Teknolojinin hızlı bir şekilde gelişmesi ile birlikte dijital dünyadaki veri mahremiyeti ve güvenliği hayati önem arz eder. CIS (İnternet Güvenliği Merkezi) verilerimizi siber saldırılara karşın korumaya yönelik kullanılan en iyi uygulamalar arasında yer almaktadır. CIS 20’nin tehdit aktörlerine karşı olan yaklaşımı, işletmeler ve kurumların siber güvenlik postürleri için bir dizi talimatlar ve öneriler sunar. Bu talimatların ve önerilerin neler olduğunu gelin hep beraber inceleyelim.
CIS Control 18 Uygulama Yazılımı Güvenliği
Microsoft ürün ailesi içerisinde yer alan Microsoft uygulamalarınızın güvenliğinin sağlanmasıyla ilgili dikkate alınması gereken bazı önemli unsurlar bulunur. Bu önemli unsurlar şunlardır;
- Yazılım Varlıklarının Envanteri ve Kontrolü
- Sürekli Güvenlik Açığı Değerlendirmesi ve İyileştirme
- Mobil Cihazlar, Dizüstü Bilgisayarlar, İş İstasyonları ve Sunuculardaki Yazılımlar İçin Güvenli Yapılandırmalar
- Kötü Amaçlı Yazılım Savunmaları
- Uygulama Yazılımı Güvenliği
- Yazılım Varlıklarınızın Envanteri ve Kontrolü
Microsoft ürün ve ailesi içerisinde yer alan Windows İşletim Sistemi ve Office paket programları olan Microsoft yazılımlarının ve diğer uygulamalarıda kapsayan tüm yazılım varlıklarınızın doğru bir mimari ile tasarlanmış, düzenli bir envanter yapısına sahip olması yazılım varlıklarınızın envanter yönetimi ve kontrolü açısından önemlidir.
- Sürekli Güvenlik Açığı Değerlendirmesi ve İyileştirme
Microsoft yazılımını güvenlik açıklarına karşı düzenli olarak değerlendirin ve herhangi bir güvenlik sorununu gidermek için Microsoft’un yama ve güncellemeleri zamanında uygulayınız.
- Mobil Cihazlar, Dizüstü Bilgisayarlar, İş İstasyonları ve Sunuculardaki Yazılımlar için Güvenli Yapılandırmalar
Microsoft yazılımını en iyi güvenlik uygulamalarına uygun olarak yapılandırın. Microsoft, bu konuda size yardımcı olmak için Grup İlkesi ve Güvenlik Temelleri gibi araçları kullanmanızı sağlamaktadır.
- Kötü Amaçlı Yazılım Savunmaları
Kötü amaçlı yazılımlara ve diğer tehdit faktörlerine karşı koruma sağlamak için Microsoft’un Defender gibi yerleşik güvenlik çözümlerinden yararlanın. Çünkü Microsoft Defender aynı zamanda bir antivrüs çözümü olamak ile birlikte siber tehdit tespiti ve önlenmesi açısından bir tehdit analizi platformudur.
- Uygulama Yazılımı Güvenliği
Microsoft teknolojileri kullanılarak geliştirilen uygulamaların, yaygın güvenlik açıklarını önlemek için güvenli kod geliştirme uygulamalarını takip etmeniz uygulama güvenliği açısından önemlidir.
CIS Control 20 Güvenlik Becerileri Değerlendirmesi ve Eğitimi Kontrolleri
Bir siber saldırının en zayıf halkası insan faktörüdür. CIS 20 ve Microsoft ürün ve ailesi açısından güvenlik becerileri değerlendirmesi ve eğitimi kontrolleri önemlidir. Güvenlik becerilerinin değerlendirmesi ve eğitim kontrolleri şunları kapsamaktadır.
- Güvenlik Eğitimi ve Farkındalık Programları
BT personelleri ve son kullanıcıların Microsoft ürünlerini güvenli bir şekilde nasıl kullanacakları konusunda eğitim alması önemlidir. BT profesyonelleri ve son kullanıcıları kimlik avı tehditleri, şifre güvenliği ve diğer ilgili konular hakkında eğitim alması kullanıcıların bilgi güvenliği farkındalığı bakış açısını geliştirmektedir.
- Geliştiriciler için Güvenli Kod Geliştirme Eğitimi
İşletmeler ve kurumların Microsoft teknolojilerini kullanarak yazılım geliştiriyorsa, güvenlik açıklarını önlemek için güvenli kod geliştirme uygulamalarına ilişkin eğitim sağlayınız.
- Kırmızı Takım Tatbikatları
Microsoft ürünleriyle ilgili ve diğer çözümleriniz de dahil olmak üzere güvenlik önlemlerinizin etkinliğini test etmek için kırmızı takım tatbikatları planlayınız.
- Siber Güvenlik Sertifikaları
BT personellerinizi Microsoft ürünlerinin yönetimi ve güvenliğinin sağlanması konusunda uzmanlıklarını doğrulamak için Microsoft tarafından sunulanlar gibi ilgili güvenlik ve uzmanlık sertifikaları almaya teşvik ediniz.
- Olay Müdahale Eğitimi
BT ekibinizin, Microsoft ürünlerini içerenler de dahil olmak üzere güvenlik ihlal olayları konusunda kapsamlı bir şekilde eğitim aldırınız.
Microsoft, BT profesyonellerine ve son kullanıcılara Microsoft Öğrenme ve Microsoft Güvenlik ve Uyumluluk merkezleri aracılığıyla işletmelerin ve kurumların CIS denetimlerine hazırlanmalarını sağlamak ve başarılı bir denetim geçirmesine fayda sağlamak için çeşitli kaynaklar, eğitimler ve sertifikalar sunmaktadır.
CIS Control 18, Microsoft ürünleri de dahil olmak üzere yazılım ortamınızda güvenli kod geliştirme ve güvenliğinin sağlanmasına odaklanırken, CIS Control 20 daha çok bu ürünleri güvenli bir şekilde yönetmek ve kullanmak için ilgili eğitim ve farkındalıkları ile ilgili konuları içermektedir. Microsoft ürünlerini kullanırken işletmelerin ve kurumların güvenlik postürlerini geliştirmeyi amaçlayan bu kontrolleri genel siber güvenlik stratejinize ve eylem planlarınıza entegre etmeniz önemlidir.