“Güvenli ‘Uzaktan Çalışma’ Kuralları” başlıklı rehberde, uzaktan çalışma yolu kullanan Amel yerleri, kurumlar ve işçi için dikkat edilmesi gereken konular, alınması gereken önlemler ve en âlâ uygulama örneklerine yer verildi.
Buna nazaran, uzaktan çalışma usulünü uygulayan kurumlar ve sistem yöneticileri tarafından Emniyet ve çalışma şartlarına ait risklerin belirlenmesi ve minimize edilerek uzaktan çalışma şartlarının oluşturulması için teknik ve idari çalışanın içinde bulunduğu bir çalışma kümesinin oluşturulması Ehemmiyet taşıyor.
Uzaktan erişime açılamayacak derecede kritik hizmetlerin risk değerlendirmelerinin yapılması gerekiyor.
Uzaktan erişime Müsait olmayan kritik hizmetler ve kaynaklar için önceliklendirme yapılması, kâfi sayıda çalışanın yedekli biçimde Amel yerinde bulundurulması ve görevlendirilmesi atılması gereken adımlar ortasında bulunuyor.
Uzaktan çalışan bütün çalışana Özellikle kuvvetli parola kullanımı, toplumsal mühendislik hücumları ve Emniyet yazılımları hakkında farkındalık eğitimi verilmesi ve oryantasyon yapılması Ehemmiyet taşıyor.
Uzaktan erişim için VPN yahut uzaktan Yönetim servisi (RDP, SSH ve benzeri) kullanılması durumunda, ilgili sistemlerin en güncel/stabil/güvenli versiyonunun kullanılması öneriliyor.
Sistemlerin desteklediği bütün Emniyet tedbirlerinin hakikat ve tam formda yapılandırılması, üretilen iz kayıtlarının (logların) mümkün bir saldırıyı tespit edecek halde tertipli kayıt altına alınması, yetkisiz erişim, kaba Kuvvet (brute force) taarruzları ve gibisi anomalilerin tespiti için alarm düzenekleri oluşturulması gerekiyor.
Ayrıca yetkilerin “en az Gerekli yetki (least privileged access)” prensibine Müsait verilmesi, sistemler üzerinde azamî temas mühleti için bir Vakit aşımı tanımlanması, uzaktan çalışma boyunca tanımlanan kuralların süreksiz müddetliğine oluşturulması, Mümkün olduğu durumlarda uzaktan kontaklar için “kaynak IP” kısıtlaması yapılması, erişimler için Fazla faktörlü kimlik doğrulama ve Vakit bazlı yetkilendirme tedbirleri alınması, uzaktan çalışan işçi için Emniyet tedbirleri alınmış sistemler/bilgisayarlar verilmesi, risk değerlendirmesine nazaran uzaktan erişimin tanımlanmaması gereken hiçbir kritik sisteme erişim için müsaade verilmediğinden emin olunması Ehemmiyet taşıyor.
Çalışanlara yönelik ikazlar
Rehberde, uzaktan çalışan işçi tarafından alınması gereken tedbirlere de yer verildi.
Buna nazaran, uzaktan çalışma için kullanılan sistemlerde (PC, lap top, tablet, telefon ve benzeri) Gerekli Emniyet yazılımlarının yüklendiğinden, aktüel yazılımların kullanıldığından, ziyanlı yazılım bulunmadığından emin olunması gerekiyor.
Uzaktan çalışma sırasında dahi olsa, Kurum dışına rastgele bir kritik bilginin çıkarılmaması ve kaydedilmemesi Ehemmiyet taşıyor.
Dışarıya çıkarılması mecburî, kritik olmayan dataların, kopyalandığı yahut taşındığı sistemlerin takip edilmesi, Laf konusu bilgilerin güvenliğinin sağlanması öneriliyor.
Bağlantının Aka bir çoğunluğunun kablosuz modemler ile yapılacağı varsayıldığında, kablosuz modemler üzerinde WPA/WPA2 protokolünün kullanılması, Mac adresi filtreleme, SSID gizleme üzere tedbirlerin alınması ikazlarında bulunuluyor.
Yorum Yok