarının yapılacağı bildirilmelidir. Özel bir acil durum senaryosu hazırlamayı sakın unutmayın.
Bir geçiş takvimi oluştururken yazılımını kullandığınız diğer üreticilerin yeni OS'yi desteklemek üzere yazılımlarını güncellemek için zamana ihtiyaçları olduğunu unutmayın. Güncellemeleri bekleyin ve geçiş sürecini bundan sonra başlatın. Bu, gereksiz idari ve teknik güçlüklerden kaçınmaya ve kurumsal ağlardaki yeni güvenlik açıklıkları nedeniyle sürpriz yaşamamaya yardımcı olur.
Kanımızca en dengeli geçiş senaryosu, geçişi, BT departmanından başlayıp en son işletme için kritik olan birimleri (finans, satış, tedarik vs.) taşıyarak departmanlar halinde yapmaktır. Bu yaklaşım seçilirse, BT uzmanları, iş için kritik olan birimlerin geçişi sırasında önemli olabilecek hatalardan kaçınmak için gerekli bilgi ve deneyimi kazanırlar.