Bilginin Adresi Ana Sayfa
Forum Anasayfası Forum Anasayfası > Bilgisayar Güvenliği / Computer Security > Güvenlik / Security Makaleleri
  Aktif Konular Aktif Konular RSS - Şirketlerde Eski Çalışan Tehdidi ve Elektronik Ortam Güvenliği !
  SSS SSS  Forumu Ara   Events   Kayıt Ol Kayıt Ol  GiriÅŸ GiriÅŸ

Şirketlerde Eski Çalışan Tehdidi ve Elektronik Ortam Güvenliği !

 Yanıt Yaz Yanıt Yaz
Yazar
Mesaj
megabros Açılır Kutu Gör
Security Professional
Security Professional
Simge

Kayıt Tarihi: 08-06-2009
Konum: Turkey
Status: Aktif DeÄŸil
Points: 752
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı megabros Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Konu: Şirketlerde Eski Çalışan Tehdidi ve Elektronik Ortam Güvenliği !
    Gönderim Zamanı: 08-06-2009 Saat 14:04

Şirketler bilgi güvenliğinin sağlanması için organizasyonları içerisinde altyapılarını güçlendiriyor olsalar da, kullanıcıların uygulamaları konusunda kontroller zayıf kalıyor.

PricewaterhouseCoopers (PwC) ile CIO ve CSO yayınları tarafından gerçekleştirilen araştırmaya göre eski çalışanlar hackerlardan da tehlikeli.

Yeni milenyumda ortaya çıkan finansal skandallardan sonra şirket yöneticilerinin hapse girdiklerini görmeye alıştık. Fakat şu başlık gerçekten şaşırttı: BT Yöneticisi, Hack Davasında Hapis Cezasına Çarptırıldı.

Dava, Mark Erfurt adında bir network uzmanı ile ilgili. Bu kişi eski işyeri olan Manufacturing Electronic Sales Corp. (MESC) şirketine ait bilgi-işlem sistemine Ocak 2003’te, işine son verildikten sekiz ay sonra, izinsiz olarak girmekle suçlanıyor.

39 yaşındaki Erfurt, Symantec’in pcAnywhere adlı uzaktan yönetim programını MESC şirketinin networküne girmek için kullandığını kabul etti. Bu şekilde şirket ağına sızdıktan sonra bazı verileri sildiğini, şirketin başkanının e-postasını kullandığını ve özel veritabanlarını download ettiğini de itiraf etti. Aynı zamanda yaptığı bu izinsiz erişimin izlerini silmek için yedekleme teyplerini de silmeye çalışmış. Bu onun, ayrıca delilleri karartmak suçundan yargılanmasına neden oldu.

Şimdi Erfurt’a beş ay hapis, artı beş ay ev hapsi ve üç sene şartlı tahliye cezaları verilmesi gündemde, ayrıca 45,000 dolar tazminat ödemesi gerekiyor. Bu hüküm karşısında Erfurt rahatlamış olmalı çünkü sadece delilleri karartma suçundan bile 20 yıl hapis cezası alabilirdi.

Erfurt bu olay sırasında ve halen Centaur adlı bir şirkette çalışıyor. Bu şirket MESC firmasının rakibi. Centaur’un CEO’su bu olayın Erfurt’un kişisel girişimi olduğunu ve kurumsal casuslukla bir ilgisinin bulunmadığını vurguladı. Ama çok kolayca bu tür bir olaya dönüşebilirdi.

Genelde olabilecek en kötü şey patronun, bütün şirkete gönderilen bir e-posta mesajında aşağılanması olacaktır ama yine de kızgın, belki de kin besleyen, işten atılmış bir çalışana geçici de olsa önemli dosyalara erişim vermek aptalca olur.

Yine de bu önlemler Erfurt’u durduramazdı. Çünkü söylediğine göre MESC şirketinin şifre korumalı sistemine “yönetici seviyesinde erişimi” vardı. Bu aynı zamanda başka bir önemli konuyu gündeme getiriyor: MESC aslında pcAnywhere programının güvenlik özelliklerini tam manasıyla kullanmıyordu. Symantec ürün müdürünün dediğine göre pcAnywhere programı belirli bilgisayarların ağa girmesini engelleyebilecek özelliklere sahip.

MESC geçen 2004 Haziran ayında faaliyetlerini durdurdu. Erfurt’un saldırısı şirketin ölüm sebebi oldu çünkü bu saldırı sonucunda satış kayıtları, gizli anlaşmalar, gizli teknik bilgiler ve yedekleme dosyaları silindi. Ve bunların hepsi, şirketin networkünün olması gerektiği kadar güvenli olmaması yüzünden gerçekleşti.

Bu, gerçekten iyi bir ders oldu.

Gelelim 2007 yılındaki duruma;

Uluslararası denetim, vergi ve danışmanlık şirketi PwC, CIO ve CSO yayınları tarafından dünya çapında her yıl gerçekleştirilen Bilgi Güvenliğinin Küresel Durumu 2007 araştırmasının sonuçları yayınlandı. Bu alandaki en kapsamlı araştırma olan Bilgi Güvenliğinin Küresel Durumu 2007 araştırmasına 119 ülkenin tüm sektörlerinde faaliyet gösteren 7 bin 200 Bilgi Teknolojileri (BT), güvenlik ve üst düzey yöneticisi katıldı.


Güvenliğin can düşmanı çalışanlar

Araştırmada öne çıkan en önemli sonuç, bilgi güvenliğinde yaşanan olayların çoğunlukla şirket çalışanlarından kaynaklanması. Katılımcıların büyük çoğunluğu (yüzde 66), mevcut veya eski çalışanlarını, “hacker”ları bastıracak bir oranla (yüzde 39) saldırıların kaynağı olarak gösterdiler. Bu oranın 2006 yılında “hacker”lar için yüzde 53; çalışanlar için yüzde 44 olduğu düşünüldüğünde 2007 sonuçlarında çalışanların bilgi güvenliğini tehdit etme oranı belirgin şekilde artığı görülüyor.

Avrupa’da basit korumalar yok

Bu tür saldırılarda asıl yöntem olarak e-posta ile kullanıcıların sahip olduğu hesap ve hakların kullanıldığı rapor edilirken sadece kullanıcıların üçte birinin (yüzde 34) rutin olarak insan-odaklı bilgi güvenliği koruma önlemleri aldığı vurgulandı. Araştırmada ortaya çıkan bir başka sonuç ise personel geçmişi kontrollerinin yapılması (yüzde 33), çalışanların internet/bilgi varlıkları kullanımının izlenmesi (yüzde 40) ve kurum içi politika ve prosedürlerle çalışan farkındalığı yaratılması (yüzde 37) gibi basit koruma önlemlerinin Avrupa’da nadir olarak kullanıldığının ortaya çıkması.

Güvenlikte ciddi ilerlemeler var

PwC Türkiye Danışmanlık Hizmetleri Kıdemli Müdürü Anıl Erkan, Türkiye’deki şirketlerin durumu ile ilgili şu değerlendirmede bulundu:
“Şirketlerde güvenlik altyapısı anlamında ciddi ilerlemeler kaydedildiğini görüyoruz. Bununla birlikte, şirketler kullanıcı kontrol süreçlerinin ve kurum-içi politikaların oluşturulmasında ve uygulanmasında belirli zorluklar yaşıyorlar. İlgili süreç ve kontrollerin uygunluğunun düzenli takip edilmemesi ise kullanıcı kaynaklı bilgi güvenliği oranını ciddi ölçüde artırmaktadır.”

