Kötü niyetli girişim ve siber saldırı politikası
Bilgi Güvenliği Yönetim Sistemi, kısaca BGYS olarak adlandırdığımız ISO 27001 Bilgi Güvenliği Yönetim Standardı danışmanlığımız sırasında çok karşılaştığımız sorunlardan biri de kötü niyetli girişimler ve siber saldırı politikasının yeterince anlaşılamamış olmasıdır. Bu politikanın amacı kötü niyetli girişimler ve siber saldırılara karşı bir genel yaklaşım sergilemek ve politika oluşturmaktır. Politika oluşturmanın temel amacı: Kurumun virüs, solucan, truva atı gibi zararlı yazılımlara karşı alınacak önlemleri ve atılacak adımları tanımlamaktadır.
Siber saldırılara karşı siber güvenlik önlemleri için teknoloji ve yazılım önerileri
Kötü niyetli girişimler ve siber saldırı politikalarının kapsam genellikle şöyle tarif edilir: Bu politikanın kapsamı , kurumu hedef alan kötücül kod ve yazılımların ve bunların etkili olduğu bilişim ortamlarının tamamını kapsar, denilmektedir. Kötü niyetli girişimler ve siber saldırılar karşısında kuruma ait bilgisayarlar ve diğer akıllı cihazlar, BT bölümlerinin planladığı ve hayata geçirdiği bilişim ve yazılım çözümleri ile korumaya alınır. Bunlar arasında firewall, UTM, antivirüs programlaraı, sand box, honey pod'lar olabilir.
Bilgi güvenliği, siber güvenlik tehditleri karşısında uyanık olmalıyız
Bilgi güvenliği, siber güvenlik tehditlerine karşı taşınabilir bilgisayarları, taşınabilir diğer bilgi depolama ortamlarını mutlaka denetim altında tutmalıyız. Çalışanlarımız bilgi güvenliği, siber güvenlik tehditleri konusunda uyarılmalı ve kesinlikle, kaynağı bilinmeyen elektronik iletiler, mesajlar ve her türlü ekli kaynakların açılmaması gerektiği eğitimlerle veya diğer bilgilendirme araçlarıyla anlatılmadır. Tüm bunlara rağmen bilgi güvenliğine, siber güvenlik önlemlerine, ISO 27001 standartlarına uygun davranmayanlar uyarılmadır.
VMİ Danışmanlık ve ISO27001 danışmanlığı hizmetleri
ISO 27001 danışmanlığımız sırasında saha öğrendiklerimiz bize gösteriyor ki: Çalışanlar e-postalar konusunda çok hassas değiller, kolaylıkla linklere tıklama eğilimindeler hal böyle olunca "oltalama" saldırıları yaygınlaşıyor. BT veya IT olarak ifade edilen bölümlerdeki ilgili çalışanlar da çalışanları siber güvenlik tehditleri çalışanlara anlatmak ve onları bilgilendirmek zorundadırlar. Çalışanlar da bilgi işlem birimleri tarafından duyurulan siber saldırılarla karşı hassas davranmak zorundadırlar. Bilgi güvenliği, siber güvenlik çalışmalarına uyumlu davranış geliştirmemekte ısrar eden, ISO 27001 Bilgi Güvenliği Yönetim Sistemi BGYS kurallarına uymayanlar için disiplin süreçleri işletilmelidir.
Kötücül girişimler ve siber saldırı politikasının başarılı olabilmesi için, iş ve işlemleri, davranışlarımızı düşünce yapımızı olumlu yönde değiştirmek için çabalamalı ve yenilikleri takip etmeliyiz.