Bilgi Güvenliği Bakış Açısı ile Personel Güvenliği

0
1088
views
Bilgi sistemlerinin geliştirilmesi, uygulanması ve yönetimi gibi faaliyetlerde bulunduğu için bir kuruluşta görev yapacak personellerin seçimi önemlidir. Kuruluşta çalışan personeller kurum için büyük güvenlik riskleri oluşturabilirler. Bu güvenlik risklerini önlemek veya en aza indirmek için personellerle ilgili bazı geçmiş kontrolleri yapılmalı, 3.partiler güvenli şekilde yönetilmeli, personellere uygun şekilde eğitim verilmeli ve güvenlik risklerinden haberdar edilmelidir. Bu yazıda kurumlardaki personel güvenliği konusu incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

 

Personel işe başlamadan önce bir takım faliyetler gerçekleştirilmelidir.

 

A) İstihdam Adaylarının Taranması

İşe alınacak personelin geçmişte yaptığı eylemlerin incelenmesi, uygun, güvenilir ve güvenli personelin seçilmesiyle doğrudan ilgilidir.

İşten ayrılma politikaları ve prosedürleri, işten ayrılan çalışanların artık kurum sistemlerine erişememesini ve herhangi bir sebeple kurum sistemlerine zarar vermemesi / verememesini sağlamalı ve uygun şekilde uygulanmalıdır.

Bir kurumda çalışan personelin çok büyük bir kısmı yanlış yapma niyeti olmayan yetkin kişiler olsa da, iyi niyetli olmayan personeller de olabilir.

Personele ait iş tanımı,iş pozisyonunun rol, sorumluluk ve pozisyonun gerektirdiği diğer işlevleri yerine getirmek için gereken eğitim, deneyim ve uzmanlığı da içermelidir.Ayrıca iş tanımında bilgi güvenliği sorumluluklarına da yer verilmelidir.

 

A.1) Referans Kontrolü ve Diğer Öz Geçmiş Kontrolleri

Mülakat ve işe alma sürecinde adayla ilgili geçmiş iş tecrübeleri, ekip çalışması, etik değerler, iş tanımında yazılı olan teknik ve analitik yeteneklerle ilgili yeterlilikler belirlenmeye çalışır.Bu yeterlilikler görüşme sürecinde bireyi gözlemleyerek veya adaya yöneltilen sorular aracılığı ile belirlenmeye çalışılır.

Adayla görüşme esnasında tespit edilmeye çalışan bu yeterlilikler her zaman belirlenemeyebilir ve bu durumda aday tarafından sağlanan referanslar ile iletişim kurulur.

İşverenler, referanslar ile yapılacak görüşmede, referans bilgisinin aday tarafından sağlandığı ve görüşlerinde önyargılı olabileceği konusuna dikkat etmelidir.
Ayrıca adayla ilgili eğitim durumu/diploma sorgulaması, adli sicil/güvenlik soruşturması, sertifika geçerliliği, kredi geçmişi, sürücü belgesi sorgulaması, sağlık durumu sorgulaması vb gibi öz geçmiş kontrolleri yapılmalıdır. Bunların yanı sıra kişilik testi ve yalan makinası (polygraph test) da sürece dahil edilebilir.

Adayların sosyal medya paylaşımları da incelenerek uygunsuz içerik paylaşımı yapanlar belirlenebilir. (Dürüstlük, saygı, tutarlılık, şirket kültürüne uyum gibi bilgiler, aday tarafından yapılan paylaşımlar dikkate alınarak belirlenebilir.)

Yapılan bu kontroller kuruluşa aşağıdaki konularda avantaj sağlar.

  • En kalifiye adayın işe alınması
  • Daha düşük işe alma maliyeti
  • Kurum varlıklarının korunması
  • Kurumun marka ve itibarının korunması
  • Şiddet geçmişi olan bireyleri işe almaktan kaçınmak
  • Çalışanlar ve müşterileri hırsızlık, şiddet, taciz gibi durumlara karşı korumak

Etkili bir geçmiş sorgulama programı, işe alım sürecine dahil olan tüm bireyler için, işe alım gerçekleşmeden önce tamamlanmalıdır. Ayrıca, personelin pozisyonunun hassasiyetine uygun olarak bu sorgulamalar periyodik olarak tekrarlanmalıdır.

