farkındalık etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
farkındalık etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

28 Nisan 2020

Doğru Parola Oluşturma

Dijital dünyaya geçişimizle birlikte, gerçek yaşamda sahip olduğumuz birçok yapıyı, dijital ortama uyarladık, hayatımızın bir parçası olan bu unsurların giriş kapılarını parolalar ile koruyoruz. 


Doğru ve Güçlü Parola Oluşturma


Zaman ilerledikçe daha fazla hesabımız, daha fazla uygulamamız, daha fazla parola oluşturmamız gereken mecra doğuyor ve tüm bu alanları en iyi şekilde güvenilir halde tutmak ve korumak zorundayız.

Bunu başarabilmemizin altın yolu ise, güçlü bir parola oluşturmaktan geçiyor.


Parolam Nasıl Çalınır?

Güçlü bir parola nasıl oluşturulur buna geçmeden önce, parolalarınız nasıl çalınır, bir saldırgan parolanızı ele geçirmek için en çok hangi yolları dener bunları bilmemiz çok daha önemli.

Takip ettiğiniz siber güvenlik haberleri veya bloglar bulunuyorsa her ay kesinlikle binlerce milyonlarca kişiyi etkileyen veri ihlali haberleri ile karşılaşıyorsunuzdur. Saldırganlar ele geçirdikleri parola dosyalarını (hash'lerini) inceleyerek basit şekilde oluşturulmuş parolaları çözüyor (düz yazı (text) haline dönüştürüyor) ve aynı parolaları kullanıcıya ait çeşitli hesaplarda da deneyerek diğer hesaplarını da ele geçiriyor.

Brute Force Saldırısı 

Bu saldırı türünde, saldırgan taraf mümkün olduğunca kısa sürede en fazla ve en hızlı şekilde kombinasyonları denemek için otomatize araçlar kullanır. 2012 yılında 25 GPU’luk bir sistem ile, içinde büyük küçük harf, rakam ve özel sembol içeren 8 karakterli Windows parolalarını kırmaya çalışan bir hacker saniyede 350 milyar tahmin hızı elde etmişti. 


Sözlük Saldırısı

Sözlük saldırısı, sözlükte bulabileceğiniz kelimeleri parola alanlarında deneyerek parolanızı bulmaya ve ele geçirmeye çalışan bir saldırı türüdür. Eğer parolanız normal kelimelerden oluşuyorsa, bu tarzda oluşturulan bir saldırıda yara almadan kurtulmanız  bir mucize olacaktır. 
 

Oltamala Saldırısı

Siber saldırganların en yaygın olarak kullandığı bu yöntem, saldırganların agresif bir sosyal mühendislik yöntemi kullanarak sizinle iletişime geçtiği ve parolayı ele geçirdiği senaryolardan oluşuyor.

Mevcut Listelerden Saldırı

Saldırganların ellerinde hali hazırda bulunan e-posta listelerinin yanı sıra, yaşanan veri ihlalleri sonucunda çalınan parolalar da darkweb'de satışta bulunuyor. Saldırganların ellerine geçmiş olan bu parola kombinasyonlarına benzer parolalar oluşturduğunuzda, farklı parola kullanılan hesaplarınızın da çalınması çok mümkün hale geliyor.



GÜÇLÜ PAROLA NASIL OLMALI?

Güçlü Parola

YÜKSEK KARAKTER SAYISI

Parolanızın bir Brute Force atağına karşı dayanaklı olması için izleyeceğiniz en önemli adım uzun karakter sayısına sahip olmasıdır. Belirleyeceğiniz parola 15 karakterden az olmamalıdır

KARAKTER KOMBİNASYONU

Büyük ve küçük harf kombinasyonun yanında rakam ve simgeleri ne kadar çok kullanırsanız parolanızın kırılması o kadar zor olur.  Kısacası, oluşturduğunuz parolanız kişisel ve entropisi yüksek olacak yani anlam ahengi taşımayacak. ANAHTAR yerine 4N4H+4R yazsanız da saldırganlar bu tür parolaları otomatik olarak deneyecektir. 

