IBiLGi GÜVENLiĞi istemiyoruz çünkü bu muhtemelen kullanı cının iT yöneticisini arayıp, internet bağlantısının koptuğunu söylemesine yol açacaktır. Kullanıcıları ne yaptıkları konusunda eğitmek daha iyidir ve bu, web kullanım alışkanlığının değiştirilmesinde çok önemli olabilir. Web erişim kontrolüne sahip olmayan bir şirkete gidip de, uygunsuz sitelere girildiğinde çıkan uyarı ekranlarını kurmaya başladığımızda, kişisel web kullanımı düzeyi şaşırtıcı derecede azalıyor. Özellikle de eğer uyarı ekranları kişisel bir mesaj içeriyor ve kullanıcıların adını ve ulaşılmak istenen siteyi belirtiyorsa... Proksi sistemleriyle korumaya dair bir bilgisizlik ve şirketlerin iT sistemlerini korumak için firewall'lara yersiz bir bağlılık söz konusu mu? Sanırım 'evet'. Fakat teknoloji dünyasındaki her konuda olduğu gibi tehditler de ilerlemeye ve değişmeye devam ediyor. Geçmişe dönüp teknolojiye şöyle bir baktığımda hatırlıyorum da birkaç yıl önce şirketlerin, şirkete gelen e-postaların tehdit nedeniyle engellendiğini söylediğini ya da şirketlerde internet erişimine izin verilmediğini duymak mümkündü. Ancak bugün durum böyle değil. Son zamanlarda elbette durum yine deFarklı şirketlerde yukarıda bahsi geçen teknolojiler farklı kabul aşamalarında bulunuyor. Skype ve P2P en son kabul aşamasında yer alıyor, çoğu şirket her iki teknolojinin kullanımını da şimdilik engellemek istiyor. Ama diğer iT sistemlerinde daha önce gördüğümüz gibi, birkaç yıl içinde bu teknolojilerin şirketlerin bazı departmanları tarafından standart olarak kabul edilmesi kuvvetle muhtemeldir. Proksi sistemi bir iT kurulumunda nerede yer alıyor? Araç tıpkı firewall gibi geçiş noktasında duruyor. Üniteler küçük ofislerden merkez ofislere kadar geniş bir alanda çalışabilecek şekilde tasarlanmıştır ve hepsi aynı özelliklere sahiptir. Tek farklılık web aktarımı ve kullanıcıların sayısıyla birlikte ortaya çıkıyor. Üniteler her bir şirketin taleplerine göre konfigüre edilebiliyor ve seçilen sitelere gün içersinde belli zamanlarda erişim sağlıyor, örneğin spor sitelerine sadece sabah dokuzdan önce ya da şirket ne zaman uygun görürse o zaman girebilirsiniz. Bant genişliğinden ötürü sitelerden aktarım/indirmeyi yasaklayabilir ya da bir haber sitesine mesaj gönderme yetisini kısıtlayabilirsiniz, bu arada da bütün gelen içerikler casus yazılım için kontrol edileğişti ve şirket yöneticileri için değerlen- cektir. dirme aşamasında olan anlık mesaj, video aktarımı, Skype vs. gibi teknolojiler ortaya çıktı. Şirketler bir teknolojiyi kullanmanın güvenli olduğuna nasıl karar veriyor? Yeni sistemler sunulduğunda, yöneticiler karar vermek için birkaç aşamadan geçme eğilimi gösteriyorlar. Birincisi, "Bu teknolojiyi hiç bilmiyorum" aşaması. Bunu "Bu teknolojiyi bana yeni açıkladılar, izin vermeyelim" aşaması takip ediyor. Üçüncü aşamada ise yeni teknolojiyi kullanmanın bazı yararlarının olduğunu kabul ediyor ama potansiyel tehditler nedeniyle bunu şirkette kimlerin kullanmasına izin verileceğine karar vermeleri gerektiğini söylüyorlar. IYANGIN ve GÜVENLiK SAYI 98 84 Şirketler altyapılarını korumak için bir proksi aracı kurmaya ihtiyaçları olduğuna nasıl karar veriyorlar? Her şey riskle ilgili. Şirket kendi iT güvenlik seviyesine karar vermelidir. Normalde daha küçük bir şirket riskin daha küçük olduğunu düşünecektir ama durum her zaman bundan ibaret değil. Maalesef bazen bize, ta ki PC'lerine iT departmanının baş edemeyeceği kadar çok casus yazılım girene ya da bir web sitesinden kaynaklanan bir virüs patlak verene kadar bunun bir sorun olduğunu fark etmeyen yöneticiler başvuruyor. Üniversiteler gibi erişimin yetkili kişilerle sınırlı olmadığı daha büyük organizasyonlarda bu sistemler zaruridir. Riskin genellikle bir zaman kaybı sorunu olduğunu belirtmekte de fayda var. Eğer günde bir saatini uygunsuz web sörfünde harcayan çalışanlarınızın olduğunu düşünüyorsanız ve 1Obin çalışanınız varsa, devasa miktarda zaman ve paranın boşa harcandığını görebilirsiniz. Dahası, bu kadar çok web aktivitesi yaşanması web erişimini yavaşlatabilir. Şirketler yavaş erişimle baş etmek için sık sık bant genişliğini arttırıyor halbuki tek yapmaları gereken kullanımı düzenlemek. Şirketler ağlarında casus yazılım olduğunu otomatik olarak biliyorlar mı? Hayır. Zaten bu kötü niyetli casus yazılımlarının doğurduğu sorunlardan biri. Sorun iki yönlü; virüslerin en kötü yönleri ve spam'in en kötü yönleri bir araya geliyor. Casus yazılımla, tıpkı virüsle olduğu gibi, birileri PC'nizi ele geçirmeye çalışır ve casus yazılım tıpkı spam gibi genellikle parasal kazanç için yazılır. Geçmişte çoğu virüs gösteriş yapmaya ve şöhret ya da kötü şöhret kazanmaya çalışan insanlar tarafından yazılırdı ama casus yazılım sistemde sessizce gizleniyor ve onun orada olduğunu bilemeyebiliyorsunuz. Sorun genellikle iT departmanına bir PC'deki yavaşlamayı bildirmek için telefon açılana kadar su yüzüne çıkmıyor. Casus yazılımın diğer bir şaşırtıcı özelliği de ağlarında potansiyel tehdit oluşturan hiçbir teknolojinin olmadığına inanan birçok saygın yöneticinin olmasıdır. Yöneticilerin sistemlerinde Skype ya da anlık mesaj düzeneğinin olmadığını söylediği ve biz aletlerimizi kurduktan sonra bu düzeneklerin var olduğunu gördüğü birçok şirkete gittim. Daha sonra bu teknolojilerin kullanımının şirkete faydalı olup olmadığına karar vermek ve eğer faydalıysa güvenli bir kullanım için bir politika üretmek yöneticilere kalıyor. Skype, anlık mesaj gibi teknolojilerin hepsi ağa potansiyel sorunlar oluşturuyor ama çalışanların daha verimli olmasını da sağlayabilirler. Dolayısıyla, bunların şirketteki değerini risk bağlamında belirlemek çok önemli... ■
RkJQdWJsaXNoZXIy MTcyMTY=