İç tehdit riskinizi yönetin

İç tehdit riskinizi yönetin

Çalışan, tedarikçi, stajyer, ziyaretçi gibi kurum ve şirketlere fiziksel veya mantıksal erişimi olan aktörler, kurum ve şirketler için tehdit potansiyeline sahiptir. Olası veri sızıntılarını önlemek için kurum ve şirketler, sistemlerine legal fiziksel veya mantıksal erişimi olan kullanıcıların tehdit potansiyelini dikkate almalıdır. İç tehdit risklerini yönetmek için teknik ve prosedürel tedbirlerden faydalanılmalıdır.

Mustafa Özen
Türkiye Sigorta Birliği Bilgi Teknolojileri Bölüm Yöneticisi

Teknik tedbirleri konumlandırmadan önce iç tehdit potansiyeline sahip aktörlerin, davranışlarını takip etmek için tanımlanmaları gerekir. Fiziksel erişim için giriş kartı, sistemlere erişim için kullanıcı hesabı, telefon, e-mail, kullanacağı harici depolama cihazlarının seri numaraları, çalışma saatleri, çalışma lokasyonu, kullanacağı bilgisayar ve mobil cihazlar gibi kullanıcının kurum veya şirket ile ilgili bütün hareketlerinin takip edilmesini sağlayacak 360 derecelik bir tanımlama yapılmalıdır. Kullanıcı, bütün hareketleri takip edilebilecek şekilde tanımlandıktan sonra DLP, SIEM, CCTV gibi çözümler, iç tehditlerin olası şüpheli davranışlarını yakalamak için konumlandırılabilir. Bunların yanında, olgunlaşma aşamasında olan, kullanıcı ve varlıkların davranışsal analizini yaparak, şüpheli davranışları tespit etmeye çalışan UEBA(User and Entity Behavior Analytics) ürünleri de konumlandırılabilir.

Kullanıcılarınızı ve verilerinizi tanıyın
Teknolojik çözümler iç tehditleri engellemek veya yakalamak için yeterli değildir. İç tehditleri algılamanın temelinde davranış analizi vardır. Davranış analizi yapabilmek için legal erişime sahip kullanıcıları, iş süreçlerinin gerçekleştiği sistemleri ve iş süreçlerinde işlem gören verileri tanımak gerekir. Satın Alma, İnsan Kaynakları, Kurumsal İletişim, Bilgi Teknolojileri, Yönetim Kurulu, Tedarikçi, Ziyaretçi, Stajyer gibi farklı profillerdeki kullanıcıların sahip olduğu risk potansiyeli anlaşılmalıdır. Sistemlere ve verilere doğrudan erişebilen Bilgi Teknolojileri bölümlerindeki Veritabanı Yönetimi, Yazılım Geliştirme, Bilgi Güvenliği gibi farklı birimlerdeki ve rollerdeki kullanıcıların risk potansiyeli ayrı olarak ele alınmalı ve anlaşılmalıdır.
Tehditlerin hedefi olabilecek sistemler ve veriler bilinmelidir. Sistemler ve veriler, gizlilik derecesine göre sınıflandırılmalıdır. Sınıflandırılma yapılırken fiziksel ortamlarda tutulan ve işlenen veriler de dikkate alınmalıdır. Habercilikteki 5N1K kuralı, aktörler ve veriler arasındaki etkileşimi belirlemede de kullanılabilir:

“Ne veya Kim, Ne zaman, Nerede, Nasıl ve Neden veriye erişecek?” sorusunun cevabına göre “minimum ayrıcalık” prensibi baz alınarak aktör-veri arasındaki etkileşim tanımlanır. Örnek olarak; Ahmet, mesai saatlerinde, şirkette, XXX.XXX.XXX.XXX IP’li bilgisayarından, geçen yılın satış raporunu almak için okuma yetkisi ile Y sistemine erişecek.
Ne/Kim: Ahmet
Ne zaman: Mesai saatlerinde
Nerede: Şirkette
Nasıl: XXX.XXX.XXX.XXX IP’li bilgisayarı ile
Neden: Rapor almak için

Rapor almak için sadece okuma izni yeterli olduğundan minimum ayrıcalık olan “okuma” izni ile Ahmet ve erişeceği sistem/veri arasındaki etkileşim tanımlanır. Kullanıcıların sistemleri nasıl kullandığını ve verilere nasıl eriştiğini anlamak, şüpheli davranışları tanımlamaya yardımcı olacaktır. Yeni nesil davranışsal analiz ürünleri kullanıcıların davranışlarını modelleyip, model dışında bir davranış gösterildiğinde ihlal olarak yakalamaya odaklanmıştır.
İç tehditleri yakalayabilmek için bir iç tehdit programı hazırlamak ve algılama teknolojilerine ek olarak, iç tehditlere odaklanan bir takım kurmak gerekebilir. İç tehdit programı hazırlanırken, öncelikle iç tehditin oluşmaması için caydırıcı olmaya odaklanılmalıdır. Bunun için çalışanlara işe başlangıç aşamasında, tehdit olabilecek davranışların ve ihlal durumunda yaptırımların da yer aldığı, güncel Makul Kullanım Sözleşmesi imzalatılabilir. Bu sözleşme, kullanıcılara aktivitelerinin sorumluluğunu yükler ve kötü niyetli çalışanlar için caydırıcıdır. Çalışanların yanında, sözleşmeli çalışanlar da dikkate alınmalıdır. Sözleşmeli çalışanlar, çalışanlarınız gibi erişim yetkilerine sahip olabilir. Yüksek riskli projelerde gizlilik sözleşmeleri yapılmalıdır. Yöneticilerin de iç tehdit olabileceği göz önünde bulundurulmalıdır. İç tehdit programında, kötü niyetli yönetici riski yönetilmelidir.