KOLAY HATIRLAYABİLME

Parolanızı kolay hatırlayabileceğiniz sözlerin, şiirlerin, film repliklerinin baş harflerini kullanarak oluşturmanız en hatırlanabilecek yöntemdir. Rakam ve semboller ile karıştırdığınızda güçlü bir parolaya sahip olacaksınız.

ETKİLİ VE YÜKSEK STANDART ÖRNEĞİ

Askeri standartlara göre bir parolanın "güçlü" kabul edilebilmesi için aşağıdaki özelliklere sahip olmalıdır,
  • Yetki düzeyi fark etmeksizin tüm parolalar az 15 karakterden oluşmalıdır. 
  • En az iki büyük ve iki küçük harf ile birlikte, rakam da kullanılmalıdır.
  • Oluşturacağınız parola "?, @, !, #, %, +, -, *, %" gibi semboller içermelidir.
    • Girilen semboller parolanızın arasında ve en az iki adet olmalıdır.
  • Yanlış parola girişi maksimum 3 olmalıdır. Hesap kilidini açmak için sistem yöneticisi iznine ihtiyaç duyulmalıdır.
  • Başarılı ve başarısız oturum açma bildirimleri etkinleştirilerek tutarsızlıklar tespit edilmelidir.
  • Parolalar 60 günde bir değiştirilmelidir.


BU HATALARA DİKKAT:

Artan parola kullanım ihtiyacından dolayı parola güvenliğinde aşağıda listelendiği gibi başlıca hatalar yapılmaktadır;

Doğru Parola

  1. Hesap oluşturulan internet sayfalarında https bağlantısını kontrol etmemek
  2. Tüm hesapları ve parolaları, bir dosyada (.txt, Word, Excel) PC’de masaüstünde /defterde tutmak
  3. Parolaların çalışma ortamında herhangi bir yere etiketler ile yapıştırılması
  4. Aynı parolanın farklı yerlerde kullanılması
  5. Daha önce kullandığınız parolaları tekrar kullanılması
  6. Parola oluştururken hatırlaması kolay olduğundan, kişinin hayattaki önemli tarihleri kullanması, (Örnek: doğum tarihi, araç plakaları, vs.) 
  7. Tek bir “güçlü parola” oluşturup bu parolayı her hesapta kullanmak
  8. Web tarayıcılarınızın parolalarınızı saklamasına izin vermek
  9. Parolaların belirli aralıklarla (4-6 Ay) değiştirilmemesi
  10. İki adımlı doğrulamanın aktif edilmemesi
  11. Güvenlik soruları için seçilen soruların cevaplarının, küçük bir araştırma ile bulunabilecek kadar kolay seçilmesi (Annenizin kızlık soy ismi, doğduğunuz köy, vs.)
  12. Başkalarının bilgisayarında ve halka açık Wi-Fi noktalarına bağlı ile bu tür ortamların takip edilmeyeceği varsayılarak, oturum açılması
  13. Önemli web sitelerinin tarayıcı yer imlerine kaydedilmemesi ve sosyal mühendislik riski

20 Mayıs 2017

Saldırganlar Robotların Peşinde

18.yüzyılın ortalarından itibaren başlayarak gelişmeye başlayan endüstri, günümüze kadar büyük değişiklikler ve gelişimlerle 4 farklı dönem geçirdi. Makine, buhar ve su gücünün kullanılmasıyla başlayan ilk endüstri çağı, toptan üretim ve elektrik kullanımı ile birlikte ikinci çağa geçti. Bilgisayarların ortaya çıkışı, kullanım alanlarının gelişmesi ve yaygınlaşması ile birlikte endüstrinin üçüncü çağını oluşturan bu dönemi, internetin de katılmasıyla Endüstri 4.0 dediğimiz çağa ulaştırdı.



