İçinde yaşadığımız iş ortamı teknolojinin aktif bir şekilde kullanımıyla beraber birçok yeniliği getirmiş olup daha hızlı ve erişilebilir bilgilerin kontrolü için bünyesinde birçok veritabanı da barındırmaya başlamıştır.
Şirketler kendi veritabanlarına bünyesindeki barındırdığı kişileri sağlıklı bir şekilde istenilen bilgiyi elde etmek için intranet adı verilen sanal ağların kullanmaya başlamıştır. Herşey çok güzel gitmesine karşılık bazı şirket bilgilerin gizliliği yani üçüncü kişi,kurum ya da kuruluşlarla bilinmemesi gereken şirket öz dosyaları vardır ki bunların erişimini kendi bünyesinde çalışan kişilerin sadece onla alakalı kişilerin bilmesi lazımdır. Peki ama bu bilgilerin gizliliği konusunda gerçektende gerek veritabanı gerekse intranet ağının güvenliği sağlam mı ? sorusunu sormak bence en cazibeli olan kısımdır. Çünkü şirketler şuan bilgi işlemcileri ve ya herhangi bununla alakalı bir teknoloji şirketi tarafından bu intranet ağı adını verdiğimiz ağları oluşturuyor da bu ağların güvenliğini sağlayacak bilgi güvenliği protokollerini uygulayacak kişi ve ya kurumlarca çalışıyor mu? Düşünsenize yarın çok özel bir ihale olacak; hatta bu ihale şirketinizi gerçekten de ciddi bir şekilde ivemelendirecek ve o ihale ile ilgili tüm teklifler özel bir bilgisayar dosyasının içinde saklı bir şekilde duruyor. Peki bu dosya rakibinizin eline geçtiğinde aslında ihaleden umudu kesin anlamına gelmiyor mu tabiki de geliyor. Hadi canım artık rakip firma nerden bunu yapacak demeyin şunu da unutmayın bakın sizin şirketinizin ciddi bir şekilde ivmelenmesi demek rakiplerinizin üstüne çıkmanız demektir. Rakip de bu teklif dosyasını elde etmek için elinden geleni yapacaktır. Ya o konuyla alakalı bir çalışanınızı elde eder ve istihbaratını ondan alır, ya zorla alır ki bu biraz saçma yöntem kaba kuvvet saldırısı için delil bulmak kolaydır, ya da sizin bilgilerinizin olduğu veritabanına ulaşmak için ya kendisi ya da birileri bu iş için kullanılıp hedef bilgilere ulaşılabilir.Peki erişimin gerçekleşmemesi yani veri hırsızlığının boş çıkması için gerçekten de sizin intranet bağlantınız sağlam mı, herhangi bir port açığı var mı,sistemin kontrolünün olduğu kişi sosyal mühendislik konuşmalarına aşina mı, kısacası penetrasyon testleri yapılmış mı? sorularını sorduğunuzda aldığınız cevap evet ise herhangi bir veri kaybı söz konusu olmaz. Ama dediğim soruların herhangi birine çekimser cevap veriyorsanız veri kaybının olması da bir o kadar muhtemeldir.
Veri kayıplarının olmaması, sisteminizin ve içerdikleri bilgiklerin bir saldırıya maruz kalmaması için yapılması gereken tek şey vardır. Bunun adı da penetrasyon testleri dir. Peki kimyasal ve tıbbi bir terim gibi gelen bu penetrasyon testleri dediğimiz şey aslında sisteminizin açık kaynak kodlu işletim sistemlerinde taratıarak güvenlik zaafiyetlerinin olup olmamasıdır. Bu teste tabi tutulduğu zaman sistem onlarca fazla araçla sistem test edilmeye başlanır ve sisteminizin varsa açıklarıtespit eder ve size o açıklarınızı kapatmanızı söyler ve sizin direktifleriniz doğrultusunda yapar. İşte o zaman sisteminiz dışarıdan gelen bir saldırıya karşı güvenlik önlemleri tam alınmış olur anlamına gelir. Ama şunu da belirtmek isterim öyle sistemler vardır ki güvenlik zaafiyeti yok ama insan zaafiyeti var. Ve insan zaafiyeti dediğimiz olay silikon vadisinde sosyal mühendislik adı altında geçer. Çünkü sistemler her ne kadar mükemmel olsa da onları da yapan bir insan belki sisteme giremeyebiliriz ama insanın aklına ikna kabiliyeti ile girdikten sonra(sosyal mühendislik dediğimiz olay) aslında sisteme de girmiş olur. Ve son olarak sisteminizin ve çalışanlarınıza ait bilgilerin kendi şirket içerisinde olsa dahi herkesin kendi şifreleri ve kodlarıyla intranet bağlantınıza girmesini sağlayın.Hiçbir çalışanınız başka bir arkadaşının şifresiyle girmeye kalkmasın zira sisteminize kendi çalışanınız diye dışardan bir kullanıcı giriyor olabilir.