İç tehdit programı oluştururken, Kişisel Verileri Koruma kanunu başta olmak üzere mevcut yasa ve yönetmeliklere ve soruşturma gizliliğine dikkat edilmelidir. Soruşturma sonunda ne olacağı bilinmelidir. İç tehdidin, zararlı davranışlarının tespit edildiği soruşturmaların sonunda, yapılacaklar belli olmalıdır. Bir çok soruşturma, dava aşamasına geçmeden, çoğunlukla çalışanın işten çıkarılması ile son bulur. Eğer dava açılması düşünülüyor ise savcılık ve kolluk kuvvetleri ile iletişime geçilmelidir. Şüphelenilen çalışanın masum olduğu soruşturmalarda, toplanan deliller için uygun bir yok etme prosedürü olmalıdır.

Soruşturmalar için idare komitesi kurun
CEO, Risk Yöneticisi, Uyumluluk Yöneticisi, Bilgi Güvenliği Yöneticisi, İnsan Kaynakları, Hukuk, İç Denetim ve bunun gibi paydaşlardan bir idare komitesi oluşturulmalıdır. İç tehdit takımı, delileri topladıkktan sonra soruşturma başlatılmasına karar verirse, soruşturma başlatmak için idare komitesine delilleri sunmalı ve soruşturma başlatmak için izin almalıdır. İç tehdit, İdare Komitesi üyeleri ve CEO olsa bile kötü niyetli yönetici riskini yönetmek için süreç işletilmelidir.

İç tehdit takımı kurun
Belirli eğitim ve yeteneklere sahip, iç tehditlere odaklanan bir takım oluşturulmalı. Takım, bulgularını İnsan Kaynakları, Bilgi Güvenliği, Hukuk veya Risk Bölümüne raporlamalıdır. İç Tehdit Takımı, dış tehditlere karşı savunma için konumlandırılmış güvenlik ekibinden ayrı olmalıdır. Çalışanlar hakkında hassas veriler ile çalışacağı için iç tehdit ekibindeki çalışanlar güvenilir olmalı ve soruşturma tecrübesine sahip olmalıdır. İç tehdit takımının İnsan Kaynakları, Hukuk ve IT bölümleri başta olmak üzere bütün bölümlerden bilgi almaya ihtiyacı vardır. Aşağıda iç tehdit takımının olası paydaşları görülmektedir:

Kuralları tanımlayın
İç tehdit takımınının aktiviteleri nasıl izleyeceği, nasıl soruşturma başlatabileceği, iç tehdit olmasından şüphelenilenleri nasıl soruşturacakları ile ilgili kurallar açıkca tanımlanmalıdır. İç tehdit takımı, her soruşturma mahkemede bitecekmiş gibi hareket etmelidir. Soruşturma başlatılmasına karar verildikten sonra sanki bir hukuk davasıymış gibi iç tehdit süreci adım adım takip edilmelidir. Soruşturma sonunda, iç tehdite dava açılmasa bile sahip olunan deliller, iç tehditin size dava açması durumunda size yardımcı olacaktır.
İç tehditlerin düşman değil takım arkadaşları olduğu unutulmamalıdır. Hatalı algılamalar olabileceği göz önünde bulundurulmalı ve iç tehdit olarak şüphenilen kişinin masumiyetini zedelememek için soruşturma tamamlanana kadar asla suçlamada bulunulmamalıdır. Aşağıda bir iç tehdit sürecinin işleyişi görülmektedir:

Eğitim ve iletişimi önemseyin
İç tehdit programı ve politikalar hakkında çalışanlara bilgi verilmeli. Çalışanların, iç tehdit programı ve politikalar hakkında güncel kalması için düzenli olarak iletişim halinde bulunulmalı. Şirket ve personel yöneticilerine, iç tehdit riski ve iç tehdit programındaki rolleri konusunda eğitimler verilmeli.
İç tehdit riskinizi de teknik ve prosedürel tedbirler ile yöneterek, olası veri sızmalarına karşı savunmanızı güçlendirin.

Categories: GÖRÜŞLER

About Author

Write a Comment

Your e-mail address will not be published.
Required fields are marked*