Nesnelerin interneti, sistemlerin interneti gibi kavramların gelişmesi, dünya genelde fabrikaların otomasyona geçmesiyle birlikte yapılan testlerde bir çok zaafiyetler ortaya çıktı ve fabrika robotlarının saldırılarda açık hedef olduğunu, saldırılardan kolayca etkilenebileceğini kanıtladı.

2017 yılının sonuna kadar dünya genelindeki fabrikalarda, internet ile birbirine bağlanmış sistemlerde 1.3 milyon robot olması bekleniyor ve bu da saldırıya açık 1.3 milyon robot olduğunu bizlere gösteriyor.

Amerika’da yapılan bir araştırmaya göre 2021  yılına kadar robotlar Amerikan ekonomisinde yer alarak işçilerin yaptığı işlerin %6’sını devralarak işsizliğe sebep olacak. 



Her ne kadar makineler ve robotlar hız, güç, dayanıklılık olarak insanlardan ilerde olsa da siber güvenlik konusunda geride kalıyorlar. 1999 yılında Gazprom’un boru hattı sistemine sızdırılan truva atı, doğalgaz akışını kısa süreliğine kesintiye uğratmıştı. 2003 yılında Amerika’da bulunan bir nükleer enerji santrali, Sobig isimli bir virüsün kurbanı olmuş ve scada ağı çökertilmişti. 2010 yılında Stuxnet virüsü ile İran’ın nükleer çalışmaları uzun bir dönem boyunca sekteye uğratılmıştır. Geçtiğimiz günlerde dünyanın birçok ülkesine yayılarak fabrikaları durma noktasına getiren WanaCry'ı hepimiz hatırlıyoruz. Önümüzde fazlasıyla örnek bulunmasına rağmen uzak doğu ve Amerika kıtasındaki farklı firmalara ait fabrikalarda incelemeler yapan uzmanlar fabrika robotlarının sahip oldukları ağ güvenliğini zayıf buldular. Sistemlerin basit kullanıcı adlarına ve değiştirilemeyen parolaları olduğuna hatta bazılarının şifreye bile ihtiyacı olmadığını gördüler. 



İncelemeyi yapan firma raporuna göre endüstriyel makinelerin bir çoğunun günümüz şartlarına ve tehlikelerine uygun olmadığı, bir kısmının ise yazılımlarının zayıf ve korumasız olduğu ortaya çıkıyor. Ayrıca robotların kullandığı binlerce public IP’yi gözler önüne seren rapor, bilgisayar korsanlarının iştahını kabartacak kadar fazla.

Operatörler ve programcılar, makineleri uzaktan yönetebilir bilgisayarları veya akıllı telefonları ile robotlara komut gönderebilirler. Eğer kullanılan bağlantı güvenli değilse bilgisayar korsanları makineler üzerinde sabotaj yaparak hatalı ürün yapılmasına hatta ölümlere bile sebep olabilirler. 

Sanal tehditlerin giderek arttığı ve herkesin karşılaşabileceği kadar bizlere yakınlaşan bu dönemde, siber saldırıların sebep olacağı zararlara karşı sistemlerimizi uluslararası düzeyde güvenlik protokolleri ve savunma metodları ile hayata geçirmeliyiz. Bunun dışında güvenlik halkasının en önemli parçası olan bizlerin de kurum içi eğitimler ile çalışanlar arasında bilgi güvenliği farkındalığı oluşturulmalıdır. Böylece, siber saldırıların vereceği zararları yaşanmadan önce önlemiş olabiliriz.



Siber güvenlik ile alakalı dünya üzerinde gerçekleşen önemli olayları derleyerek sizlerle paylaştığımız haftalık bültenimize aşağıdaki linke tıklayarak üye olabilirsiniz.


11 Haziran 2014

Bilgi Güvenliğiniz, İşyeri Ağınızdaki Tehlikeler ve Risklerin Analizi


Bilgi Güvenliği Risk Analizi (Sızma Testi) Nedir, Neden Önemlidir?

