+90 212 244 9222

02Nisan2020

Uzaktan Çalışma Sürecinde Dikkat Edilmesi Gereken Teknik Hususlar

Uzaktan Çalışma Sürecinde Dikkat Edilmesi Gereken Teknik Hususlar

Tüm Dünyanın gündeminde olan Covid-19 Koronavirüs salgını sebebiyle birçok şirket evden çalışma uygulamasına geçti. Ancak bazı şirketler teknik alt yapı yetersizlikleri sebebi ile evden çalışma uygulamasına geçemezken bazıları ise teknik altyapılarında kurgulamaları gereken sistemlerin farkında olmadan ve gerekli önlemleri almadan evden çalışma uygulamasına geçtiler.

Konu ile ilgili KVK Kurumu ve ICO tarafından yayınlanan sıkça sorulan sorular rehberleri içerisinde “Evden çalışmak için ne tür güvenlik önlemleri alınması gerekir?” sorusu veri korumanın evden çalışmanın karşısında bir bariyer olmadığı, normal koşullarda gerekli olan güvenlik önlemlerinin evden çalışma sırasında da uygulanması gerektiği şeklinde yanıtlanmıştır.

Ulusal Siber Olaylara Müdahale Merkezi’nin, korona virüs salgını tedbirleri kapsamında yayınladığı Güvenli 'Uzaktan Çalışma' Kuralları Rehberi içerisinde sistemler üzerinde maksimum bağlantı süresi için bir zaman aşımı tanımlanması, uzaktan çalışma boyunca tanımlanan kuralların geçici süreliğine oluşturulması, mümkün olduğu durumlarda uzaktan bağlantılar için "kaynak IP" kısıtlaması yapılması, erişimler için çok faktörlü kimlik doğrulama ve zaman bazlı yetkilendirme önlemleri alınması, risk değerlendirmesine göre uzaktan erişimin tanımlanmaması gereken hiçbir kritik sisteme erişim için izin verilmediğinden emin olunması önlemlerinin öneminden bahsedilmektedir.

Peki, uzaktan çalışma uygulamasına geçen şirketler teknik anlamda hangi hususlara dikkat etmelidir?

1. Ekipman Güvenliği

Pandemi sırasında yaşanan en büyük sorunlardan biri şirketlerin evden çalışmaya uygun ekipmanlara sahip olmamasıydı. Bilgisayarları taşınabilir ve iletişim cihazları uzaktan da kullanılabilir vaziyette olan şirketler için evden çalışma uygulamasına geçmek çok daha kolay oldu. Bu kapsamda monitörleri taşımaya çalışanlar da bilgisayarlarını taşıyamayıp çalışanların evdeki kişisel bilgisayarlarını iş amacıyla kullanmasını bekleyenler de oldu. Şirketlerin buradan çıkarttığı ders ise ekranlı araçların kişilere işin niteliğine göre sağlanması gerektiğiydi. Çünkü uzaktan çalışmanın birinci kuralı işin niteliğinin evden çalışmaya uygun olmasıdır.

Ayrıca ekipman yetersizliği sebebiyle kişilerin evlerindeki kişisel bilgisayarların iş amacıyla kullanılmasının istenmesi, kişisel bilgisayarlar ofis bilgisayarları ile aynı sistemlere sahip olmadığından siber güvenliğin sağlanması konusunda büyük bir açık oluşturmaktadır. Örneğin, Office365 hesaplarına bağlanan kişilerin sistemlerinin izlenmesi kişisel bilgisayarlarda mümkün olmayacaktır. Ya da kişisel bilgisayarların USB portları kapalı olmayacağından çalışanların, şirket verilerini dışarıya çıkarmaları çok daha kolay olacaktır.

Özetle uzaktan çalışma için kullanılan ekipmanlarda gerekli güvenlik yazılımlarının yüklü olduğundan, güncel yazılımların kullanıldığından, zararlı yazılım bulunmadığından emin olunması gerekmektedir. Ekipmanların yetersiz olması, şirketi hem içeriden hem de dışarıdan gelebilecek saldırılara açık bir hale getirecektir.

2. Yetkilendirme

Uzaktan çalışma uygulamasında çalışanlara sadece görevi gereği ihtiyaç duyacağı kadar, "gereken en az yetki (least privileged access)" prensibine uygun olarak yetki verilmeli, kritik veriler üzerindeki gereksiz erişim yetkileri kısıtlanmalıdır. Evdeki ağ bağlantıları şirketteki ile aynı güvenlik önlemlerine sahip olamayabileceği için kurulan iletişimin VPN ile şifrelenerek sağlanması, VPN kullanımının zorunlu olması büyük önem taşımaktadır. Çalışanların tüm kimlik doğrulama işlemleri için iki kademeli kimlik doğrulama (2FA) kullanılarak ağa yetkisiz erişimin önüne geçilebilir.

