COVID-19 Döneminde Temel Gizliliği Korumanın Yolları

Pandemi süresince yaşanan siber saldırılar dijital varlıkları tehdit etmeye devam ederken, pek çok kurum ve şirket kritik verilerin gizliliğini korumanın yollarını arıyor. İşin başında da operasyon güvenliği (OPSEC) geliyor elbette. OPSEC, düşmanların istihbarata erişme olanağı olup olmadığının belirlenmesi için kritik bilgilerin tanımlanmasıyla ilgili oluşturulmuş bir yaklaşım ve disiplindir. Bu düşmanların elde ettiği bilgilerin kendileri için yararlı olup olmayacağını ve riskleri ele alan seçilmiş önlemleri nasıl uygulayacaklarını belirler.

OPSEC, onlarca yıldır devlet kurumlarının siber güvenlik tutumunun önemli bir parçası olmuş, ancak son zamanlarda küresel pandeminin açığa çıkardığı yeni güvenlik açıkları ve örneğin ABD'de “izinli” olanlar ve son derece hassas bilgilere erişim ihtiyacı duyanlar dâhil olmak üzere insanların nerede ve nasıl çalıştığına ilişkin büyük değişiklikler göz önüne alındığında daha yoğun bir hızlanma yaşamıştır.

Bu zorunlu sosyal mesafe ve uzaktan çalışan kişi sayısındaki beklenmedik ve ani artış esnasında, en kıdemli ordu, hükümet ve görev açısından kritik kurumsal liderler, yeni tehditler, göstergeler ve zorluklar büyüdükçe OPSEC programlarını güçlendirmeye yatırım yapıyor.

Hükümet yöneticileri de dâhil olmak üzere liderler, mevcut OPSEC politikalarının sürekli olarak güncel ve yeterli olmasını sağlamalıdır. Günümüzde bunun yolu büyük ve geri döndürülemez zararları önlemek amacıyla yeni önlemler geliştirmek ve uygulamak için uzmanlarla birlikte çalışmaktan da geçiyor.

Liderlerin, kesintiler veya felaketler yaşanmadan görevlerine devam edebilmek için riski azaltmasının ve uyumluluğu sağlamasının bazı yolları bulunuyor. Gelin bu yollardan birkaçını inceleyelim:

1. Özel bir OPSEC rehberliği edinin: Küresel pandemi “sıradan bir mesele” değildir ve kurallar, politikalar ve prosedürler, tehdit seviyeleri ve yönelimler hakkındaki yeni istihbarata dayalı olarak değişmelidir ve değişecektir.
2. Eğitimler verin: Eğitim artık “yılda bir kez” yapılan bir çalışma değil, ekip üyelerinin sürekli olarak değişen koşullar ve öncelikler konusunda bilinçlendirildiği, devam eden bir süreç olmalıdır.
3. Şifrelemeyi mutlaka sağlayın: Veri güvenliğini artımanıza yarayacak bu işlem, okunabilir metni karmaşık bir hale getirerek yüksek seviye koruma sağlar. Böylece metin yalnızca gizli koda veya şifre çözme anahtarına sahip olan kişi tarafından okunabilir ve kesintisiz koruma imkânı sunar.
4. En iyi yöntemleri takip edin: Oturmuş bir OPSEC süreci şu beş adımı içerir: (1) kritik bilgileri belirleme, (2) tehdidi belirleme, (3) güvenlik açıklarını değerlendirme, (4) riski analiz etme, (5) karşı önlemler geliştirme ve uygulama. Yöneticiler kendi programlarını oluşturmak ve sürekli iyileştirmek için bunu bir çerçeve olarak
5. Ayrıcalıklı Erişim Yönetimi (Privileged Access Management - PAM)’nden yararlanarak kuruluşların “Kritik Bilgiler” listesini ve son kullanıcı politikalarını koruyun ve güncelleyin: Pek çok kontrol alanında var olan doğal güven ve ayrıcalık nedeniyle, erişim kontrolünün sadece operasyonel ortamdaki kullanıcılara uygulanması yetersizdir, her bir cihaz ve her cihazla ilişkili bilgiler ele alınmalıdır.

Multi-cloud ortamlarında çalışan ve hem mobil, hem de sabit varlıklarla çalışmak üzere tasarlanmış olan Ayrıcalıklı Erişim Yönetimi (PAM), özellikle bu zorlu zamanlarda OPSEC'in gelişimi için verimli bir sonuç elde etmenizi sağlar.

Kontrol sistemlerinin birbirine bağlı doğasının ve birçok kontrol cihazının sahip olduğu doğal yeteneklerin doğrulanması için, bir siber OPSEC planının herhangi bir erişim kontrol işlevi geliştirilirken tüm bileşenlerin değerlendirilmesi gerekir. Peki bunlar nelerdir?

Ayrıcalıklı Erişim Yönetimi (PAM)'nin temel prensipleri şunlardır:

• Kullanıcı erişimini ve kullanıcı sorumluluğunu yönetme
• Erişim kontrolü için iş gereksinimlerini yönetme
• İşletim sistemi erişim kontrolünü izleme
• Aygıt erişim kontrolünü yönetme
• Mobil bilgi işlemeyi kontrol etme (Uzak konum farkındalığı, etkinlikler ve davranışlar dahil)

Daha üstün bir güvenlik ve operasyonel verimlilik sağlamanın yolları bu prensipleri otomatik hale getirmekten geçiyor. Bunun için dünyanın sayılı Ayrıcalıklı Erişim Yönetimi (PAM) ürünlerinden Single Connect’ten yararlanabilir, üstün özellikleri ile güvenlik seviyenizi yukarı taşıyabilirsiniz. Bu konuda daha fazla bilgi almak için siber güvenlik ürünlerimizi inceleyebilir, bizimle iletişime geçebilirsiniz.