Kullanıcı Politikaları Neden Gereklidir?

Sistemlerin yanlış kullanımı birçok kurum için büyük bir sorun haline gelmektedir. Problemin büyük bir kısmı, yanlış kullanımın net olarak tanımlama zorluğundan kaynaklanmaktadır. Kişisel işler için şirket bilgisayarı kullanmak veya yasak web sitelerini ziyaret etmek, crackli yazılım indirmek / kurmak gibi şirket bilgisayarları kullanarak yapılan birçok hareket ağır sonuçlarla karşılaşmamıza neden olabilir.

Elbette ki siber saldırıya maruz kalınabilecek durumların dışında yine kişisel kullanımlarda “bir araba hakkında bilgi arayan” ve bunun için öğle yemeği saatini kullanan bir çalışan için de kullanıcı politikalarında gri alanlar bulunabilir.

Genel olarak, kullanıcı politikaları kurum çalışanlarının sistemleri nasıl kullanabileceğini ve nasıl kullanamayacağını açıklar. Bir politikanın etkili olabilmesi için de çok açık ve oldukça spesifik olarak tanımlanması gerekir. Aralarda kalan gri noktalar ise hem çalışanlar için hem de kurumlar için içinden çıkılmayacak durumlara yol açmaktadır.

Her kuruluşun, kurum genelinde adil bir şekilde uygulanacak belirli politikaları olmalıdır. Bir önceki örnekte, “bilgisayarlar ve Internet erişimi yalnızca iş amaçlıdır” genel ifadesini kullanmak sorunlu bir durumdur. Şirket bilgisayarıyla “kişisel e-postasını kontrol etmek” için sadece birkaç dakika süren bir çalışanınız olduğunu varsayın. Bunun kabul edilebilir olduğuna karar veriyorsunuz ve politikayı uygulamamayı seçiyorsunuz. Daha sonra başka bir çalışan günde iki ya da üç saat internette sörf yapıyor ve şirket politikasını ihlal ettiği için onu kovuyorsunuz. Bu durum kanunların gözünde de yanlıştır ve çalışan karşı dava açabilir. Çalışanlara boş vakitlerinde kişisel kullanıma izin verdiğiniz durumlarda da, kişinin şahsi e-postasına gelen bir fidye virüsünü indirip çalıştırması maalesef ki büyük maddi kayıplara da neden olabilir.

Potansiyel yanlış kullanım için diğer alanlar da parola paylaşımı, verilerin kopyalanması, çalışanlar öğle yemeğine giderken oturumları açık bırakma gibi durumlar, kullanıcı politikaları tarafından kapsanmaktadır. Tüm bu sorunların sonuçta ağınızın güvenliği üzerinde önemli bir etkisi vardır ve kullanıcı politikalarınızda açıkça belirtilmelidir. 

Etkili Kullanıcı Politikaları

  • Şifreler
  • internet kullanımı
  • Email ekleri
  • Yazılım yükleme ve kaldırma
  • Anlık mesajlaşma
  • Masaüstü yapılandırması
  • KCG

Şifreler ve Parolalar

Parolaları güvende tutmak çok önemlidir. Uygun şifreler işletim sistemi sıkılaştırmasının bir parçasıdır. Geçmişte iyi bir parolanın altı ila sekiz karakter uzunluğunda, sayılar ve özel karakterler ve son kullanıcıyla hiçbir ilgisi olmayan bir şifre olarak tanımlandığını biliyoruz.

Örneğin, bir kullanıcı “seniseviyorum” veya “canavarlar” gibi bir şifre kullandığında kendisi uyarılarak “K%t1fPe987” gibi bir şifre kullanması önerilir. Çünkü bunlar kişinin kişisel beğenilerini yansıtmaz ve kolayca tahmin edilemez. Ancak “seniseviyorum” gibi bir parola tanımlamak, her zaman siber saldırganlar için büyük bir fırsat niteliğindedir.