3. Ağ Güvenliği

Ortak wifi ağlarının kullanımı güvenli olmamakla birlikte bu tür ağlar üzerinde çevrimiçi faaliyetlerin izlenmesi mümkündür. Tarayıcı veya e-posta gibi uygulamaların internete bağlanırken şifreleme kullandığından emin olunmalıdır. Ağ erişimi gerekmediği durumlarda wifi bağlantısının kapatılması cihazı güvenceye alacaktır. Doğru şekilde korunup korunmadığı veya virüs içerip içermediği bilinemeyeceğinden cihazlara bilinmeyen akıllı telefonlar ve USB sürücüleri gibi cihazlar asla bağlanmamalıdır. Güvenliği sağlamak adına cihazlara kurulan anti-virüs sistemlerinin devre dışı bırakılamaması sağlanmalıdır.

Evlerde kullanılan kablosuz ağların güvenli hale getirilmesi için internet hizmet sağlayıcısı tarafından belirlenen varsayılan kullanıcı adı ve parolalar mutlaka değiştirilmelidir. Böylece yapılandırma değişiklikleri yalnızca kişiler tarafından yapılacaktır. Akabinde kablosuz ağın varsayılan adı (SSID) değiştirilmelidir. Bu SSID adresle veya kişiyle ilişkilendirilmeyecek şekilde seçilmelidir.

Kablosuz ağlar en güçlü şifrelemeyi kullanacak şekilde yapılandırılmalıdır, WEP gibi eski ve zayıf şifreleme yöntemleri güvenli olmayacağı için kullanılmamalıdır. Kablosuz ağlar için güçlü parolalar kullanılmalı ve bu şifre yalnızca bu ağa girmesinde sakınca bulunmayan kişilerle paylaşılmalıdır. Ağa bağlı tüm cihazlar tespit edilmeli ve güçlü parolalar ile korunmalıdır. Kullanılan cihazların bluetooth vb. özellikleri kapatılmalıdır.

İnternet Hizmet Sağlayıcıları ile görüşülerek ev ağını korumaya yardımcı araçlar ve imkanlardan yararlanılabilir.

4. Eğitim

Çalışanların aile bireyleri dahil hiç kimseye cihazlara erişim verilmemesi konusunda farkındalık sahibi olması sağlanmalı, her durumda olduğu gibi alınan tüm bu önlemlerin işlevini koruyabilmesi adına uzaktan çalışan tüm personele siber güvenlik farkındalık eğitimi verilerek insan eli ile yapılabilecek olası bir hataya karşı önlemler alınmalıdır.

Unutulmamalıdır ki en iyi savunma risklerin farkında olmak ve gerekli önlemleri almaktır.

Written by Kübra Özkahraman, Posted in Kişisel Verilerin Korunması Mevzuatı

  • Bilgilendirme Metni!

    Bu makalede yer alan içerikler yalnızca bilgilendirme amaçlı olup CottGroup® firmalarına ait bir hizmettir. Kaynak gösterilmeden iktibas edilemez. Makalenin hazırlanmasında gerekli özen ve dikkat gösterilmiş olmakla birlikte; CottGroup®, işbu genel çerçevede bilgi veren ve yorum içerebilen makaledeki bilgilerin yanlışlık veya eksikliklerinden kaynaklanabilecek hiçbir sorumluluğu kabul etmemekte olup bu bilgilerin güvenilirliği nedeniyle oluşabilecek herhangi bir zarardan sorumlu tutulamaz.

    Her bir somut olaya ilişkin olarak, her koşulda özel olarak profesyonel bir danışmana başvurmanız tavsiye edilir. Lütfen duyuru ile ilgili işlem yapmadan önce müşterimiz iseniz müşteri temsilcinizden, değilseniz bir uzmandan görüş alınız.

About The Author

Kübra Özkahraman

Quality Assurance & Training Responsible
Bu web sitesi çerez kullanıyor.
Bu internet sitesinde, kullanıcı deneyimini geliştirmek, verimli çalışmasını sağlamak ve istatistiki verileri takip etmek için çerezler kullanılmaktadır. Sitemizi kullanarak çerezleri kabul etmiş olursunuz. Çerezleri nasıl kullandığımız ile ilgili detaylı bilgi için lütfen Çerezler (Cookies) sayfasını okuyunuz. Bu seçim 30 gün süreyle ya da tarayıcınızdaki çerezleri siz silene kadar geçerlidir.
x
Hizmetlerimiz devam ediyor.

Dünya gündemindeki Covid-19 Koronavirüs salgını sebebiyle, çalışanlarımızın sağlığını güvenceye almak adına, çalışmalarımızı bir sonraki bilgilendirmeye kadar uzaktan devam ettireceğiz. CottGroup® olarak sahip olduğumuz iş sürekliliği planlarımız ve güçlü teknolojik altyapımız sayesinde süreçlerimizi kesintisiz devam ettirebileceğiz. Müşterilerimiz ve iş ortaklarımız her zaman olduğu gibi, telefonlarımız ve e-postalarımız aracılığıyla bizlere ulaşabileceklerdir.