Kişinin işe alınabileceği pozisyona bağlı olarak birçok farklı türde özgeçmiş kontrolü gerçekleştirilebilir. Fakat en iyi yöntem kuruluşun tüm çalışanlarının geçmiş kontrolünün yapılmasıdır. Maliyet vb. durumlar sebebiyle bunun gerçekleştirilmesi zor ise, kuruluş geçmiş kontrollerinin yapılmasının en kritik olduğu pozisyonları belirlemelidir.(Gizli veya hassas bilgilere erişimi olan kişiler, sağlık sektörü merkezli kuruluşlar veya finansal bilgilerle ilgilenen kuruluşlar için çalışanlar vb.)

 

B) İş Sözleşmeleri ve Politikalar

Personel işe başlamadan önce veya ilk iş gününde imzalanan iş sözleşmelerinin amacı bir kişi çalışırken ve çalışanın kuruluştan ayrılmasından sonra kuruluşu korumaktır.

İş sözleşmeleri adayın aşağıdakileri okuyup anladığını doğrulamak için kanıt olarak da kullanılır;

  • Kuruluşun kurallarını ve kısıtlamaları
  • Güvenlik politikası
  • Kabul edilebilir kullanım politikaları (Acceptable Use Policy)
  • Mehremiyet beklenmemesi politikası (No Expectation of Privacy Policy): Kurum bilgisayarında depolanan, kurum ağında iletilen verilerin gizli kalmasının garanti edilmediği belirtilir.
  • İş tanımının ayrıntıları
  • İhlaller ve sonuçları
  • Çalışma süresi

 

 

İş sözleşmelerinin yanısıra güvenlik ile alakalı imzalatılması gereken başka belgeler de olabilir.

  • NDA (Nondisclosure Agreement – Gizlilik Anlaşması): Gizlilik anlaşmaları hassas bilgilere veya verilere erişim verilmeden önce kişinin veya kuruluşun bu hassas bilgilerin gizliliğini sürdürme konusundaki yasal sorumlulukları belirleyen anlaşmalardır.İş adayları,danışmanlar ve 3.partiler ile genel olarak işe alınmadan önce imzalanmalıdır.
  • NCA (Noncompete Agreement – Rekabet Etmeme Anlaşması): Gizlilik anlaşmasına (NDA) tamamlayıcı olarak imzalatılır. Bir kurumdan diğerine geçerken, kuruma ait sırların rakiplere geçmesini engellemek için uygulanır.

Kuruluşta gerçekleştirilen periyodik performans incelemeleri, çalışanların mevcut nitelikleri ve güvenlik hedeflerine ulaşma konusunda değerlendirme sağlamaktadır. Gerçekleştirilen performans değerlendirmeleri kurum politika ve prosedürlerine uygun olmalıdır.

 

 

C) Temel Güvenlik Prensipleri

Personel güvenliği için bir takım güvenlik prensipleri vardır. En önemlileri aşağıdaki gibi sıralanabilir.

C.1) İş Rotasyonu (Job Rotation)

İş rotasyonu, bir kişinin kritik işlevleri veya sorumlulukları kesintisiz olarak yerine getirmemesini gerektirir. Gizli bilgilerle veya gizli anlaşma yoluyla kişisel kazanç fırsatlarının olabileceği sistemlerle çalışan bireylere sahip kuruluşlar, iş rotasyonunu görevler ayrılığı ile entegre ederek uygulayabilirler.

Personelin pozisyonu değiştirmek, çalışanın normal işletim prosedürleri dışında gerçekleştirdiği faaliyetleri ve diğer hatalı davranışları ortaya çıkarabilir. Ayrıca hastalık ya da diğer olumsuz koşullara karşı bilgi yedekliliği sağlanmış olur.