Bu yazımızda adım adım bilgi güvenliğinin önem sebeplerini irdeleyerek çağımızda bilgi güvenliğinin sağlanmasında önemli bir adım olan "Risk Analizi" kavramını açıklayacağız.



İletişim İhtiyacının A,B,C'si: Bilişim Sistemleri İletişimi ve İnternet


İşletmeler ciro ve karlılıklarını artırmak hedefiyle gün geçtikçe teknolojiden daha fazla faydalanmaktalar.




Nihai hedef belli, peki işletmede teknoloji hangi amaçlarla kullanılıyor ve bize getirileri nelerdir?



Hangi amaç için kullanıyoruz?

  • Hızlı iletişim, hızlı yanıt almak
  • Daha kontrollü ve doğru sonuçlar elde etmek, daha fazla iş ile başa çıkabilmek
  • Zaman bağımsız çalışmak, esnek çalışma saatleri oluşturmak
  • Mekan bağımsız çalışmak, mobil verimlilikten faydalanmak, zamandan tasarruf
  • Bilgiyi kolay paylaşmak, anlık veya sürekli bilgi paylaşımı
  • Daha geniş kitlelere erişmek, mesafelerden etkilenmeksizin daha fazla alıcıya ulaşabilmek
  • 7/24 tanıtım yapabilmek, ürün ve hizmet bilgisini sürekli erişilebilir tutmak
  • Veri toplamak, geçmiş işlerden gelecekte faydalı bilgi elde edinmek



Temel kullanım sebepleri oldukça tanıdık, bunlar genellikle ortak sebepler. Peki getirilerinin yanı sıra işletmenin teknolojiyi kullanarak aldığı ek sorumluluklar nelerdir?



Bu soruya yanıt vermek için öncelikle teknolojiyi nasıl kullanıyoruz sorusunu irdelemek gerekli.

Bir işletme teknolojiyi nasıl kullanıyor?

  • Hızlı iletişime elverişli olan e-posta yazışma program ve/veya altyapıları oluşturarak
  • E-posta yazışmalarını saklayarak ve her yerden erişilebilir platformlar kullanarak
  • Geçmiş verilerden faydalanmak için onlara hızlıca ulaşmak amacıyla her türlü şirket verisini elektronik ortamda saklayarak
  • Sakladığı verilere zaman sınırı olmaksızın erişim sağlayarak
  • Taşınabilir cihazlar ile ofis-bina dışarısında da bağlantı kurarak dosyalara erişerek ve/veya çalışmayı sürdürerek

Bilgisayarlar, tablet pc'ler, telefonlar gibi cihazlar erişim ve işlem kolaylığı sağlarken bu bileşenlerden oluşan işyeri ağları dış erişime sahip cihazların getirdiği riskleri de işyeri ağı içerisine taşımaktadır.



Sıklaşan, artan elektronik ortam kullanımı, artan riski de beraberinde getirmekte ve bu doğrultuda şirketin kontrol etmesi gereken yeni alanlar ortaya çıkmaktadır.


Pek çok firma gizli herhangi bir bilgisi olmadığı, yapmakta olduğu faaliyetlerin rutin faaliyetler olduğunu belirtmektedir.

Fakat yine de bu firmalar bilgilerini sadece ilgili kişilerin görmesi ve ilgili firmalar ile kontrolü dahilinde paylaşılmasını istemektedir.

Çağımızda bir şirketin gündelik operasyonlarının kesintisiz sürmesi, ticari değerlerinin ve kazançlarının gerekli gizlilik ölçüsünde saklanması ve korunabilmesinin şirketin varlığını sürdürebilmesi için gereklilik taşıdığı oldukça açık durumdadır.


İstenmeyen trafiğe bağlı gelişen bu risk göz ardı edildiği takdirde sonuç tahmin edilemez, bilinmez derecede sakıncalı olabilmektedir.