Not: Penetrasyon çalışmalarını bilgi güvenliği uzmanları yapar.
Güvenlikli ve zaafiyetsiz kalın...
Şirketler kendi veritabanlarına bünyesindeki barındırdığı kişileri sağlıklı bir şekilde istenilen bilgiyi elde etmek için intranet adı verilen sanal ağların kullanmaya başlamıştır. Herşey çok güzel gitmesine karşılık bazı şirket bilgilerin gizliliği yani üçüncü kişi,kurum ya da kuruluşlarla bilinmemesi gereken şirket öz dosyaları vardır ki bunların erişimini kendi bünyesinde çalışan kişilerin sadece onla alakalı kişilerin bilmesi lazımdır. Peki ama bu bilgilerin gizliliği konusunda gerçektende gerek veritabanı gerekse intranet ağının güvenliği sağlam mı ? sorusunu sormak bence en cazibeli olan kısımdır. Çünkü şirketler şuan bilgi işlemcileri ve ya herhangi bununla alakalı bir teknoloji şirketi tarafından bu intranet ağı adını verdiğimiz ağları oluşturuyor da bu ağların güvenliğini sağlayacak bilgi güvenliği protokollerini uygulayacak kişi ve ya kurumlarca çalışıyor mu? Düşünsenize yarın çok özel bir ihale olacak; hatta bu ihale şirketinizi gerçekten de ciddi bir şekilde ivemelendirecek ve o ihale ile ilgili tüm teklifler özel bir bilgisayar dosyasının içinde saklı bir şekilde duruyor. Peki bu dosya rakibinizin eline geçtiğinde aslında ihaleden umudu kesin anlamına gelmiyor mu tabiki de geliyor. Hadi canım artık rakip firma nerden bunu yapacak demeyin şunu da unutmayın bakın sizin şirketinizin ciddi bir şekilde ivmelenmesi demek rakiplerinizin üstüne çıkmanız demektir. Rakip de bu teklif dosyasını elde etmek için elinden geleni yapacaktır. Ya o konuyla alakalı bir çalışanınızı elde eder ve istihbaratını ondan alır, ya zorla alır ki bu biraz saçma yöntem kaba kuvvet saldırısı için delil bulmak kolaydır, ya da sizin bilgilerinizin olduğu veritabanına ulaşmak için ya kendisi ya da birileri bu iş için kullanılıp hedef bilgilere ulaşılabilir.Peki erişimin gerçekleşmemesi yani veri hırsızlığının boş çıkması için gerçekten de sizin intranet bağlantınız sağlam mı, herhangi bir port açığı var mı,sistemin kontrolünün olduğu kişi sosyal mühendislik konuşmalarına aşina mı, kısacası penetrasyon testleri yapılmış mı? sorularını sorduğunuzda aldığınız cevap evet ise herhangi bir veri kaybı söz konusu olmaz. Ama dediğim soruların herhangi birine çekimser cevap veriyorsanız veri kaybının olması da bir o kadar muhtemeldir.
Veri kayıplarının olmaması, sisteminizin ve içerdikleri bilgiklerin bir saldırıya maruz kalmaması için yapılması gereken tek şey vardır. Bunun adı da penetrasyon testleri dir. Peki kimyasal ve tıbbi bir terim gibi gelen bu penetrasyon testleri dediğimiz şey aslında sisteminizin açık kaynak kodlu işletim sistemlerinde taratıarak güvenlik zaafiyetlerinin olup olmamasıdır. Bu teste tabi tutulduğu zaman sistem onlarca fazla araçla sistem test edilmeye başlanır ve sisteminizin varsa açıklarıtespit eder ve size o açıklarınızı kapatmanızı söyler ve sizin direktifleriniz doğrultusunda yapar. İşte o zaman sisteminiz dışarıdan gelen bir saldırıya karşı güvenlik önlemleri tam alınmış olur anlamına gelir. Ama şunu da belirtmek isterim öyle sistemler vardır ki güvenlik zaafiyeti yok ama insan zaafiyeti var. Ve insan zaafiyeti dediğimiz olay silikon vadisinde sosyal mühendislik adı altında geçer. Çünkü sistemler her ne kadar mükemmel olsa da onları da yapan bir insan belki sisteme giremeyebiliriz ama insanın aklına ikna kabiliyeti ile girdikten sonra(sosyal mühendislik dediğimiz olay) aslında sisteme de girmiş olur. Ve son olarak sisteminizin ve çalışanlarınıza ait bilgilerin kendi şirket içerisinde olsa dahi herkesin kendi şifreleri ve kodlarıyla intranet bağlantınıza girmesini sağlayın.Hiçbir çalışanınız başka bir arkadaşının şifresiyle girmeye kalkmasın zira sisteminize kendi çalışanınız diye dışardan bir kullanıcı giriyor olabilir.
Not: Penetrasyon çalışmalarını bilgi güvenliği uzmanları yapar.
Güvenlikli ve zaafiyetsiz kalın...
Hiç yorum yok:
Yorum Gönder