Minimum şifre uzunluğu, şifre geçmişi ve şifre karmaşıklığı gibi durumlar, kullanıcı politikaları yerine yönetim politikaları kapsamındadır. Bu karmaşıklık gereksinimleri hala iyi önerilerdir. Ancak bugünkü dünyada 12 karakter veya daha uzun şifreleri göz önünde bulundurmak gerekiyor.

Kullanıcı politikaları, son kullanıcının nasıl davranması gerektiğini belirler. 

Parolası hatırlayamadığı için Post-it notunda yazıyorsa ve bilgisayar monitörüne yapışmışsa, ne kadar uzun veya ne kadar karmaşık olursa olsun hiçbir şekilde güvenli olmayacaktır. Bu bariz görünebilir, bir ofise girip monitörde veya masanın üst çekmecesinde bir parola bulmak hiç de nadir değildir. Her ziyaretçi veya hizmetli yani ofisten geçen herkes bu şifreyi alabilir.

Parolalarını paylaşan çalışanları görmek de yaygın bir durumdur. Örneğin, bir çalışan şehir dışına çıkacak, bu yüzden parolasını yan masasındaki arkadaşına veriyor. Böylece arkadaşı onun sistemine girebiliyor, e-postayı kontrol edebiliyor ve böyle devam edebiliyor. Sorun şu ki, iki kişi bu parolaya sahip ve üçüncü bir kişi ile bu parolanın paylaşılması riski daha da artıracaktır. Bir parolanın o kadar çok insana ulaşması güvenlik açısından hiç kullanışlı olmayacaktır.

Minimum şifre uzunluğu, şifre yaşı, şifre geçmişi gibi konular yönetim politikalarıdır. Sistem yöneticileri bu gereksinimleri zorlayabilir. Ancak kullanıcılar şifrelerini güvenli bir şekilde yönetmezlerse, bunların hiçbiri yararlı olmayacaktır.

Tüm bunlar, kullanıcıların şifrelerini nasıl koruduğuna ilişkin açık politikalara ihtiyacınız olduğu anlamına gelir. Bu politikalar şunları belirtmelidir.

  • Şifreler hiçbir zaman erişilebilir herhangi bir yere yazılmamalıdır. 
  • Parolalar hiçbir zaman herhangi bir kişiyle paylaşılmamalıdır.
  • Bir çalışan şifresinin ele geçirildiğine inanıyorsa, şifresinin değiştirilebilmesi ve eski şifreyle oturum açma girişimlerinin izlenebilmesi ve izlenebilmesi için derhal BT departmanına başvurmalıdır.

Karmaşıklık gereksinimleri sözlük saldırılarını (sözlükten sözcükler kullanarak) ve tahmin etmeyi önler. Windows’da bir parola seçtiğinizde, bu parola bir SAM dosyasında karma biçimde saklanır. Bu nedenle, giriş yaptığınızda, Windows yazdığınız her şeyi hash eder ve SAM dosyasındakiyle karşılaştırır. Eğer uyuyorlarsa, yetki vererek içeri alır.

Parolaları karma yapmak, gökkuşağı tablosu adı verilen ilginç bir hack tekniğinin kullanılmasına yol açar. Gökkuşağı (Rainbow) tablosu, belirli bir boyuta kadar bir parolada kullanılmış olabilecek tüm tuş kombinasyonlarının olası karmaları içerir. Örneğin, tüm tek karakterli kombinasyonlar karmalanır, tüm iki karakterli kombinasyonlar karmalanır… SAM dosyasını alırsanız gökkuşağı tablosunu herhangi bir eşleşme için arayabilirsiniz. Bir eşleşme bulursanız, ilişkili düz metin parola karşınızdadır. OphCrack gibi araçlar Linux ile önyükleme yapar ve sonra SAM dosyasına karşı bir gökkuşağı tablosu çalıştırır. Ancak, daha büyük gökkuşağı tabloları hantaldır. Mevcut gökkuşağı tabloları 20 veya daha fazla karakterden oluşan parolaları işlemek teknik zorlukları karşınıza çıkarır.