Bazı şirketler için bilgi gizliliği değerli bulunmaz iken bilgi kaybının telafi edilemez derecede önemli olduğu maalesef kayıp yaşandıktan sonra fark edilmektedir.

Bilgi güvenliği yalnızca gizliliği içermemektedir; bilgi kaybı, bilginin yetkisiz ve sehven erişimi, değiştirilmesi, bütünlüğünün bozulması gibi etkenleri de bilgi güvenliği konusunda dikkate alınmaktadır.



Çözüm bilgisayarlar arasındaki bağı ya da İnternet'i kesmek değil!

Getirilerini incelediğimizde İnternet bağlantısı bir şirket için vazgeçilemez bir avantaj; kurumsal ve bireysel yaşantıda teknolojinin yaşamasında en önemli altyapı noktalarından birisi.

Tehlikelerini bilmek ve önlemlerini alarak bu risklerden korunmak ise tek çözüm.

Ağınızda Sizi Bekleyen Tehlikeler ve Risk Analizi

Güvenlik bir ürün değil, süreçtir (Bruce Schneier)

Bilgilerinizin ve ağınızın güvenliği için bir cihaz veya bir hizmet satın almak ve tüm sorununuzu çözmesini beklemek malesef gerçekçi ve uygulanabilir değil.

Çünkü bilgileriniz ve ağınız sürekli gelişen, kendini yenileyen, yaşayan varlıklar. Bu varlıkları korumak için yaşam döngülerini periyodik olarak takip etmeli ve ihtiyaçlarını tespit etmeliyiz. Bu tespitlerde ortaya çıkan bulguları değerlendirerek, gerekli tedavileri, iyileştirmeleri elbette bütçemiz çerçevesinde gerçekleştirmeli, kurumumuzun amaçlarına yönelik kuruma özgü önlemleri almalı ve tüm bu süreçleri kurumsal ekibimizin tamamında uygulayabilmeliyiz.

Tıpkı vücudumuzun sağlığı gibi bilgi ve ağ güvenliğinin de sağlığı, sağlıklı çalışırlığı belirli periyodlarda gözden geçirilmeli.

Periyodik kontroller ile desteklenen sistemlerin daha güvenli, sağlıklı ve dolayısıyla verimli çalışması söz konusudur.





Nereden başlayacağız?

Güvenlik, pek çok bileşene sahip bir yapı, bir sistemdir. Güvenlik sisteminiz ihtiyacınız doğrultusunda uzmanlar tarafından yapılan tespite ve bütçenize göre dizayn edilir.

Bu sistemin çok küçük bir bölümünü oluştursa da ihtiyaç duyulan pek çok bileşenden akla gelen ilk çözüm hem fiyat hem de uygulama yaygınlığı açısında güvenlik duvarlarıdır.





Dış dünya ile aranıza bir güvenlik duvarı (Firewall) konumlandırdınız. Bu duvar güvenlik ilgili tüm ihtiyaçlarınızı çözemeyecek fakat yine de internete karşı tamamen korunmasız olmanızı önleyecektir.

Peki en temel yapı olan bu duvar (firewall) sağlıklı durumda mı, duvarınız zafiyet içeriyor mu?








Almış olduğunuz önlemler gelişen teknoloji, değişen ihtiyaçlar ve kullanım alışkanlıkları doğrultusunda zafiyet (zayıflık, eksiklik) içerebilir.

Bu durumu kontrol etmez isek korunduğumuzu düşünürken oysa risklere açık şekilde sistemimizi kullanmaya devam ediyoruz demektir. 


Kurumunuzda kullanılması gereken güvenlik çözümlerinin neler olduğunu, ihtiyaçları tespit etmek, yatırımınızı doğru yapmak amacıyla risk analizi gerçekleştirilmesi önerilir.