İş rotasyonunda en çok dikkat edilmesi gereken konulardan birisi yetkilerin yeniden düzenlenmesi gerekliliğidir. Aksi halde her yeni görev için alınan yetkiler artış (Aggregation) gösterir. Bir personelin eski rolüne ait yetkilerinin bu şekilde birleşme göstermesine “Privilege Creep” adı da verilir ve En Az Yetki Prensibi‘ne aykırılığa sebebiyet verir.

Not: İş rotasyonu hem deterrent/caydırıcı (fraud yapmasını caydırmak için) hem de detective/tespit edici (eğer fraud yaptıysa) kontrollerdendir.

 

C.2) Görevler Ayrılığı Prensibi (Segregation of Duties – SOD)

Bir personel, belirli bir sürecin tüm adımlarını yürütme yetkisine sahip olmamalıdır. Görevler ayrılığı ilkesi özellikle çalışanların daha fazla erişime sahip olduğu, sistemde veri değiştirme, silme, veri ekleme veya onaylama becerisine sahip olabileceği kritik iş alanlarında daha da önemlidir.

 

Görevlerin ayrılmaması, kişilerin başkalarının müdahalesi olmadan kuruluştan haksız maddi kazanç sağlamasına neden olabilir.

Görevler, ayrımı sağlamak için tipik olarak alt bölümlere ayrılır veya farklı bireyler veya organizasyonel gruplar arasında bölünür ve yapılabilecek olan hatalı veya kötü niyetli bir işlem için görev yapılan iki (veya daha çok) tarafın da hata yapması veya kötü niyette olması gerekir. Sonuç olarak görevler ayrılığı prensibi, hata veya dolandırıcılık olasılığını azaltır; her grup, diğerleri üzerinde bir dengeleme kontrolü işlevi görür ve doğal bir kontrol süreci gerçekleşir.

Yönetim, görevlerin iş süreçlerinde iyi tanımlanmasını ve ayrılmasını sağlamaktan sorumludur.

Görevler ayrılığının olmaması aşağıdaki durumlara sebep olabilir.

  • Kuruluşun bordro departmanında onay verme ve işleme yetkisine sahip bir personel iş arkadaşlarının maaşını artırabilir.
  • Kod yazma, üretime taşıma ve çalıştırma yetkisine sahip bir programcı iç sistem geliştirme prosedürlerini atlayarak yanlışlıkla veya kasıtlı olarak hatalı veya kötü amaçlı yazılım üretebilir.

Aynı kişi genel olarak aşağıdaki işlevleri yerine getirmemelidir.

  • Sistem Yönetimi
  • Ağ Yönetimi
  • Güvenlik Yönetimi
  • Güvenlik Denetimi
  • Değişiklik Yönetimi
  • Sistem Geliştirme ve Bakımı

 

C.3) En Az Yetki Prensibi (Principle of Least Privilege)

En az ayrıcalık, kullanıcılara yalnızca iş ihtiyacı gereği yerine getirmeleri için gereken erişimlerin verilmesini ifade eder. Bu sebeple “Minimum Necessary Access” olarak da adlandırılabilir. En az yetki prensibine göre, kullanıcılara ilk yetki provizsyonlaması (“Entitlement”) yapıldığında varsayılan olarak hiç bir yetki (“No Access” olmalı) tanımlanmamalıdır.

Not: Bazı çalışanlar, iş ihtiyaçlarına bağlı olarak diğerlerinden daha fazla erişime ihtiyaç duyabilir. Örneğin,

  • Bir ana bilgisayarda veri girişi yapan bir kişi (bankalardaki gişeci gibi) sistemin internet erişimine veya sisteme girdiği bilgilerle ilgili raporları çalıştırma yetkisine ihtiyacı olmayabilir.
  • Bir uzmanın raporları çalıştırma ihtiyacı olabilir, ancak veritabanındaki bilgileri değiştirme yetkisine sahip olmamalıdır.

 

C.4) Bilinmesi Gereken Prensibi (Principle of Need to Know)

Bu prensip, bir kullanıcının, ihtiyacı olan bilginin ihtiyacı olan kadar kısmını bilmesi olarak tanımlanabilir.

