Dijital Güvenlik Medya

Bulut Alanlar Güvenli mi? Bulutta Güvenlik Nasıl Sağlanır?

Google Drive, OneDrive, Dropbox, Yandex Disk vb…

Bulut uygulamalarına nasıl güvenebiliriz? Bulut uygulamaları sivil toplum kuruluşunuz için bir güvenlik riski oluşturuyor mu? Riskli bir çalışanınız veya gönüllünüz varsa ne yaparsınız? Kendinizi kötü niyetli kişilerden ve kötü amaçlı yazılımlara karşı nasıl korursunuz? Kullandığınız bulut servisinde bir güvenlik açığı çıkarsa ne olur?

sivilalan.com'u Telegram'da Takip Edin! sivilalan.com'u Linkedin'de Takip Edin!

Bulut uygulamaları verimlilik için mükemmeldir ve kullanımı kolaydır, ancak bunlarla birlikte gelen güvenlik risklerinin farkında olmanız gerekir.

Bulut uygulamaları için güvenlik ortak bir sorumluluktur. Bulut uygulamasını aldığınız kurum, uygulamalarını ve altyapısını saldırılara karşı güvence altına almalıdır, ancak bu uygulamalardaki hesaplarınızda kullanıcılarınızın yaptıklarından sorumlu değil. Hesaplarınıza erişmek için güvenlik denetimlerini ayarlamaktan ve kullanıcılarınızı bulutta güvenlik konusunda eğitmekten siz sorumlusunuz.

Adım 1: Ne kullanıldığını bilin

Hangi bulut uygulamalarının sivil toplum kuruluşunuzun üyeleri tarafından kullanıldığını öğrenin. (Bir uygulamanın kullanıldığını bilmiyorsanız, bilgi işlem alanında buna “Shadow IT” denir. Shadow IT, kurumsal onay olmadan kuruluşlar içinde oluşturulan ve kullanılan, örneğin BT departmanı dışındaki bölümler tarafından belirlenen ve yerleştirilen bilgi teknolojisi sistemleridir. Örnek olarak Bilgi Teknolojileri departmanının -genellikle- kullanılmasına izin vermediği Torrent programlarının kullanılması bu duruma bir örnektir.)

Çalışanlarınızın hangi bulut uygulamalarını kullandığını bilmek, bulut güvenliği ve uyumluluğunun ilk adımıdır.

Adım 2: Dosya paylaşımı hatalarından kaçının

Symantec güvenlik firmasının son raporuna göre e-postaların ve eklerin yüzde 29’unun ve bulutta depolanan tüm dosyaların yüzde 13’ünün genel olarak paylaşıldığını ve riski altında olduğunu görünmektedir.

İşte tipik bir örnek. Çalışan bir Google Drive hesabı oluşturur. Daha sonra çalışan içerisinde STK’nızla ilgili gizli bilgilerin olduğu bir dosya yükler ve kuruluşun dışında o dosya paylaşım hizmeti ile bir hesabı olmayan biriyle bağlantı kuran paylaşır. Bu yüzden bulut hizmeti, bağlantıya sahip olan herkes tarafından erişilebilir bir bağlantı sunar.

Ardından çalışanınız bu bağlantıyı seçer ve bir satıcıya veya bu bilgilere ihtiyacı olduğunu düşündüğü kişiyi gönderir. Bu senaryo zararsız gibi görünse de, bu bağlantı halka açık bir bağlantıdır ve kuruluşunuz için güvenlik tehdidi olabilir.

İlginizi çekebilir:  Facebook, Gazetecelik Eğitim Programını Türkiye'de Başlattı!

Herkese açık olarak paylaşılan dosya erişim linki arama motorlarında basit bir arama ile bulunabilir. Kötü niyetli kişiler de bunu sık sık yaparlar. Şirket ya da kuruluşların gizli bilgilerine ulaşmaya çalışır. Kimi zaman bu bilgileri rakip kurumlara satar, kimi zaman satmamak için sizden fidye ister.

Her kurum, çalışanlarını, kurum bilgileriyle çalışırken ne yapmaları ve ne yapmamaları konusunda eğitmelidir. Örneğin: İçerisinde kurum bilgileri olan dosyaları “herkese açık” olarak bulutta paylaşmayın.

Adım 3: Yüksek Riskli Çalışanları Tanımlayın

Yüksek riskli çalışanlar, bazıları sanal, bazıları fiziksel olmak üzere birçok özelliğe sahiptir. Yüksek riskli bir çalışan tüm hesaplarında aynı şifreyi kullanır. Yüksek riskli bir çalışan kurum bilgilerini, kurumun sisteminden ve evde veya seyahat ederken çalışmak için kişisel e-posta hesaplarına taşır. Yüksek riskli bir çalışan, bilgisayarını veya mobil cihazını parola kilitlemez ve uzaklaştığında cihazlarını açık bırakabilir.

STK’nız için kullandığınız kurumsal bulut uygulamalarınız için, çalışanların kişisel ve profesyonel hesapların bir karışımı yerine, kuruma adanmış hesapları kullandığından emin olun. Son olarak, iki faktörlü kimlik doğrulama alın.

Adım 4: Veri İhlalleri Konusunda Dikkatli Olun

Her gün yeni bir bilgi teknolojileri ihlal haberleri çıkıyor. Bu haberleri takip ederek, kullandığınız bir uygulamada güvenlik açığı çıkması halinde kullanıcılarınıza o uygulama için tüm şifrelerini derhal değiştirmelerini iletmelisiniz. Ardından, kuruluşunuzun o bulut uygulamasında hangi verilere sahip olduğuna bakabilirsiniz.

Tüm bunlardan sonra şayet çıkan güvenlik açığı çok büyük bir açık ise söz konusu uygulamayı halen kullanmaya de devam etmek isteyip istemediğinizi değerlendirmelisiniz; sizin için aynı işlevi yerine getirebilecek daha başka bir uygulama olabilir.

Bulut uygulamaları gibi uygulama ve servisler iş akışınızı iyileştirir, harcamalarınızı azaltır ve sizi daha verimli bir sivil toplum kuruluşu haline getirir. Ancak, risklerin farkında olmak, alternatifleriniz hakkında bilgi sahibi olmak ve cevaplarınızı bulmak da bir o kadar önemlidir.

Kaynak: Techsoup Blog

Arda Çetin

Arda Çetin dijital aktivizm ve dijital pazarlama ile ilgilenmekte olan proje yöneticisidir. Linux Kullanıcıları Derneği, Korsan Parti Hareketi'nde aktif görev aldı. Toplumsal Bilgi ve İletişim Derneği kurucu yönetim kurulu üyesi olup, Toogether Media'da dijital proje yöneticisi görevini üstlenmektedir.

Yorum yazın

Yorum yazmak için tıklayınız