Risk Analizi

Çeşitli uzmanlık seviyelerinde gerçekleştirilebilen bu kontrol (test) süreçlerinde ilk adım "Zafiyet Taraması" dır. 

Zafiyet taraması

Ağ yapısı ve ağ bileşenleri üzerinde "bilinen" güvenlik zafiyetlerinin taranması ve raporlanmasından oluşmaktadır.

Bu tarama sonucunda ağınızın güvenlik bakış açısıyla ilk resmi çekilmiş olur. Bu resim ağa yapılabilecek ilk saldırının ne şekilde gerçekleşebileceğinin haritasını çıkartmayı sağlar.

Zayıf noktanın tespiti ile gerekli önlemlerin alınması üzerine çalışmalara başlanır.

Bu tip risk analizi çalışmaları uluslararası standartlar kapsamında pek çok firmada artık rutin olarak gerçekleştirilmekte, hatta pek çok kalite standardına göre 3'er aylık periyodlarda tekrarlanmak zorundadır.


Herhangi bir zayıf nokta bulunamaz ise?

Bu durumda işletmenin şikayetleri, sorunları ve/veya güvenlik ihtiyacı doğrultusunda araştırmalar, analiz sürdürülebilir.

Sızma Testi

Zafiyet testinden bir sonraki aşama olan "Sızma Testi"nde saldırgan gibi düşünerek, saldırganın bilgiye erişme, ağa sızma işlemi simüle edilir. 

Bulunan zafiyetler ya da uzman tarafından tahmin edilen açıklıklar irdelenerek izinsiz erişimin nasıl yapılacağı gözden geçirilir ve uygulanır. 

Bu esnada izlenilen yol ve kullanılan metot raporlanır. Bu kimi zaman çok kapsamlı uzun süren bir çalışma olabilir, kimi zaman da ihtiyaç ve bütçe doğrultusunda kısıtlı zaman aralağında gerçekleştirilir.

Sızma testinin gerçekleştirilmesi gereken ideal süresi için öncelikle uzman kişilerce ağ keşfinin yapılması ve bu keşif sonucunda firma ile birlikte bütçe doğrultusunda bir süre kararlaştırılması gerekir.

Daha fazla bilgi edinmek ya da sorularınıza yanıt bulmak için bilgi [ at ] isr.com.tr adresinden bizimle iletişime geçebilirsiniz.

17 Mart 2014

Bilgi Güvenliği ve Yurt İçindeki Genel Uygulamalar

Günümüzde şirketler operasyonel verimlerini, ciro ve karlılıklarını artırabilmek amacıyla teknolojiden daha fazla yararlanabilme hedefindeler. Elde edilen verilerden faydalı bilgi edinebilmek, operasyonlarında işlemlerini hızlandırmak ve hata payını azaltmak amacıyla her geçen gün daha fazla operasyon adımını ve şirket bilgisini elektronik ortama aktarmaktalar.

Şirketlerin gerek yasal olarak saklanma ihtiyacı, gerekse geçmiş değerlerin korunması, işlenerek potansiyelin kazanca çevrilmesi gibi ihtiyaç ve amaçları dolayısıyla elektronik ortamda barındırılan verileri ile gelir kaybına yol açmamak üzere hatasız, duraksız sürdürülmeye çalışılan operasyonlarının gerçekleştirildiği eskiye nazaran oldukça büyük önem taşıyan bilgisayarları ve bunların oluşturduğu ağların güvenliği bir şirketin gündelik faaliyetlerinin yanı sıra varlığını sürdürebilmesi, ticari değerini ve kazançlarını koruyabilmesi için temel faktörlerden birisi olmuştur.



Orta ve büyük ölçek boyutuna ulaşmış pek çok firma ihtiyaçları doğrultusunda bilgi ve ağ güvenliğini sağlamaya yönelik bir çok yazılım ve donanım çözümlerine yatırım yapmaktadır. Bilgi güvenliği ve sistem sağlığının önemi dikkate alınarak yapılan bu yatırımlara karşın pek çok firma istediği güvenlik ve sistem sağlığına sahip olamamaktadır.