 

C.5) Zorunlu Tatiller

Personeller, zorunlu 1 ya da 2 haftalık izin kullanmaya zorlanarak, benzer pozisyonda farklı bir kişinin çalışması, önceki çalışanın yaptığı yetkiyi kötüye kullanma, dolandırıcılık ve ihmal durumlarını ortaya çıkartmada yardımcı olur.

 

D) Personel Fesih Süreçleri

Bir kurumda çalışanlar personeller kuruluştan istifa, emeklilik, sebepli veya sebepsiz fesih, yer değiştirme gibi nedenlerle ayrılabilirler. İş süreçlerinin sonlandırılması esnasında İnsan Kaynakları ile Güvenlik Birimi arasında koordinasyon sağlanmalıdır. İş süreci sonlandırma için uygun bir fesih süreci ve politikası tasarlanmalıdır.

İşten ayrılmalar normal bir şekilde olabileceği gibi normal olmayan bir şekilde de gerçekleşebilir.

  • Normal fesih işlemlerinde standart olarak İnsan Kaynakları birimi tarafından gerçekleştirilen prosedürler uygulanır.Çalışanın kullandığı kimlik kartları, bilgisayarlar, kriptografik anahtarlar, telefon kartları vb. gibi kuruluşa ait varlıklar toplanır. Fesih işlemi en az bir tanık, tercihen daha üst seviye yönetici ve/veya güvenlik görevlisi eşliğinde yapılmalıdır. Bildirim sonrasında, işten ayrılan personelin yanında refakat eden bir görevli olmadan çalışma alanlarına geri döndürülmemelidir.Çalışan ile çıkış görüşmesi gerçekleştirilir.Bu görüşmede bilgilerin gizliliği ile sorumlulukların devam ettiği konusuna da değinilmelidir. Yetkili yöneticiler tarafından personelin tüm sistemler,platformlar ve tesisler için erişimleri iptal edilir. İş fesihlerinin hafta ortasında, gün sonunda yapılması tercihen daha uygundur.
  • Normal olmayan fesihler, personel işten atıldığında, istemsizce yeri değiştirildiğinde veya kuruluş tarafından kişinin sisteme zarar verme ihtimali olduğunu düşünüldüğünde gerçekleşebilir. Sistem yöneticileri, yazılımcılar, veritabanı yöneticileri veya yüksek ayrıcalıklara sahip personeller için bu durum daha risklidir. Bu kişiler dosyaları değiştirebilir, sistemlerde hasar oluşturabilir veya hassas bilgileri ortadan kaldırabilirler. Böyle durumlarda, fesih işlemleriyle ilgili personele bildirim yapılmadan önce personelin sistemlere erişimi iptal edilmeli ve sonrasında standart işlemler uygulanmalıdır.

 

E) Vendör, Danışman ve Yüklenici Kontrolleri

İş ortakları ve diğer 3. parti şahıslar da genel olarak çalışması için personellerini kuruluşta görevlendirebilir. Bu nedenle kuruluşlar hassas bilgilerin kaybını önlemek ve bu kişilerin kasıtlı veya kasıtsız olarak kuruluşa verebileceği herhangi bir zararı önlemeli veya en aza indirmeye çalışmalıdır.

Önlemlerle ilgili kuruluş ve 3. partilerin ilişkisine bağlı olarak çeşitli yaklaşımlar bulunmaktadır.

  • 3.parti personel nadiren kurumda bulunuyor veya sistemlere erişiyor fakat admin erişimlere sahip ise;
    • Kişi kurumda çalışırken yaptığı işlemlere refakat edilmelidir.
    • Çalışanın yaptığı tüm işlemler izlenmeli ve kaydedilmelidir.
    • Çalışan ve çalışanın kuruluşu tarafından gizlilik sözleşmesi imzalanmış olmalıdır.
    • Çalışanla ilgili kimlik doğrulama işlemleri yapılmalıdır.
  • 3.parti personel kurumda daha sık kurumda bulunuyor ve admin erişimlere sahipse;
    • Çalışan ile ilgili geçmiş araştırması yapılmalıdır.
    • Çalışanın yaptığı tüm işlemler izlenmeli ve kaydedilmelidir.
    • Çalışan ve çalışanın kuruluşu tarafından gizlilik sözleşmesi imzalanmış olmalıdır.
    • Çalışanla ilgili kimlik doğrulama işlemleri yapılmalıdır.
  • Kurumda bulunan süre dikkate alınmaksızın 3.parti personelin hassas bilgilere erişim var ise;
    • Çalışanın yaptığı tüm işlemler izlenmeli ve kaydedilmelidir.
    • Çalışan ve çalışanın kuruluşu tarafından gizlilik sözleşmesi imzalanmış olmalıdır.

