Yakın zamanda gündeme gelen bir veri sızıntısı vakasında, bir teknoloji şirketinin sistemlerinin içeriden bir çalışan tarafından hedef alındığı iddiaları medyada yer buldu. İddialara göre, bir yazılımcı tarafından yapılan bu müdahale sonucu kritik veriler sızdırıldı ve kurum itibarı ciddi şekilde zedelendi. Bu olay, dış tehditlere karşı alınan önlemlerin yanında, şirket içi güvenlik risklerinin ne kadar hayati olduğunu bir kez daha ortaya koydu.

Şirket İçi Tehditler: Güvenlik Duvarının İçinden Gelenler

Siber güvenlik denilince akla ilk gelen tehditler genellikle dış kaynaklı saldırılar olur. Ancak istatistikler, veri sızıntılarının büyük bir kısmının kurum içinden gelen ihlallerle gerçekleştiğini göstermektedir. Bu bağlamda, sistemlere erişimi olan çalışanlar;

• Kaynak kodlara ulaşabilir,

• Canlı sistemlerde değişiklik yapabilir,

• Yedekleri dışarı çıkarabilir.

  
  

Bu nedenle yetki yönetimi ve davranışsal güvenlik kontrolleri, siber güvenlik politikalarının ayrılmaz bir parçası olmalıdır.

Yetkilendirme Stratejileri Neden Hayati?

ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS), bu tür iç tehditleri yönetmek için aşağıdaki güvenlik kontrollerini önerir;

1. Minimum Yetki (Least Privilege): Her çalışan yalnızca görevini yerine getirmek için ihtiyaç duyduğu kadar erişim hakkına sahip olmalıdır.

2. Görev Ayrılığı (Segregation of Duties): Kritik sistemlerde değişiklik yapma ve yayına alma gibi yetkiler farklı personellerde olmalıdır.

3. Erişim Takibi ve İzlenebilirlik (Audit Logging): Tüm sistem aktiviteleri loglanmalı ve düzenli olarak denetlenmelidir.

4. Erişim Sonlandırma Süreci: Çalışan kurumdan ayrıldığında erişimlerinin anında kesilmesi gerekir.

ISO 27001 Hangi Maddelerde Ne Öneriyor?

1. Madde A.5.15 - Erişim kontrolü: Kuruluşlar, bilgiye erişimi iş gereklilikleri temelinde kontrol etmeli ve yetkilendirme süreçlerini uygulamalıdır .

2. Madde A.5.3 - Görev ve sorumlulukların ayrılması: Görevlerin ayrılması, hata ve suiistimal riskini azaltmak için uygulanmalıdır .

3. Madde A.6.1 – İstihdam öncesi güvenlik, Madde A.6.2 – İstihdam sırasındaki güvenlik, Madde A.6.3 – İstihdam sonrası güvenlik: Çalışanların bilgi güvenliğiyle uyumlu davranmasını sağlamak için işe alım öncesi, sonrası ve süreç boyunca kontroller sağlanmalıdır .

4. Madde A.5.17 – Kullanıcı erişim haklarının yönetimi, Madde A.5.18 – Kullanıcı erişim haklarının kaldırılması veya değiştirilmesi: Bu maddeler, sadece gerekli olan erişim izinlerinin verilmesini ve gereksiz erişimlerin kaldırılmasını düzenler .

Güçlü Güvenlik Kültürü İçin 5 Adım:

1. Güvenlik farkındalığı eğitimi ile çalışan bilinci artırılmalı.

2. Erişim talepleri formal bir süreçle kontrol edilmeli.

3. Yöneticiler düzenli olarak erişim izinlerini gözden geçirmeli.

4. Geliştiriciler, test ve canlı ortamda ayrı yetkilere sahip olmalı.

5. Her erişim ve işlem için log kayıtları tutulmalı ve denetlenmeli.

Son Söz:

Bir güvenlik duvarı sizi sadece dış tehditlerden korur. Ama tehdit içeri girdiyse, sizi yalnızca yapılandırılmış yetkilendirme, denetim izleri ve güvenlik kültürü kurtarabilir.