Bu durumun en önemli sebebi bilgi ve ağ güvenliği denildiğinde içerisinde yüzlerce bileşenin bulunması ve bu bileşenlerin dinamik hususlar olmasıdır. Gün geçtikçe farklı amaçlar için kullanılan bilgisayarlar bir yana, tıpkı bir ana karayolu gibi ağ trafiği de gün içerisinde belirli kurallar ile akmakta, dönem dönem trafik ihtiyaçları doğrultusunda ağın yeniden yapılandırılması, yönetilmesi gerekmektedir. Zaman içerisinde ihtiyaçlar doğrultusunda yeniden şekillendirilen ağ, ve bu ağa bağlı bilgisayarlar ve içerdikleri bilgiler de güvenlik açısından farklı tehditlere maruz kalabilmektedir.

Bilginin güvenliğini ve sistemin sağlıklı çalışırlığını sağlama hedefi, yaşayan bir sistem olan ağın (networkün) periyodik olarak kontrolü, çeşitli disiplinlerle ve bilgi sahibi kişilerce yönetilmesi, zafiyetlerinin taranması ve gerektiği ölçüde ayarlarının düzenlenmesi, yeni teknolojilerin kullanılması gibi belkide bakım adı altında fazlaca daralttığımız aslında çok sayıda önem taşıyan işlemin yapılmasını gerektirir.

Yatırımların yapılması, bakımların sağlanması sonrasında "Güvende miyiz?" sorusunun yanıtı da elbette görecelidir. Bu uyarı canınızı boş yere sıkmamalı, farkında olmak her zaman güvenliğe doğru atılan sağlam bir adımdır. Risklerinizin farkında olmak ve bu risklere göre önlem almak, bu sistematiğe göre yaşamak son derecede kazançlı çıkmanızı sağlayacaktır.


Firmaların bilgi ve ağ güvenliğini sağlamaya yönelik kullanılmakta olan bir çok yazılım ve donanım çözümlerine yaptıkları yatırımlara karşın tüm güvenlik zinciri en zayıf halkası olan kullanıcıların, çoğu zaman farkında olmadan bilinçsizce yarattığı sistem açıkları ile tehdit altında kalabilmekte, bu açıkların giderilmesine yönelik çoğu zaman da gereğinden de fazla yatırım yapılmak zorunda kalınmakta üstelik yapılan bu ek yatırımlar kesin çözüm niteliği de taşımamaktadır.


Ağ ve bilgi güvenliğinin sağlanabilmesi üzere gerçekleştirilen Onca yatırıma rağmen güvenlik zincirini tehlikeye atabilecek olan bu zayıf halkanın güçlendirilebilmesi ise kullanıcıların ihtiyaç duyulan nitelikte; şirketin sistem güvenliği politikalarına uygun olarak, bilinçlendirilmesi, eğitilmesi ile sağlanabilmektedir.


Bir çok kurumsal nitelikteki firma sistem güvenliğini sağlayabilmek ve operasyon akışına engel oluşabilecek potansiyel sorunları önleyebilmek amacıyla eğitimler düzenlemekte, farkındalık seviyesini artırarak kullanıcılar tarafından yaratılabilecek güvenlik açıkları ve sistem hatalarını azaltmaya çalışmaktadır. Kurumsal boyuttaki firmalar kadar olmasa da elektronik çağını yakalamış olan orta ve büyük ölçekli KOBİ'lerin de mutlaka farkındalık eğitimlerini dikkate alması, bu kapsamda gerekli genel ve firma özelinde eğitimleri programlaması işletme sağlığı açısından önem taşımaktadır. KOBİ'ler için ISR'ın TÜBİTAK desteği ile geliştirmekte olduğu "ScavDat" projesi ile bu ihtiyaçlara yönelik çözümlerimiz hakkında bilgi almak için www.isr.com.tr üzerinden ya da bilgi[at]isr.com.tr mail adresinden bize çekinmeden ulaşabilirsiniz.