İnternet Kullanım Politikası

Çoğu kurum kullanıcılara internet erişimi sağlar. Bunun en açık nedeni e-posta ile kurum içi / dışı iletişimdir. Ancak, bir işte İnternet erişimine sahip olmanın riskleri de vardır. Webde surf yapabilirler, internette sohbet odalarını kullanabilirler. Bunların hepsi herhangi bir kurum içinde meşru amaçlarla kullanılabilir. Ancak ciddi güvenlik sorunları da beraberinde gelecektir. Bu teknolojilerin kullanımını yönetmek için uygun politikalar kullanılmalıdır.

Web muazzam bir veri zenginliği için harika bir kaynaktır. İnternet ayrıca çeşitli teknolojilerle ilgili faydalı eğitimlerle doludur. Ancak, teknolojiyle ilgili olmayan ticari çıkarlara bile web üzerinde bulunabilir. Aşağıda, web’in yasal ticari kullanımlarına ilişkin birkaç örnek verilmiştir.

  • Bir ürün veya hizmetin satış hesapları için rakip web sitelerini kontrol eden satış personeli
  • İşletme finansal derecelendirmelerinin nasıl bir performans gösterdiğini görmek için bir işletmenin AM Best veya Standard ve Poor’s derecelendirmesini kontrol eden krediciler.
  • Hava koşullarını kontrol eden ve seyahat için fiyat alan iş seyahati…

Tabii ki, diğer web etkinlikleri bir şirketin ağında açıkça uygun değildir:

  • Yeni bir iş aramak için web’i kullanma
  • Herhangi bir pornografik kullanım
  • Yerel, eyalet veya federal yasaları ihlal eden her türlü kullanım
  • Web’in çalışanın kendi işini yürütmesi için kullanılması..

Ayrıca gri alanlar vardır. Bazı faaliyetler bazı kuruluşlar tarafından kabul edilebilir, ancak diğer kuruluşlar tarafından kabul edilemez. Bu tür faaliyetler şunları içerebilir:

  • Çalışanın öğle veya mola süresi boyunca çevrimiçi alışveriş yapması
  • Haber makalelerini öğle veya mola sırasında çevrimiçi okuma
  • Mizahi web sitelerini görüntüleme
  • Video izlemek

Bir kişinin saçma sapan bir şey olarak göreceği şey başka biri için uygun olmayabilir. Herhangi bir kuruluşun, işyerinde webin ne olduğunu ve neyin kabul edilemez kullanımını ayrıntılı olarak açıklayan çok açık politikaları olması çok önemlidir. Neyin kabul edilebilir ve neyin kullanılmadığına dair net örnekler vermek önemlidir. Ayrıca, çoğu proxy sunucusunun ve birçok güvenlik duvarının belirli web sitelerini engelleyebileceğini unutmayın. Bu, çalışanların şirketin web bağlantısını kötüye kullanmasını önlemeye yardımcı olacaktır.

E-Posta Ekleri

Artık çoğu iş ve hatta akademik çalışmalar bile e-posta yoluyla gerçekleşir. Önceki birkaç bölümde tartıştığımız gibi, e-posta virüs dağıtımı için de birincil araç haline gelmiştir. Bu, e-posta güvenliğinin herhangi bir ağ yöneticisi için önemli bir sorun olduğu gösterir.

Açıkçası tüm e-posta eklerini yasaklayamazsınız. Ancak, e-posta eklerinin nasıl işleneceğine ilişkin bazı yönergeler oluşturabilirsiniz. Kullanıcılar bir eki yalnızca aşağıdaki ölçütleri karşılıyorsa açmalıdır.

  • Beklenen ekler. (Yani, kullanıcı bazı meslektaşlarından veya müşterilerden belge talebi üzerine)
  • Beklenmediyse, bilinen bir kaynaktan gelmesidir. Eğer öyleyse, önce o kişiyle iletişime geçin ve eki gönderip göndermediklerini sorun. 
  • Meşru bir iş belgesi (bir tablo, bir belge, bir sunum…) gibi.

