30 Ocak 2014 Perşembe

Mobil Cihazlar ve Bilgi Güvenliği

EK-A 6.2.1 Mobil Cihaz Politikası
Kontrol: Mobil cihazların kullanımından kaynaklanan risklerin yönetimi için bir politika ve destekleyici güvenlik önlemleri uygulanmalıdır.


Uygulama Kılavuzu:
Kurumsal verilere zarar gelmemesi adına, mobil cihazlar kullanılırken özen gösterilmesi faydalı olacaktır. Mobil cihaz politikası, mobil cihazların korunmasız ortamlarda kullanıldığı riskini her zaman göz önünde bulundurmalıdır.
Mobil cihaz politikası aşağıdaki konu başlıklarına ilişkin çözümler sunmalıdır;
-Mobil cihazların kayıt altına alınması, ek olarak zimmet formu doldurulması
-Mobil cihaz kullanımında fiziksel şartların uygunluğu (Delici, kesici aletler, sıcaklık, nem su v.b)
-Yazılım yüklemeye ilişkin kısıtlamalar
-Mobil cihaz yazılımlarının sürüm takibi ve yama yönetimi
-Bilgi servislerine erişim kısıtlamaları
-Erişim kontrolleri
-Kriptografik kontoller
-Zararlı yazılımlardan korunma
-Uzaktan devre dışı bırakma, silme
-Yedekleme
-Kablosuz ağ kullanımı
-Web uygulamaları ve web servislerinin kullanımı
Mobil cihazlar halka açık alanlarda kullanılırken ekstra özen gösterilmelidir.  Yetkisiz erişim ve bilgi ifşasını engelleyecek kontroller uygulanmalıdır. Bu kontroller kriptografik önemler(VPN v.b), parola kullanımı ve diğer kimlik doğrulama mekanizmaları olarak sınıflandırılabilir.
Çalınma ve kaybolmaya ilişkin riskler göz ardı edilmemelidir. Sigortalama ve kuruma özgü diğer ek kontroller uygulanmalıdır. Kritik bilgi taşıyan kurumsal mobil cihazlar, gözetimsiz bırakılmamalı,  mümkün olan yerlerde fiziksel olarak kilitli alanlarda saklanmalı(Ör: Dizüstü bilgisayarları mesai saati dışında ofiste kilitli alanlarda saklamak), bu cihazlar güçlü parola ve yetkilendirme mekanizmaları ile kontrol altına alınmalıdır.
Kuruluş, BYOD(bring your own device) gibi bir politika benimsedi ise aşağıdakiler göz önünde bulundurulmalıdır;
-Şahsi ve kurumsal kullanımın ayrımına gidilebilir. Böylelikle kişiye ait olan bir cihazda kurumsal verinin kullanımı daha güvenli olacaktır. (Bu işlemi gerçekleştirme için özelleşmiş yazılımlar kullanılabilir.)
-Kurumsal verilere erişimin sağlanabilmesi için yalnızca sözleşmeyle gerekli yetkiye sahip kullanıcı atanmasıyla, veri kaybı ve çalınmasının önüne geçilebilir.

Hiç yorum yok:

Yorum Gönder