Kullanıcı risk katmanı bir kuruluşun bilgi sistemlerine erişim yetkisi olan insanları ifade etmektedir.
Kullanıcılar, sistemlere,uygulamalara ve verilere tanımlanana erişim yetkileri çerçevesinde erişim sağlamalıdırlar. Veri güvenliği politikalarına ve erişim yönergelerine uyum sağlamaları için gerekli çalışmalar yapılmalıdır.
Çalışanlar kullandıkları bilgi teknolojisi kaynaklarından sorumludurlar, erişim yönergelerine uyum kontrolü bilgi işlem departmanı tarafında izlenmelidir.
1. Bilgi Güvenliği Risk Katmanları
Tekvizyon
Teknoloji Hizmetleri
www.tekvizyon.com.tr
Kullanıcı Risk Katmanı :
Kullanıcı risk katmanı bir kuruluşun bilgi sistemlerine erişim
yetkisi olan insanları ifade etmektedir.
Kullanıcılar, sistemlere,uygulamalara ve verilere
tanımlanana erişim yetkileri çerçevesinde erişim
sağlamalıdırlar. Veri güvenliği politikalarına ve erişim
yönergelerine uyum sağlamaları için gerekli çalışmalar
yapılmalıdır.
Çalışanlar kullandıkları bilgi teknolojisi kaynaklarından
sorumludurlar, erişim yönergelerine uyum kontrolü bilgi
işlem departmanı tarafında izlenmelidir.
Azaltma
Kullanıcı katmanı riskler,tehditler,zafiyetler ve azaltma planları
Risk,Tehdit,veya Zafiyet
Kullanıcılar, oltalama e-postalarına, klavye kaydediciler, kimlik ve parola
bilgilerini elde etmek için, çalışan, müşteri, tedarikçi veya kurumları
taklit eden saldırganlar hakkında bilgilendirilmeli. Bu tehditlere karşı BT
birimi kullanıcı erişimi öncesi güvenlik önlemlerini almalıdır.
Yetkisiz Erişim
Güvenlik farkındalığı eğitimi düzenlenmeli,hatırlatma afişleri asılmalı ve
çalışanlara hatırlatma e-postaları gönderilmeli
Kullanıcı farkındalığı
eksikliği
Yıllı güvenlik farkındalığı eğitimi düzenlenmeli, kullanım politikaları
uygulanmalı,yönergeler güncellenmeli, personel performans
değerlendirmelerinde kriterler içine alınmalı
Politikalara kullanıcı
ilgisizliği
Çalışanlar izlemeye alınmalı. BT departmanı tarafından politika uyum
değerlendirmesi yapılarak erişim denetimi kuralları gücellenmeli
Güvenlik politika ihlalleri
Cd sürücü ve USB portları kısıtlanmalı. Medya sürücüleri,dosyalar ve e-
posta ekleri için antivirüs taraması etkinleştirilmeli.
Kişisel dosya ve sürücü
kullanımı
İçerik filitreleme ve antivirüs taraması etkinleştirilmeli. içerik filitreleme
yazılımları veya cihazları güvenlik uyum politikalarına uygun olarak özel
alanlara izin verecek veya ret edecek şekilde yapılandırılmalı
Kullanıcı dosya indirme
Kullanıcı erişimleri sadece kendi işlerini yapmak için gerekli olan sistem,
uygulama ve verilerle sınırlandırılmalıdır. Yazma / Silme yetkileri sadece
veri sahibine verilmeli.
Kullanıcının sistemi,
uygulamayı veya verileri
tahrip etmesi
Hassas görevlerde çalışan ve hassas verilere erişen personel için Saldırı
tespit sistemi / Saldırı Önleme Sistemi (IDS / IPS) izlemesi
etkinleştirilmelidir. Gelen ve dışarı giden trafik için IP veri akışı
incelenmeli. Mesai saatleri dışı kullanımı takip edilmeli.
Çalışan Şantajı ve Gaspı
www.tekvizyonpc.com