Siber Hijyen Nedir?

Siber hijyen; kurumların sistemlerini, ağlarını, cihazlarını, verilerini ve güvenliğini korumak için oluşturulmuş bir prosedürdür. Cihazların çevrimiçi ve çevrimdışı güvenliğini sağlamlaştırmak ve sistem sağlığını korumak için yapılması gereken adımları içerir. Siber hijyen ile donanım ve yazılımların güvenliğini sağlayarak kötü amaçlı tehditlerden korunmayı, verileri güvende tutmayı ve sistemleri siber saldırılara karşı korumayı hedefler. Alınan önlemler sayesinde verilerin güvende tutulması amaçlanır.

Yapılan araştırmalarda siber saldırıların yaklaşık %80’inin kurban kurum ve kuruluşlarda görülen zayıf siber alışkanlıklardan kaynaklandığı görülmektedir. Bu durumu ele almak için düzenli ve etkili güvenlik önlemlerinin önemini vurgulayan bir siber hijyen stratejisi uygulanmalıdır.

Siber Hijyen Belgelendirme Programı

Siber Hijyen Belgelendirme Programı; Siber Hijyen Acil Önlemler Kriter Seti rehberliğinde, savunma sektörüne iş yapan küçük ve orta boyutlu işletmelerden büyük askeri kurum ve kuruluşlara kadar her düzeyde uygulanabilir yöntemlerden oluşmaktadır.

Siber Hijyenin Faydaları

Siber hijyen prosedürlerini uygulamanın başlıca faydaları şunlardır:

• Siber saldırıları azaltır: Güçlü bir siber hijyen rutini, siber saldırıya uğrama veya hacklenme riskini önemli ölçüde azaltır.
• Uyumluluk sağlar: Yasal yükümlülüklere ve standartlara uyumu kolaylaştırır, uyumsuzlukla ilişkili olası yaptırımlardan kaçınmaya yardımcı olur.
• Saldırı yüzeyini azaltır: Sistemlerdeki açıkları ve zayıf noktaları azaltarak saldırganların erişebileceği alanları minimuma indirir.
• Maliyeti düşürür: Kurumların maliyetli güvenlik önlemlerine olan ihtiyacını azaltarak uzun vadede tasarruf sağlar.
• Müşterilerde güven sağlar: Yeterli siber hijyene sahip kurumlar, müşterilerin gözünde daha güvenilir bir konumdadır.
• Daha tasarrufludur: Önemli verilerin çalınmasını önleyerek hem zamandan tasarruf sağlar hem de güvenlik sorunlarının daha yüksek verimlilikle çözülmesine katkıda bulunur.

Siber Hijyeni Nasıl Sağlıyoruz?

• Yedekleme: Kurumların önemli verilerini düzenli aralıklarla çevrimdışı ve kurum dışında izole bir ortamda yedekliyoruz. Yedeklenen verileri belirli aralıklarla test edip çalışma durumlarını kontrol ediyoruz. Böylece olası bir tehdit veya sistem arızasında hassas veriler güvence altında tutuluyor.
• İki faktörlü kimlik doğrulama ve şifreleme: Kullanılan araçlar, cihazlar ve sistemler güçlü şifreler içerir; en az bir büyük harf, bir küçük harf, bir rakam ve özel karakter barındırır. Bütün şifreler düzenli aralıklarla yenilenir ve kişileri temsil eden anlamlı kelimelerden oluşmaz. Mümkün olan her yerde çok faktörlü kimlik doğrulama (MFA) aktif edilir.
• Erişim kontrolü: Kurumların gizli verilerinin bulunduğu hassas alanlara, belirlenen kişiler haricinde erişimi kapatıyoruz. Ayrıca bütün sistemlere zararlı IP adreslerinin erişimini engelliyoruz.
• Farkındalık eğitimleri: Kurum çalışanlarına düzenli aralıklarla siber farkındalık eğitimleri veriyoruz. Her geçen gün yeni saldırı türleri ortaya çıktığından, çalışanların bu güncel tehditlere karşı bilinçlendirilmesi sağlanıyor.
• Uygulama bakımı: Kullanılan yazılımları, sistemleri ve uygulamaları düzenli olarak test ediyor, tespit edilen hataları gideriyor ve performans artırıcı çalışmalar yürütüyoruz.
• Düzenli güncelleme: Araçlar, programlar ve işletim sistemleri düzenli aralıklarla güncellenir. Güncellemelerle gelen yeni özellikler sayesinde güvenlik açıkları kapatılır ve hatalar düzeltilerek yeni tehditlere karşı koruma sağlanır.
• Antivirüs kullanımı: Tüm sistemlerde zararlı yazılımları tespit etmek ve engellemek için uç nokta güvenlik çözümleri kullanıyoruz.
• Risk yönetimi: Düzenli aralıklarla olası siber tehditleri test ederek belirliyoruz. Tespit edilen riskler için kapsamlı bir değerlendirme yapıyor ve gerekli risk yönetimi planlarını hazırlıyoruz. Analizler ve sonuçlar ilgili paydaşlarla güncel olarak paylaşılıyor.
• Zafiyet taraması: Uygulamalar, araçlar ve testler dahil tüm sistemlerde zafiyet taraması yaparak olası açıklıkları tespit ediyor ve raporluyoruz. Tespit edilen zafiyetleri gidererek sistemleri daha güvenli hale getiriyoruz.
• Güvenli ağ yapılandırma: Ağ cihazlarında gereksiz veya kullanılmayan portları kapatıyor, ağı şifreleyerek güvenilir sertifikaya sahip olmayan uygulamaların kullanımını ve yetkisiz erişimleri engelliyoruz. Zararlı domainlere erişimi engellemek için DNS filtreleme servisleri kullanıyoruz.

