Şirketlerde Eski Çalışan Tehdidi ve Elektronik Ortam Güvenliği ! |
Yanıt Yaz |
Yazar | |
megabros
Security Professional Kayıt Tarihi: 08-06-2009 Konum: Turkey Status: Aktif Değil Points: 752 |
Mesaj Seçenekleri
Yanıt Yaz
Alıntı megabros
Bu mesaj kurallara aykırıysa buradan yöneticileri bilgilendirebilirsiniz.
Gönderim Zamanı: 08-06-2009 Saat 14:04 |
Şirketler bilgi güvenliğinin sağlanması için organizasyonları içerisinde altyapılarını güçlendiriyor olsalar da, kullanıcıların uygulamaları konusunda kontroller zayıf kalıyor. PricewaterhouseCoopers (PwC) ile CIO ve CSO yayınları tarafından gerçekleştirilen araştırmaya göre eski çalışanlar hackerlardan da tehlikeli. Yeni milenyumda ortaya çıkan finansal skandallardan sonra şirket yöneticilerinin hapse girdiklerini görmeye alıştık. Fakat şu başlık gerçekten şaşırttı: BT Yöneticisi, Hack Davasında Hapis Cezasına Çarptırıldı. Dava, Mark Erfurt adında bir network uzmanı ile ilgili. Bu kişi eski işyeri olan Manufacturing Electronic Sales Corp. (MESC) şirketine ait bilgi-işlem sistemine Ocak 2003’te, işine son verildikten sekiz ay sonra, izinsiz olarak girmekle suçlanıyor. 39 yaşındaki Erfurt, Symantec’in pcAnywhere adlı uzaktan yönetim programını MESC şirketinin networküne girmek için kullandığını kabul etti. Bu şekilde şirket ağına sızdıktan sonra bazı verileri sildiğini, şirketin başkanının e-postasını kullandığını ve özel veritabanlarını download ettiğini de itiraf etti. Aynı zamanda yaptığı bu izinsiz erişimin izlerini silmek için yedekleme teyplerini de silmeye çalışmış. Bu onun, ayrıca delilleri karartmak suçundan yargılanmasına neden oldu. Şimdi Erfurt’a beş ay hapis, artı beş ay ev hapsi ve üç sene şartlı tahliye cezaları verilmesi gündemde, ayrıca 45,000 dolar tazminat ödemesi gerekiyor. Bu hüküm karşısında Erfurt rahatlamış olmalı çünkü sadece delilleri karartma suçundan bile 20 yıl hapis cezası alabilirdi. Erfurt bu olay sırasında ve halen Centaur adlı bir şirkette çalışıyor. Bu şirket MESC firmasının rakibi. Centaur’un CEO’su bu olayın Erfurt’un kişisel girişimi olduğunu ve kurumsal casuslukla bir ilgisinin bulunmadığını vurguladı. Ama çok kolayca bu tür bir olaya dönüşebilirdi.
Genelde olabilecek en kötü şey patronun, bütün şirkete gönderilen bir e-posta mesajında aşağılanması olacaktır ama yine de kızgın, belki de kin besleyen, işten atılmış bir çalışana geçici de olsa önemli dosyalara erişim vermek aptalca olur. Yine de bu önlemler Erfurt’u durduramazdı. Çünkü söylediğine göre MESC şirketinin şifre korumalı sistemine “yönetici seviyesinde erişimi” vardı. Bu aynı zamanda başka bir önemli konuyu gündeme getiriyor: MESC aslında pcAnywhere programının güvenlik özelliklerini tam manasıyla kullanmıyordu. Symantec ürün müdürünün dediğine göre pcAnywhere programı belirli bilgisayarların ağa girmesini engelleyebilecek özelliklere sahip. MESC geçen 2004 Haziran ayında faaliyetlerini durdurdu. Erfurt’un saldırısı şirketin ölüm sebebi oldu çünkü bu saldırı sonucunda satış kayıtları, gizli anlaşmalar, gizli teknik bilgiler ve yedekleme dosyaları silindi. Ve bunların hepsi, şirketin networkünün olması gerektiği kadar güvenli olmaması yüzünden gerçekleşti. Bu, gerçekten iyi bir ders oldu. Uluslararası denetim, vergi ve danışmanlık şirketi PwC, CIO ve CSO yayınları tarafından dünya çapında her yıl gerçekleştirilen Bilgi Güvenliğinin Küresel Durumu 2007 araştırmasının sonuçları yayınlandı. Bu alandaki en kapsamlı araştırma olan Bilgi Güvenliğinin Küresel Durumu 2007 araştırmasına 119 ülkenin tüm sektörlerinde faaliyet gösteren 7 bin 200 Bilgi Teknolojileri (BT), güvenlik ve üst düzey yöneticisi katıldı.
Avrupa’da basit korumalar yok Bu tür saldırılarda asıl yöntem olarak e-posta ile kullanıcıların sahip olduğu hesap ve hakların kullanıldığı rapor edilirken sadece kullanıcıların üçte birinin (yüzde 34) rutin olarak insan-odaklı bilgi güvenliği koruma önlemleri aldığı vurgulandı. Araştırmada ortaya çıkan bir başka sonuç ise personel geçmişi kontrollerinin yapılması (yüzde 33), çalışanların internet/bilgi varlıkları kullanımının izlenmesi (yüzde 40) ve kurum içi politika ve prosedürlerle çalışan farkındalığı yaratılması (yüzde 37) gibi basit koruma önlemlerinin Avrupa’da nadir olarak kullanıldığının ortaya çıkması. Güvenlikte ciddi ilerlemeler var PwC Türkiye Danışmanlık Hizmetleri Kıdemli Müdürü Anıl Erkan, Türkiye’deki şirketlerin durumu ile ilgili şu değerlendirmede bulundu: Hala kimlik yönetim stratejisi yok Avrupa verilerine bakıldığında ise, yüzde 64 oranıyla şirketlerin hala kimlik yönetimi stratejisine sahip olmadıkları ortaya çıktı.. (küresel yüzde 64; ABD yüzde 61). PwC Türkiye Danışmanlık Bölümü Danışmanı Seda Babür konuyla ilgili olarak, “Kimlik ve erişim yönetimi projeleri kurumlar için giderek daha da gündemde olacaktır. Fakat eskiden olduğu gibi bu projeler teknoloji ve yazılım firmaları kaynaklı olmaktan çıkıp, üst yönetim seviyesinden aşağıya doğru uygulatılan risk ve uygunluk kaynaklı projeler olacaklardır.” dedi. Araştırmaya göre, Avrupa’daki katılımcıların sadece yüzde 30′u bilgi güvenliği politikalarının tamamen iş hedefleri ile aynı çizgide olduğunu rapor ederken daha da azı (yüzde 24) güvenlik harcamalarının iş hedefleri tamamen uyum içerisinde olduğunu belirtiyor. Uyum izlemede düşük rakamlar Araştırma sonuçları Avrupa’da güvenlik uygulamalarının dış kaynaklı firmalara verilmesinde bir azalma eğilimi olduğunu da gösterdi. Dış kaynaklı anti-virüs yönetiminde yüzde 37′den yüzde 21′e, dış kaynaklı network firewall’da ise yüzde 36′dan yüzde 23′e bir düşüş gözlendi. Tedarikçilere güven azaldı Araştırma, üçüncü şahıslarla olan veri ve erişim güvenliğin arttırılması üzerine devam eden kurumsal bir mücadele olduğunu da gösterdi. Katılımcıların yüzde 68′i iş ortaklarının ve tedarikçilerinin bilgi güvenliği önlemlerinden (küresel yüzde 70; ABD yüzde 72) ve yüzde 52’si dış kaynak kullanımlı tedarikçi güvenliğinden (küresel yüzde 54; ABD yüzde 53) emin değil. Avrupalı katılımcıların ortak/tedarikçi bilgi güvenliğinden emin olanlarının sayısı da 2006′da yüzde 27′den 2007′de yüzde 15′e düştü. Katılımcıların yüzde 46’sı şifreliyor Katılımcıların sadece üçte biri kullanıcı verisi (yüzde 32), verinin depolandığı yer ya da yetki envanterini (yüzde 28) doğru şekilde tutmaktadır şeklinde görüş belirtirken buna benzer olarak, sadece beşte biri (küresel yüzde 24; ABD yüzde 29) müşteri bilgisini kullanarak üçüncü şahısların envanterini tutmaktadır görüşünü savundu. Ayrıca, katılımcıların yarısından azı (küresel yüzde 46; ABD yüzde 42) veritabanı ya da dizüstü bilgisayarlarda bulunan veriyi şifrelediğini ifade etti. Saygılar.. |
|
Yanıt Yaz | |
Tweet |
Forum Atla | Forum İzinleri Kapalı Foruma Yeni Konu Gönderme Kapalı Forumdaki Konulara Cevap Yazma Kapalı Forumda Cevapları Silme Kapalı Forumdaki Cevapları Düzenleme Kapalı Forumda Anket Açma Açık Forumda Anketlerde Oy Kullanma |