Bazı insanların bu tür kriterleri gerçekçi bulamayabileceği belirtilmelidir. Rahatsız edici oldukları soru yok. Bununla birlikte, genellikle e-postaya eklenen virüslerin yaygınlığı ile bu önlemler mantıklıdır. Birçok insan virüslerden kaçınmak için bu seviyeye gitmemeyi tercih eder ve bu da sizin seçiminiz olabilir. Her yıl milyonlarca bilgisayara bir tür virüs bulaştığını unutmayın.

Hiç kimse aşağıdaki kriterlerden herhangi birini karşılayan bir ek açmamalıdır:

  • Bilinmeyen bir kaynaktan geliyorsa.
  • Bazı etkin kod veya yürütülebilirse.
  • Bir animasyon / film içeriyorsa.
  • E-postanın kendisi meşru görünmüyorsa.

Son kullanıcının herhangi bir şüphesi varsa, e-postayı açmamalıdır. Bunun yerine, BT departmanında güvenliği ele almak üzere atanmış biriyle temasa geçmelidir. Bu kişi daha sonra e-posta konu satırını bilinen virüslerle karşılaştırabilir veya e-postayı bizzat kontrol edebilir. 

Yazılım Yükleme ve Kaldırma

Bu nokta kesin bir cevabı olan bir konudur. Son kullanıcıların duvar kağıtları, ekran koruyucular, yardımcı programlar da dahil olmak üzere makinelerine hiçbir şey yüklemelerine izin verilmemelidir. En iyi yaklaşım, hiçbir şey yükleyemeyecekleri şekilde yönetici ayrıcalıklarını sınırlamaktır. Bununla birlikte, kullanıcıların bilgisayarlarına herhangi bir şeyin yüklenmesini yasaklayan güçlü bir politika bildirimi ile birleştirilmelidir. Bir şey kurmak isterse, önce BT departmanı tarafından taranmalı ve onaylanmalıdır. 

Bu süreç hantal olabilir, ancak gereklidir. Bazı kuruluşlar ortam sürücülerini (optik sürücü, USB gibi) son kullanıcıların bilgisayarlarından kaldıracak kadar ileri giderler, böylece kurulumlar yalnızca BT departmanının bir ağ sürücüsüne koyduğu dosyalardan gerçekleşebilir. 

Anlık Mesajlaşma

Anlık mesajlaşma, şirketler ve kuruluşlardaki çalışanlar tarafından da yaygın olarak kullanılmaktadır. Bazı durumlarda, anlık mesajlaşma meşru ticari amaçlar için kullanılabilir. Ancak, önemli bir güvenlik riski oluşturmaktadır. Özellikle anlık mesajlaşma yoluyla yayılan virüsler olduğunu da unutmamalıyız. Bir siber olayda virüs, kullanıcının arkadaş listesindeki herkesi tüm konuşmaların içeriği ile kopyalar. Böylece, kullanıcının özel olduğunu düşündüğü bir konuşma, kullanıcının mesajlaştığı herkese yayılabilmektedir.

Anlık mesajlaşma da bilgi güvenliği açısından bir tehdittir. Kurumsal e-posta sunucusundan geçen bir e-postanın izlenebilirliği olmadan, hiçbir şey son kullanıcının ticari sırları veya diğer gizli bilgileri fark edilmeden anında iletmesini engellemez. Bir kuruluştaki tüm bilgisayarlardan anlık mesajlaşmanın yasaklanması önerilir. Kuruluşunuzun kesinlikle kullanması gerektiğini düşünüyorsanız, kullanımı için çok katı kurallar belirlemelisiniz.

  • Anlık mesajlaşma yalnızca iş iletişimi için kullanılabilir, kişisel görüşme yapılmaz. Kişisel web taramasını yasaklamak gibi daha yaygın kuralların uygulanması da oldukça zordur.
  • Anlık mesajlaşma yoluyla hiçbir gizli veya özel işletme bilgisi gönderilmemelidir.

