Teknolojinin hızlı bir şekilde gelişmesi ile birlikte dijital dünyadaki veri mahremiyeti ve güvenliği hayati önem arz eder. CIS (İnternet Güvenliği Merkezi) verilerimizi siber saldırılara karşın  korumaya yönelik kullanılan en iyi uygulamalar arasında yer almaktadır. CIS 20’nin tehdit aktörlerine karşı olan yaklaşımı, işletmeler ve kurumların siber güvenlik postürleri  için bir dizi  talimatlar  ve öneriler sunar. Bu talimatların ve önerilerin neler olduğunu gelin hep beraber inceleyelim.

CIS Control 18 Uygulama Yazılımı Güvenliği

Microsoft ürün ailesi içerisinde yer alan Microsoft uygulamalarınızın güvenliğinin sağlanmasıyla ilgili dikkate alınması gereken bazı önemli unsurlar bulunur. Bu önemli unsurlar şunlardır;

  • Yazılım Varlıklarının Envanteri ve Kontrolü
  • Sürekli Güvenlik Açığı Değerlendirmesi ve İyileştirme
  • Mobil Cihazlar, Dizüstü Bilgisayarlar, İş İstasyonları ve Sunuculardaki Yazılımlar İçin Güvenli Yapılandırmalar
  • Kötü Amaçlı Yazılım Savunmaları
  • Uygulama Yazılımı Güvenliği
  • Yazılım Varlıklarınızın Envanteri ve Kontrolü  

Microsoft ürün ve ailesi içerisinde yer alan Windows İşletim Sistemi ve Office paket programları olan Microsoft yazılımlarının ve diğer uygulamalarıda kapsayan tüm yazılım varlıklarınızın doğru bir mimari ile tasarlanmış, düzenli bir envanter yapısına sahip olması yazılım varlıklarınızın envanter yönetimi ve kontrolü açısından önemlidir.

  • Sürekli Güvenlik Açığı Değerlendirmesi ve İyileştirme

Microsoft yazılımını güvenlik açıklarına karşı düzenli olarak değerlendirin ve herhangi bir güvenlik sorununu gidermek için Microsoft’un yama  ve güncellemeleri zamanında uygulayınız.

  • Mobil Cihazlar, Dizüstü Bilgisayarlar, İş İstasyonları ve Sunuculardaki Yazılımlar için Güvenli Yapılandırmalar

Microsoft yazılımını en iyi güvenlik uygulamalarına uygun olarak yapılandırın. Microsoft, bu konuda size yardımcı olmak için Grup İlkesi ve Güvenlik Temelleri gibi araçları kullanmanızı sağlamaktadır.

  • Kötü Amaçlı Yazılım Savunmaları

Kötü amaçlı yazılımlara ve diğer tehdit faktörlerine karşı koruma sağlamak için Microsoft’un  Defender gibi yerleşik güvenlik çözümlerinden yararlanın. Çünkü Microsoft Defender aynı zamanda bir antivrüs çözümü olamak ile birlikte siber tehdit tespiti ve önlenmesi açısından bir  tehdit analizi platformudur.

  • Uygulama Yazılımı Güvenliği

Microsoft teknolojileri kullanılarak geliştirilen uygulamaların, yaygın güvenlik açıklarını önlemek için güvenli kod geliştirme uygulamalarını takip etmeniz uygulama güvenliği açısından önemlidir.

CIS Control 20 Güvenlik Becerileri Değerlendirmesi ve Eğitimi Kontrolleri

Bir siber saldırının en zayıf halkası insan faktörüdür. CIS 20 ve Microsoft ürün ve ailesi açısından güvenlik becerileri değerlendirmesi ve eğitimi kontrolleri önemlidir.  Güvenlik becerilerinin değerlendirmesi ve eğitim kontrolleri şunları kapsamaktadır.

  • Güvenlik Eğitimi ve Farkındalık Programları

BT personelleri ve son kullanıcıların  Microsoft ürünlerini güvenli bir şekilde nasıl kullanacakları konusunda eğitim alması önemlidir. BT profesyonelleri ve son kullanıcıları kimlik avı tehditleri, şifre güvenliği ve diğer ilgili konular hakkında eğitim alması kullanıcıların  bilgi güvenliği farkındalığı bakış açısını geliştirmektedir.

  • Geliştiriciler için Güvenli Kod Geliştirme Eğitimi

İşletmeler ve kurumların Microsoft teknolojilerini kullanarak yazılım geliştiriyorsa, güvenlik açıklarını önlemek için güvenli kod geliştirme uygulamalarına ilişkin eğitim sağlayınız.

  • Kırmızı Takım Tatbikatları

Microsoft ürünleriyle ilgili ve diğer çözümleriniz de dahil olmak üzere güvenlik önlemlerinizin etkinliğini test etmek için kırmızı takım tatbikatları planlayınız.

  • Siber Güvenlik Sertifikaları

BT personellerinizi Microsoft ürünlerinin yönetimi ve güvenliğinin sağlanması konusunda uzmanlıklarını doğrulamak için Microsoft tarafından sunulanlar gibi ilgili güvenlik ve uzmanlık  sertifikaları almaya teşvik ediniz.

  • Olay Müdahale Eğitimi

BT ekibinizin, Microsoft ürünlerini içerenler de dahil olmak üzere güvenlik ihlal olayları  konusunda kapsamlı bir şekilde  eğitim aldırınız.

Microsoft, BT profesyonellerine ve son kullanıcılara Microsoft Öğrenme ve Microsoft Güvenlik ve Uyumluluk merkezleri aracılığıyla işletmelerin ve kurumların CIS denetimlerine hazırlanmalarını sağlamak  ve başarılı bir denetim geçirmesine fayda sağlamak için  çeşitli kaynaklar, eğitimler ve sertifikalar sunmaktadır.

CIS Control 18, Microsoft ürünleri de dahil olmak üzere yazılım ortamınızda güvenli kod geliştirme  ve güvenliğinin sağlanmasına odaklanırken, CIS Control 20 daha çok bu ürünleri güvenli bir şekilde yönetmek ve kullanmak için ilgili eğitim ve farkındalıkları ile ilgili konuları içermektedir. Microsoft ürünlerini kullanırken işletmelerin ve kurumların güvenlik postürlerini geliştirmeyi amaçlayan bu kontrolleri genel siber güvenlik stratejinize ve eylem planlarınıza entegre etmeniz önemlidir.

By Arzu TUFAN

Cyber Security | ISC2 CC | ICSI-CNSS | MCP-MCTS | ISO/IEC 27001 LA - ISO/IEC 9001 LA - ISO/IEC 22301-ISO/IEC 31000 | DPO | Academic Writer | Global Bilişim Derneği Founding Board Member @BilisimDernegiO @BilisimGrubu

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir