Skip to main content

Google Drive, OneDrive, Dropbox, Yandex Disk vb…

Bulut uygulamalarına nasıl güvenebiliriz? Bulut uygulamaları sivil toplum kuruluşunuz için bir güvenlik riski oluşturuyor mu? Riskli bir çalışanınız veya gönüllünüz varsa ne yaparsınız? Kendinizi kötü niyetli kişilerden ve kötü amaçlı yazılımlara karşı nasıl korursunuz? Kullandığınız bulut servisinde bir güvenlik açığı çıkarsa ne olur?

Bulut uygulamaları verimlilik için mükemmeldir ve kullanımı kolaydır, ancak bunlarla birlikte gelen güvenlik risklerinin farkında olmanız gerekir.

Bulut uygulamaları için güvenlik ortak bir sorumluluktur. Bulut uygulamasını aldığınız kurum, uygulamalarını ve altyapısını saldırılara karşı güvence altına almalıdır, ancak bu uygulamalardaki hesaplarınızda kullanıcılarınızın yaptıklarından sorumlu değil. Hesaplarınıza erişmek için güvenlik denetimlerini ayarlamaktan ve kullanıcılarınızı bulutta güvenlik konusunda eğitmekten siz sorumlusunuz.

Adım 1: Ne kullanıldığını bilin

Hangi bulut uygulamalarının sivil toplum kuruluşunuzun üyeleri tarafından kullanıldığını öğrenin. (Bir uygulamanın kullanıldığını bilmiyorsanız, bilgi işlem alanında buna “Shadow IT” denir. Shadow IT, kurumsal onay olmadan kuruluşlar içinde oluşturulan ve kullanılan, örneğin BT departmanı dışındaki bölümler tarafından belirlenen ve yerleştirilen bilgi teknolojisi sistemleridir. Örnek olarak Bilgi Teknolojileri departmanının -genellikle- kullanılmasına izin vermediği Torrent programlarının kullanılması bu duruma bir örnektir.)

Çalışanlarınızın hangi bulut uygulamalarını kullandığını bilmek, bulut güvenliği ve uyumluluğunun ilk adımıdır.

Adım 2: Dosya paylaşımı hatalarından kaçının

Symantec güvenlik firmasının son raporuna göre e-postaların ve eklerin yüzde 29’unun ve bulutta depolanan tüm dosyaların yüzde 13’ünün genel olarak paylaşıldığını ve riski altında olduğunu görünmektedir.

İşte tipik bir örnek. Çalışan bir Google Drive hesabı oluşturur. Daha sonra çalışan içerisinde STK’nızla ilgili gizli bilgilerin olduğu bir dosya yükler ve kuruluşun dışında o dosya paylaşım hizmeti ile bir hesabı olmayan biriyle bağlantı kuran paylaşır. Bu yüzden bulut hizmeti, bağlantıya sahip olan herkes tarafından erişilebilir bir bağlantı sunar.

Ardından çalışanınız bu bağlantıyı seçer ve bir satıcıya veya bu bilgilere ihtiyacı olduğunu düşündüğü kişiyi gönderir. Bu senaryo zararsız gibi görünse de, bu bağlantı halka açık bir bağlantıdır ve kuruluşunuz için güvenlik tehdidi olabilir.

Herkese açık olarak paylaşılan dosya erişim linki arama motorlarında basit bir arama ile bulunabilir. Kötü niyetli kişiler de bunu sık sık yaparlar. Şirket ya da kuruluşların gizli bilgilerine ulaşmaya çalışır. Kimi zaman bu bilgileri rakip kurumlara satar, kimi zaman satmamak için sizden fidye ister.

Her kurum, çalışanlarını, kurum bilgileriyle çalışırken ne yapmaları ve ne yapmamaları konusunda eğitmelidir. Örneğin: İçerisinde kurum bilgileri olan dosyaları “herkese açık” olarak bulutta paylaşmayın.

Adım 3: Yüksek Riskli Çalışanları Tanımlayın

Yüksek riskli çalışanlar, bazıları sanal, bazıları fiziksel olmak üzere birçok özelliğe sahiptir. Yüksek riskli bir çalışan tüm hesaplarında aynı şifreyi kullanır. Yüksek riskli bir çalışan kurum bilgilerini, kurumun sisteminden ve evde veya seyahat ederken çalışmak için kişisel e-posta hesaplarına taşır. Yüksek riskli bir çalışan, bilgisayarını veya mobil cihazını parola kilitlemez ve uzaklaştığında cihazlarını açık bırakabilir.

STK’nız için kullandığınız kurumsal bulut uygulamalarınız için, çalışanların kişisel ve profesyonel hesapların bir karışımı yerine, kuruma adanmış hesapları kullandığından emin olun. Son olarak, iki faktörlü kimlik doğrulama alın.

Adım 4: Veri İhlalleri Konusunda Dikkatli Olun

Her gün yeni bir bilgi teknolojileri ihlal haberleri çıkıyor. Bu haberleri takip ederek, kullandığınız bir uygulamada güvenlik açığı çıkması halinde kullanıcılarınıza o uygulama için tüm şifrelerini derhal değiştirmelerini iletmelisiniz. Ardından, kuruluşunuzun o bulut uygulamasında hangi verilere sahip olduğuna bakabilirsiniz.

Tüm bunlardan sonra şayet çıkan güvenlik açığı çok büyük bir açık ise söz konusu uygulamayı halen kullanmaya de devam etmek isteyip istemediğinizi değerlendirmelisiniz; sizin için aynı işlevi yerine getirebilecek daha başka bir uygulama olabilir.

Bulut uygulamaları gibi uygulama ve servisler iş akışınızı iyileştirir, harcamalarınızı azaltır ve sizi daha verimli bir sivil toplum kuruluşu haline getirir. Ancak, risklerin farkında olmak, alternatifleriniz hakkında bilgi sahibi olmak ve cevaplarınızı bulmak da bir o kadar önemlidir.

Kaynak: Techsoup Blog

 


Sivil Toplum Örgütünüz için Dijital İletişim Danışmanlık Hizmeti için bize ulaşabilirsiniz.

    Ad Soyad *

    E-Posta *

    Telefon

    Teklif Almak İstediğiniz Web Sitesi ve /veya STÖ Adı