Siber Hijyen Uyum Danışmanlığı Hizmetimiz

SECURESYS’in deneyimli bilgi güvenliği uzmanları, kurumların Siber Hijyen uyumluluk süreçlerinde ihtiyaç duyduğu tüm ön değerlendirme ve danışmanlık hizmetlerini uçtan uca sağlamaktadır. Bu hizmet, şirketlerin siber güvenlik beklentilerini karşılayabilmesi için kapsamlı bir yol haritası sunar ve aşağıdaki adımları içerir:

1. Siber güvenlik seviyesinin tespiti: Kuruluşunuzun mevcut güvenlik yapısı ayrıntılı şekilde incelenir. Siber hijyen standartları ile mevcut uygulamalarınız arasındaki tüm eksiklikler ve riskler ortaya çıkarılır.
2. Uyum stratejisinin ve yol haritasının hazırlanması: Mevcut politikalar, prosedürler ve güvenlik kontrolleri gözden geçirilir. Kuruma özel iyileştirme önerileri geliştirilerek kapsamlı bir uyum planı oluşturulur.
3. Güvenlik kontrollerinin değerlendirilmesi: Ağ, sistem, veri güvenliği ve operasyonel güvenlik süreçleriniz; ISO 27001, KVKK ve ilgili diğer standartlara göre analiz edilir. Kurumun zayıf alanları belirlenir ve uygulanabilir iyileştirme önerileri sunulur.
4. Farkındalık ve eğitim programları: Tüm personelin siber hijyen kültürünü benimsemesi için özel eğitim içerikleri hazırlanır ve uygulamaya alınır. Böylece çalışanların siber tehditlere karşı bilinç seviyesi artırılır.
5. Politika ve doküman yönetimi: Siber hijyen gereksinimlerini karşılayan politika, prosedür ve rehber dokümanlar sıfırdan hazırlanır veya mevcut dokümanlar iyileştirilir. Böylece kurumun güvenlik yapısı standart bir çerçeveye oturtulur.
6. Teknik uygulama ve entegrasyon desteği: Belirlenen güvenlik çözümlerinin hayata geçirilmesi, altyapı optimizasyonları, güvenlik ürünlerinin kurulumu ve entegrasyonu gibi teknik faaliyetlerde danışmanlık ve uygulama desteği sağlanır. Olası bir saldırı durumunda etkin müdahale yapabilecek bir yapı oluşturulur.
7. Sürekli izleme ve sürdürülebilirlik: Uyum sağlandıktan sonra sürecin sürdürülebilir olması için düzenli kontroller, izleme mekanizmaları ve raporlamalar gerçekleştirilir. Güvenlik seviyesinin sürekli yüksek tutulması sağlanır.

Siber Hijyen Uyum Danışmanlığı, şirketlerin veri güvenliğini güçlendirmesine, operasyonel kesintileri engellemesine ve siber saldırı risklerini minimize etmesine yardımcı olur. Kurumların müşteri bilgilerini koruması, iş sürekliliğini sağlaması ve güvenlik kültürünü olgunlaştırması için kritik öneme sahiptir. Proje sonunda kurum, TRTEST tarafından gerçekleştirilen Siber Hijyen Sertifikasyonu denetimine hazır bir yapıya kavuşturulmuş olur.

Siber Hijyen Denetimi Detayları

Siber Hijyen Belgelendirme Programı; Siber Hijyen Acil Önlemler Kriter Seti rehberliğinde, savunma sektörüne iş yapan küçük ve orta boyutlu işletmelerden büyük askeri kurum ve kuruluşlara kadar her düzeyde uygulanabilir yöntemlerden oluşmaktadır.

Kurum veya kuruluş için aşağıda belirtilen maddeler bazında denetimler gerçekleştirilecektir:

• Kurum/kuruluşların maruz kalabileceği riskler belirlenmelidir.
• Halihazırda sahip olunan altyapı yeterince güvenli olmalıdır.
• Personel farkındalığı yeterli düzeyde olmalıdır.

Uluslararası kabul görmüş pratik ve yöntemlere göre yukarıdaki maddelere ilişkin iki adım referans alınır:

1. Kurum/kuruluşların halihazırda maruz kaldığı ve kalabileceği risk ortamının tespit edilmesi ve değerlendirilmesi.
2. Kurum/kuruluşların bilgi varlıklarını korumaya yönelik acil önlemlerin belirlenmesi ve değerlendirilmesi.

Sertifikalandırma Süreci

Sertifikalandırma süreci, TRTEST Test ve Değerlendirme A.Ş tarafından yürütülen test ve değerlendirme faaliyetlerini kapsamaktadır. Kurumlar, Siber Hijyen Belgelendirme Programı kapsamında belirlenen kriterleri sağladıklarında, ilgili sertifikasyon sürecini başarıyla tamamlamış olurlar.