14 Mart 2014

Mobil Güvenlik İçin Telefonlar Cebe, Yoksa "Eller Yukarı"!

Hepimizin tercih ettiği cep telefonunun marka ve modeli farklı da olsa kullanım ihtiyacı doğrultusunda hepsinin ortak bir yönü var; artık hepsi akıllı!

Akıllı telefon kullanımı pek çok noktada hayatımızı kolaylaştırıyor; mobilite dediğimiz cihazlarımızın bir noktaya bağlı olmadan hareket edebilme serbestliğini kazandırıyor. Mobil cihazların gerekliliği, yarattığı bağımlılık ve ekonomik fayda gibi tartışmalar bir yana dursun kolaylık ve yenilik denildiğinde her bilgi güvenliği uzmanının aklına tek soru geliyor; güvenli mi?

Hayatımızı kolaylaştıran pek çok cihaz aslında ilk piyasaya sürüldüğünde güvenlikle ilgili yeni risk ve sıkıntıları da piyasada oluşturmaya başlıyor. Örneğin eski telefonlarda "1 Yeni Mesajınız Var" uyarısı artık akıllı telefonlarda kullanıcıya kolaylık sağlamak amacıyla bir ön izleme seçeneği ile sunuluyor. Mesajı gönderen kişi, saati ve mesajın ilk satırlarını telefon kilidini dahi açmadan kolaylıkla önizlemesini yapmanız mümkün! Üstelik bu sadece mesaj ile de sınırlı değil, neredeyse tüm uygulamalarda ön izleme yapmak mümkün.

Yakın zamanda bir telefon üreticisinin çıkarmış olduğu işletim sistemi güncellemesiyle artık varsayılan ayar olarak ekran kilitli iken dahi gelen mesajın büyük bir bölümü okunabilir durumda. Güncellemenin yarattığı bu farklılık ve bu farklılıktan doğan güvenlik riski dolayısıyla artık telefonların ortada gezmesi maddi kayba yol açabilecek bir risk taşıyor.

Alışkanlıklarımız doğrultusunda elimizin altında, masamızın üzerinde tuttuğumuz her türlü bilgimizi de içeren cep telefonumuzu çeşitli kilitleme sistemleri ile kilitlemiş olsak dahi arkadaşlarımızın adları, mesajın içeriği hatta banka onay kodumuz dahi görülebilir durumda. Pek çok banka güvenlik konusunda uyması gereken onlarca standarda ve müşterilerinin bilgi güvenliğine yönelik çalışmasına karşın bazı noktaları atlayabiliyor, bu da onlardan bir tanesi (bu konuya daha sonra ayrıca değineceğiz).



Özellikle android cihaz kullanıcıları alışkanlıklarını tekrar gözden geçirmeli ya da kullanım alışkanlıkları doğrultusunda güvenlik gereklerinin bilinciyle ön izleme ayarlarını yaparak önlemlerini almalılar.

Bu ve benzeri pek çok örnek bize göstermektedir ki; çağımızda teknolojinin hızlı gelişimine paralel olarak bilgi paylaşımı ve bilgiye erişim ne kadar kolaylaşmaktaysa bu yeniliklere bağlı güvenlik ihtiyaçları da neredeyse aynı düzeyde artmaktadır. Kullanıcıların takip etmesi gereken bilgi güvenliğine yönelik önlemler de sürekli gelişmekte, şekil değiştirmekte, sorunların çözümlerine yeni yazılım, donanım vb. yeni çözümler eklendiği gibi sorunlara da yenileri eklenmektedir.

Bilgi güvenliği dinamik bir alan olup geçmiş bilgi birikimlerinin yanı sıra güncel araştırma ve birikimler ile de sürekli takip edilmelidir.

Popüler Yayınlar