Corona virüse karşı güvenli ‘uzaktan çalışma’ kuralları


"Güvenli 'Uzaktan Çalışma' Kuralları" başlıklı rehberde, uzaktan çalışma yolu kullanan iş alanları, kurumlar ve işçi için dikkat edilmesi gereken hususlar, alınması gereken önlemler ve en yeterli tatbik örneklerine yan verildi.

Buna nazaran, uzaktan çalışma tekniğini uygulayan kurumlar ve sistem başkanları tarafından güvenlik ve çalışma koşullarına ait risklerin belirlenmesi ve minimize edilerek uzaktan çalışma koşullarının oluşturulması için teknik ve idari işçinin içinde bulunduğu bir çalışma kümesinin oluşturulması kıymet taşıyor.

Uzaktan erişime açılamayacak kademede kritik hizmetlerin risk değerlendirmelerinin yapılması gerekiyor.

Uzaktan erişime mütenasip olmayan kritik hizmetler ve kaynaklar için önceliklendirme yapılması, kâfi sayıda işçinin yedekli biçimde iş yanında bulundurulması ve görevlendirilmesi atılması gereken adımlar arasında bulunuyor.

Uzaktan çalışan tüm çalışana mahsusen güçlü parola tasarrufu, toplumsal mühendislik akınları ve güvenlik yazılımları hakkında farkındalık eğitimi verilmesi ve oryantasyon yapılması kıymet taşıyor.

Uzaktan erişim için VPN yahut uzaktan idare servisi (RDP, SSH ve benzeri) kullanılması durumunda, ilgili sistemlerin en güncel/stabil/güvenli versiyonunun kullanılması öneriliyor.

Sistemlerin desteklediği tüm güvenlik tedbirlerinin hakikat ve tam formda yapılandırılması, üretilen iz kayıtlarının (logların) muhtemel bir saldırıyı tespit edecek halde nizamlı kayıt altına alınması, yetkisiz erişim, kaba kuvvet (brute force) taarruzları ve gibisi anomalilerin tespiti için alarm mekanizmaları oluşturulması gerekiyor.

Başkaca salahiyetlerin "en az gerekli salahiyet (least privileged access)" prensibine iyi verilmesi, sistemler üzerinde maksimum temas mühleti için bir devir aşımı tanımlanması, uzaktan çalışma boyunca tanımlanan kuralların süreksiz müddetliğine oluşturulması, mümkün olduğu durumlarda uzaktan irtibatlar için "kaynak IP" kısıtlaması yapılması, erişimler için çok faktörlü kimlik doğrulama ve vakit bazlı yetkilendirme tedbirleri alınması, uzaktan çalışan işçi için güvenlik tedbirleri alınmış sistemler/bilgisayarlar verilmesi, risk değerlendirmesine nazaran uzaktan erişimin tanımlanmaması gereken hiçbir kritik sisteme erişim için müsaade verilmediğinden emin olunması değer taşıyor.

Çalışanlara yönelik ihtarlar

Rehberde, uzaktan çalışan işçi tarafından alınması gereken tedbirlere de nokta verildi.

Buna nazaran, uzaktan çalışma için kullanılan sistemlerde (PC, lap top, tablet, telefon ve benzeri) gerekli güvenlik yazılımlarının yüklendiğinden, yeni yazılımların kullanıldığından, zararlı yazılım bulunmadığından emin olunması gerekiyor.

Uzaktan çalışma sırasında dahi olsa, kurum dışına rastgele bir kritik donenin çıkarılmaması ve kaydedilmemesi değer taşıyor.

Dışarıya çıkarılması zarurî, kritik olmayan dataların, kopyalandığı yahut taşındığı sistemlerin takip edilmesi, kelam konusu dataların güvenliğinin sağlanması öneriliyor.

Ilişkinin büyük bir çoğunluğunun kablosuz modemler ile yapılacağı varsayıldığında, kablosuz modemler üzerinde WPA/WPA2 protokolünün kullanılması, Mac adresi filtreleme, SSID gizleme üzere tedbirlerin alınması ikazlarında bulunuluyor.