Masaüstü Yapılandırması

Birçok kullanıcı masaüstünü yeniden yapılandırmayı sever. Arka plan, ekran koruyucuyu, yazı tipi boyutunu, çözünürlüğü gibi özellikleri değiştirmek isteyebilir. Teorik olarak, bu bir güvenlik tehlikesi yoktur. Yalnızca bir bilgisayarın arka plan resmini değiştirmek bilgisayarın güvenliğini tehlikeye atamaz. 

Ancak ilk sorun, arka plan resminin nereden geldiğidir. Sıklıkla son kullanıcılar, özellikle gizli bir uzantı kullanarak bir virüs veya Truva atı almak için bir fırsat yaratarak İnternet’ten görüntü indirebilir.

İkinci sorun tekniktir. Bir kullanıcıya ekran koruyucuları, arka plan görüntülerini ve çözünürlüğü değiştirme erişimi vermek için, değiştirilmesini istemeyebileceğiniz diğer sistem ayarlarını değiştirmeye de izin veren haklar vermelisiniz. Grafik ekran seçenekleri diğer tüm yapılandırma seçeneklerinden ayrılmaz. Bu, kullanıcının ekran koruyucusunu değiştirmesine izin vermenin güvenliği tehlikeye atacak diğer ayarları (ağ kartı yapılandırması veya Windows Internet bağlantısı güvenlik duvarı gibi) değiştirmek için kapıyı açabileceği anlamına gelir.

Kendi Cihazınızı Getirin (BYOD)

Kendi Cihazınızı Getirin (BYOD) çoğu kuruluş için önemli bir sorun haline gelmiştir. Hepsi olmasa da, çalışanlarınızın çoğu, büyük olasılıkla onlarla işyerine taşıyacakları kendi akıllı telefonlarına, tabletlerine, akıllı saatlerine sahip olacaktır. Kablosuz ağınıza bağlandıklarında, bir dizi yeni güvenlik sorunu ortaya çıkacaktır. Bu cihazların daha önce hangi ağlara bağlı olduğu, hangi yazılımların kurulu olduğu veya bu kişisel cihazlar tarafından hangi verilerin genişletilebileceği hakkında hiçbir fikriniz olmayacak.

Son derece güvenli ortamlarda, kişisel cihazları yasaklamak gerekebilir. Bununla birlikte, birçok kuruluşta böyle bir politika pratik olmayacaktır. Bunun için bir çözüm, BYOD’a ayrılmış ve şirketin ana ağına bağlı olmayan bir Wi-Fi ağına sahip olmaktır. Başka bir yaklaşım, teknolojik olarak daha karmaşık olmasına rağmen, bağlantıda olan cihazı algılamaktır ve şirket tarafından verilen bir cihaz değilse, erişimini önemli ölçüde sınırlandırır.

BYOD’ye alternatifler de bulunmaktadır. Örneğin, Kendi Cihazınızı Seçin (CYOD), şirketin çalışanın kendi cihazını getirmesine izin verdiği bir politikadır, ancak yalnızca bu cihaz önceden onaylanmış cihazlar listesinde olması gerekir. Bu, şirkete kullanıcının şirket ağına neleri bağladığı üzerinde kontrol sağlar.

COPE veya Şirketin Sahip Olduğu ve Sağladığı Ekipman, başka bir seçenektir. Bu senaryoda, şirket cihazı sağlar ve üzerinde tam denetime sahiptir. Ancak, çalışanlara cihaz sağlama ve bu cihazların bakımını yapma masrafından bahsetmemek gerekirse, çalışan hem kişisel hem de profesyonel amaçlı bir cihaz kullandığında bu bir sorun haline gelebilir.

Hangi yaklaşımı kullanırsanız kullanın, kişisel cihazlarla ilgili bir politikanız olmalıdır. Onlar zaten her yerde var ve daha da yayılıyor. Birkaç yıl önce, akıllı telefonlar gerçekten tek BYOD cihazıydı. Ancak bugün akıllı saatler, akıllı bagajlar vb. Var ve gelecekte hangi yeni cihazların gelebileceğini tahmin etmek zor.