3.partilerin dikkatli şekilde taranması sadece uygun ve yetkili kişilerin kuruluşa ve sistemlere erişmesine yardımcı olmaktadır. Kurum sistemlerine başarılı sızma işlemlerinin çoğu aslında saldırgan olan vendörler veya 3.parti destek/bakım elemanları tarafından gerçekleştirilen kısa süreli çalışmalarda meydana gelmektedir.

 

Downstream Liability olarak adlandırılan sözleşme kapsamında, birlikte çalışan kuruluşların bilgi güvenliği yönetimi ve uygulanan güvenlik kontrollerinden sorumlu olması sağlanır.

 

F) Bilgi Güvenliği Eğitimleri ve Farkındalık

Bilgi güvenliği farkındalığı, kuruluş içindeki güvenlik politikalarının önemi ve personelin bu politikalara nasıl uyacağı konusunda yardımcı olmaktır.

Güvenlik farkındalığı eğitimleri ile personeller rolleri ve rolleriyle ilgili bilgi güvenliği gereksinimleri hakkında bilgilendirililer.

Ayrıca farkındalık eğitimleri ile kurum çalışanları gizlilik, bütünlük, erişilebilirlik gibi temel bilgi güvenliği ihtiyaçları hakkında bilinçlendirilir ve bilgi güvenliğini tehdit eden unsurları, açıklıkları ve riskleri yönetebilmek, kontroller hakkında bilgi edinmek amaçlanır.

 

Güvenlik farkındalığı eğitiminin kapsayacağı birçok konu olabileceği gibi temel konular aşağıdadır.

  • Kurumsal güvenlik politikaları
  • Kuruluşun güvenlik programı
  • Kuruluş için yasal mevzuatlara uygunluk
  • Sosyal mühendislik
  • İş sürekliliği ve felaket kurtarma
  • Acil durum yönetimi
  • Güvenlik ihlal olayları yanıtı
  • Veri sınıflandırması
  • Bilgi etiketleme ve işleme
  • Personel güvenliği
  • Fiziksel güvenlik
  • Risk değerlendirmesi
  • Gizli kimlik doğrulama bilgilerinin kullanımı

 

Bilgi güvenliği farkındalığını artırmak için kullanılan bazı yöntemler aşağıdadır.

  • Slaytlar veya kitaplar gibi gerekli materyaller kullanılarak düzenlenen sınıf içi veya online eğitimler,
  • Parola güvenliği, fiziksel güvenlik, personel güvenliği vb. konularla ilgili hazırlanan dikkat çekici posterler,
  • Temiz masa temiz ekran politikası ile ilgili bildirimler ve denetimler,
  • Güncel bilgi güvenliği olayları ile ilgili haftalık veya aylık olarak düzenli bildirimler yapmak,
  • Çalışanlara güvenlik farkındalığı ile ilgili iletişime geçmesi için mentor atanması,
  • Kazananların takdir edildiği ve ödüller kazandığı güvenlik etkinlikleri

 

Not: “Training” ve “Awareness” birbirine benzese de farklı anlamları vardır.

  • “Training” öğretme amaçlıdır. Bir cihazın nasıl güvenilir olarak yapılandırılacağını öğretmek için bu terim kullanılabilir.
  • “Awareness ise davranışı değiştirme amaçlıdır. Mail üzerinde gelen ve güvenilir olmayan bir bağlantıya niye tıklamaması gerektiğini öğretmek için bu terim kullanılabilir.

 

Kaynaklar:

https://www.amazon.com/CISSP-Study-Guide-Eric-Conrad/dp/0128024372
https://www.amazon.com/Official-ISC-Guide-CISSP-Fourth/dp/1482262754

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.