Fransız Veri Koruma Kurumu (CNIL) – Uzaktan Çalışma Yapan Çalışanlar: Takip Edilecek En İyi Uygulamalar Nelerdir? – 01.04.2020

Korona Virüs Salgını (COVID-19) pek çok şirketi uzaktan çalışma çözümleri uygulamaya yöneltti. Siz de bu tür bir işleyişten etkilendiyseniz, kişisel güvenliğiniz ve şirketinizin güvenliğinizi garanti etmek için bir kaç kuralı takip etmelisiniz.

İşvereninizin talimatlarını takip edin

• Şayet şirketiniz uzaktan çalışma için BT (Bilgi Tekonojileri) yönergesi var ise, okuyun ve katı bir şekilde uygulayın.

• Ofiste yapmayacağınız şeyleri uzaktan yapmayın. Profesyonel ve kişisel kullanımlarınızı ayırdığınızdan emin olarak, özellikle internet tarayıcınız olmak üzere profesyonel ekipmanların kullanımı ve ekipmanlara erişimde sorumluluk sahibi ve tedbirli olun. Örneğin bu iki alan için aynı uygulamaları kullanıyorsanız farklı hesaplar oluşturabilirsiniz.

İnternet bağlantınızı güvenli hale getirin

• İnternet kutunuzun doğru kurulduğundan emin olun. Yönetici (admin) giriş şifrenizi kontrol edin, şayet zayıf bir şifre ise değiştirin ve dahili yazılımını güncelleyin. İşleticinizin (bunlara örnek olarak Bouygues , SFR , Orange and Free) internet sitesi size bu adımları düzgünce uygulamak için yardımcı olacaktır.

• Kablosuz bağlantı (WI-FI) kullanıyorsanız, uzun ve karışık bir şifre (Bilgi Sistemleri Güvenliği Ulusal Ajansı [ANSSI] örneğin 20 karakter civarında önermektedir ) ile birlikte WPA2 veya WPA3 şifreleme seçeneğini aktive edin.

Şirketiniz tarafından sağlanan ve kontrol edilen ekipmanların kullanılmasını teşvik edin

Şayet mümkünde, imkan olduğu ölçüde şirketiniz tarafından sağlanan VPN (Sanal Özel Ağ) kullanın:

• Elektronik mesajlaşma ile olmasındansa VPN’de bulunan depolama alanı üzerinden veri değişimi yapılmasını tercih edin,
• Güncellemeleri uygulamak için günde en az bir kere VPN’e bağlanın,
• VPN’i yalnızca kurumsal ağı kullanmanızı gerektirmeyen video yayını gibi geniş bant tüketen servisleri kullanırken etkisiz hale getirin

Kişisel bir bilgisayar kullanmanız gerekiyorsa yeterince güvenli olduğundan emin olun

Şunlar yapılmalıdır:

• Bir antivirüs proramı ya da güvenlik duvarı kurun. Windows 10 iletim sistemi kullanıyorsanız, güvenlik merkezini kullanarak koruma sistemlerinizin durumunu kontrol edin.
• Kısıtlı haklara sahip, güçlü ve diğer kişilerle (örneğin diğer aile üyeleri) paylaşılmayan bir parola ile korunan ve kesinlikle gerekli olan uygulamaların yüklenmesi ile sınırlı şekilde kişisel hesabı kullanın.
• Özellikle internet tarayıcınız ve eklentileri olmak üzere, işletim sisteminizi ve kullandığınız yazılımları düzenli olarak güncelleyin .
• Şirketinizin altyapısı tercih edilebilir olmak üzere, şayet mümkünse otomatik yedek çözümünü de aktive ederek, işinizin düzenli yedeğini alın,
• Tüm hizmetlerinizde güçlü bir parola kullanın ve hizmetiniz tarafından sunulduğu anda iki faktörlü yetkilendirmeyi (kimlik doğrulama anahtarı, şifre üretici, SMS) aktive edin. Şifre yöneticileri, örneğin KeePass ya da ZenyPass yazılımı, depolama alanlarını ve yönetimini güvence altına almanıza izin verecektir.

The CNIL hızlıca güçlü şifreler yaratmanız için bir araç önermektedir.

Güvenli iletişim

• Gizli bilgileri tüketici depolama hizmetleri, çevrimiçi dosya paylaşımı, işbirlikçi düzenleyiciler ya da mesajlaşma ile aktarmaktan kaçının. Aksi durumda, aktarmadan önce veriyi şifreleyin ve şifreleme anahtarını ayrı bir iletişim kanalı (örneğin telefonla ya da SMS ile şifre iletimi) gönderin. 7-zip ve Zed! gibi tüketici yazılımları veriyi güvenilir olarak bilinen algoritmalarla şifrelemenize izin verir.
• Yalnızca şirketiniz tarafından yetkilendirilmiş uygulamaları yükleyin. Şayet şirfeniz bir uygulama yükleme sistemi önermezse, bu uygulamaları yayıncıların resmi site veya marketlerinden indirin.
• Şayet şirketiniz size güvenli bir iletişim cihazını sağlamaz ise, uçtan uca şifrelemeli iletişim araçlarını kullanın. Her durumda, her zaman işvereninizin talimatlarını izleyin.
• Gizliliği korumak için video konferans sistemlerini seçin. Verilerinizin güvenliğini garanti aldığını ve farklı amaçlar için yeniden kullanılmayacağını garanti eden araçlar olduğundan emin olmak için yazılımınızın kullanım koşullarını kontrol edin. ANNSSI idareler, hayati önemdeki işleticiler (OIV) ve güvenliği hakkında endişelenen şirketler için Tixeo’yu onaylamıştır.

Kimlik avı girişimleri konusunda özellikle dikkatli olun

Bilgisayar korsanları, kriz zamanlarının ya da sorunların yarattığı avantajlardan yararlanmak için yeni dolandırıcılık yöntemleri icat ederler. Şu türden etkileşimlerde alarmda olun:

• Tanımadığınız insanlar, özellikle sizi bir bağlantı tıklamaya ya da dosya açmaya davet ediyorsa.
• Alışılmadık bir iletişim gönderen tanıdığınız kişiler: Bu bilgiyi (telefon, SMS, e-posta gibi) farklı kanallardan teyit etmeye çalışın.
• Bir acil durum ya da tehlike algısı yaratmak isteyen insanlar. Şayet gerekli ise, örneğin internette araştırmak gibi iletilen bilgiynin doğruluğunu teyit etmek için farklı kanallar kullanın.

Herhangi bir şüphe halinde, bilgi sistem yöneticinizden ya da bilgisayarınızın sistem güvenliği yöneticisinden yadım isteyin.

Yazının orijinali için bkz.

https://www.cnil.fr/fr/salaries-en-teletravail-quelles-sont-les-bonnes-pratiques-suivre