Hala kimlik yönetim stratejisi yok

Avrupa verilerine bakıldığında ise, yüzde 64 oranıyla şirketlerin hala kimlik yönetimi stratejisine sahip olmadıkları ortaya çıktı.. (küresel yüzde 64; ABD yüzde 61). PwC Türkiye Danışmanlık Bölümü Danışmanı Seda Babür konuyla ilgili olarak, “Kimlik ve erişim yönetimi projeleri kurumlar için giderek daha da gündemde olacaktır. Fakat eskiden olduğu gibi bu projeler teknoloji ve yazılım firmaları kaynaklı olmaktan çıkıp, üst yönetim seviyesinden aşağıya doğru uygulatılan risk ve uygunluk kaynaklı projeler olacaklardır.” dedi.

Bilgi güvenliğine harcama yapmıyorlar

Araştırmaya göre, Avrupa’daki katılımcıların sadece yüzde 30′u bilgi güvenliği politikalarının tamamen iş hedefleri ile aynı çizgide olduğunu rapor ederken daha da azı (yüzde 24) güvenlik harcamalarının iş hedefleri tamamen uyum içerisinde olduğunu belirtiyor.
Katılımcıların yüzde 64′ü güvenlik harcamalarının önümüzdeki yıl artacağını tahmin ediyor. Katılımcıların yüzde 31′i bu artışın yüzde 19′u geçeceği tahmininde bulunuyor.

Uyum izlemede düşük rakamlar

Araştırma sonuçları Avrupa’da güvenlik uygulamalarının dış kaynaklı firmalara verilmesinde bir azalma eğilimi olduğunu da gösterdi. Dış kaynaklı anti-virüs yönetiminde yüzde 37′den yüzde 21′e, dış kaynaklı network firewall’da ise yüzde 36′dan yüzde 23′e bir düşüş gözlendi.
Kullanıcıların güvenlik politikalarına uyumluluğunu, araştırmaya katılan kuruluşların sadece yüzde 30′u denetlemekte veya izlerken bu sonuç, ABD’de yüzde 45, dünyanın diğer bölgelerindeki ülkelerde ise yüzde 37 düzeyinde.

Tedarikçilere güven azaldı

Araştırma, üçüncü şahıslarla olan veri ve erişim güvenliğin arttırılması üzerine devam eden kurumsal bir mücadele olduğunu da gösterdi. Katılımcıların yüzde 68′i iş ortaklarının ve tedarikçilerinin bilgi güvenliği önlemlerinden (küresel yüzde 70; ABD yüzde 72) ve yüzde 52’si dış kaynak kullanımlı tedarikçi güvenliğinden (küresel yüzde 54; ABD yüzde 53) emin değil. Avrupalı katılımcıların ortak/tedarikçi bilgi güvenliğinden emin olanlarının sayısı da 2006′da yüzde 27′den 2007′de yüzde 15′e düştü.
Araştırma’nın Avrupa’daki şirketlere ilişkin sonuçları bilgi güvenliğinin şirketlerin gündeminde önemli bir yer edindiğini gösteriyor. Araştırma sonuçlarına göre, 2006 yılında Avrupa’daki organizasyonların yüzde 49′unda CSO (Güvenlik Yöneticisi) veya CISO (Bilgi Güvenliği Yöneticisi) bulunurken bu oran 2007 yılında yüzde 69′a yükseldi.

Katılımcıların yüzde 46’sı şifreliyor

Katılımcıların sadece üçte biri kullanıcı verisi (yüzde 32), verinin depolandığı yer ya da yetki envanterini (yüzde 28) doğru şekilde tutmaktadır şeklinde görüş belirtirken buna benzer olarak, sadece beşte biri (küresel yüzde 24; ABD yüzde 29) müşteri bilgisini kullanarak üçüncü şahısların envanterini tutmaktadır görüşünü savundu. Ayrıca, katılımcıların yarısından azı (küresel yüzde 46; ABD yüzde 42) veritabanı ya da dizüstü bilgisayarlarda bulunan veriyi şifrelediğini ifade etti.

Saygılar..
Yukarı Dön
 Yanıt Yaz Yanıt Yaz

Forum Atla Forum İzinleri Açılır Kutu Gör



Bu Sayfa 0.300 Saniyede Yüklendi.