VPN GoUp News

  • Home
  • Blog
  • Opsec explained: why you need it
VPNGoupCom what-is-opsec-ok-1024x576

Opsec explained: why you need it

Ofisinizde sıradan bir gün. Meslektaşlarınızla sohbet ederken bir grup selfie alırsınız. Instagram’a gönderiyorsunuz, ancak ertesi gün patronunuz sizi hızlı bir sohbet için çağırıyor. Fotoğrafın arka planındaki kağıtlı sunum tahtasında hassas bir veritabanının kullanıcı adı ve şifresi bulunduğunu öğrenirsiniz. Opsec, bu tür durumlardan kaçınmanıza yardımcı olabilir.

Opsec nedir?

Opsec (“Operasyon Güvenliği”) terimi, Vietnam Savaşı sırasında ABD ordusu tarafından oluşturuldu. Komutanlar, rakipleri onlar hakkında bilgi alabildikleri için bazı işlemlerin başarısız olduğunu buldular. Askeri yetkililer daha sonra bu tür durumlardan kaçınmak için önleyici tedbirleri ve önerileri kodladı ve süreci “Operasyon Güvenliği” olarak adlandırdı.

Bu terim şimdi siber güvenlik ve çevrimiçi gizlilik alanlarında yaygın olarak kullanılmaktadır. Daha genel olarak, bir düşmanın (örn., Bir siber suçlu veya rakip şirket) toplanıp kötüye kullanılabileceği bir işlem veya operasyonda kullanılan verilerin korunması anlamına gelir.

Bu şemsiyenin altına birçok şey düşüyor:

  • Fotoğrafta yanlışlıkla görünen bir şifre;
  • Dijital ayak izlerimiz;
  • Kamuya açık kişisel veriler;
  • Meta verilerimiz;
  • Sosyal medyada kişisel bağlantılar;
  • Konumumuzu tanımlayan bir resim vb.

Yoğun veri toplama ve gelişmiş hacker teknikleri çağında, size karşı en küçük, en önemsiz ayrıntılar bile kullanılabilir. Örneğin, işyeri dışında bir e-posta, bir bilgisayar korsanına önemli bir çalışanın işyeri dışında olduğunu ve saldırı başlatmak için mükemmel bir fırsat olduğunu söyleyebilir. Özçekiminizin arka plan detayları nerede olduğunuzu gösterebilir ve takipçilerin kapısını açabilir.

Bu tür sızıntıları önlemek için, şirketler genellikle çalışanlarından gizlilik sözleşmeleri (NDA) imzalamalarını ister. NDA’lar genellikle şirketin adresi, ürünleri, diğer şirketlerle ilişkileri vb. Gibi masum görünen bilgileri bile açıklamamalarını zorunlu kılar. Kurumsal olmayan bir bağlamda, sosyal medyadaki genel bilgilerinizin çok fazla açığa çıkmadığını kişisel ayrıntılar, dijital ayak izinizi azaltın, kişisel ve profesyonel online benliklerinizi her zaman ayırın.

İLGİLİ MAKALELER

Şimdiye kadar 2019’un en büyük 5 veri ihlali Haber · 5 dakika okuma
Bilgisayarım saldırıya uğradı mı? Nasıl Yapılır · 3 dk. Okuma

Opsec beş aşamalı süreç

Opsec beş aşamalı bir süreçtir. İşletme, bilgilerini tanımlamak ve korumak için her adımı dikkatle değerlendirmelidir:

1. Önemli bilgileri belirleme

İlk adım, kuruluşun yanlış ellere geçmesi durumunda kuruluşu tehlikeye atabilecek verileri tanımlamaktır. Bu, finansal kayıtlardan sosyal medya meta verilerine kadar herhangi bir şey olabilir. Bazen hangi bilgilerin zararlı olabileceğini belirlemek gerçekten zordur. Yeni tehlikeler ve tehditler hakkında her zaman güncel kalın. Arka planda şehir manzarası, LinkedIn’de bir iş ilanı  veya ofis dışında bir e-posta gibi görünen zararsız şeyler  zarar verebilir.

2. Potansiyel tehdit analizi

Kuruluş için iç ve dış tehditleri belirleyin. 1. adımda bahsedilen verilerden yararlanabilecek belirli veya genel rakipleri adlandırın. Hangi verilerin kendileri için en ilginç olacağını düşünün. Örneğin, rakipleriniz şunlar olabilir:

  • Rakip bir şirket;
  • Bir grup güvenilmez çalışan;
  • Hackerlar.

3. Güvenlik açığı analizi

Düşmanlarınızın verilerinize erişmek için kötüye kullanabileceği ana güvenlik açıklarını göz önünde bulundurun (ör. Boşluklar, arka kapı erişimi, yapılandırma zayıflıkları, potansiyel veri sızıntıları, vb.). Birkaç potansiyel durum:

  • Rakip bir şirket, bazı çalışanların konumlarını LinkedIn profillerinden çıkardıklarını öğrenebilir;
  • Bir grup güvenilmez çalışan  , yönetici haklarını kullanarak ayrıcalık yükseltme saldırısı başlatabilir  ;
  • Bilgisayar korsanları  ofisinize ne geldiğini görmek ve hatta kendi içine girmek  için Ring kapı zilinizi kesebilir .

4. Risk değerlendirmesi

Zayıf noktalarınızı keşfettiğinizde, ortaya çıkardıkları tehdit seviyesini değerlendirmelisiniz. Saldırı olasılığını, ne tür bir hasar vereceğini ve savunmanın ne kadar zor olduğunu düşünmelisiniz. Bu, çabalarınızı önceliklendirmenize yardımcı olacaktır. Örneğin, saldırıya uğramış bir Ring cihazının, çalışanlarınızın sosyal medya profilleri aracılığıyla rakip şirketlerin gözünden daha fazla zarar verip vermeyeceğini sorabilirsiniz.

5. Güvenlik önlemlerini uygulayın

Güvenlik açıklarını ve risklerini belirledikten sonra, kendinizi korumak için uygun azaltma önlemlerini belirlemelisiniz. Bu şunları içerebilir:

  • Yeni güvenlik uygulamaları ve politikaları;
  • Çalışan eğitimi;
  • Güncellenmiş güvenlik yazılımı vb.

Opsec beş adımlı süreç yalnızca kurumsal ortamlarda değil, aynı zamanda günlük kullanıcıların risk yönetimi için de yararlıdır. Her birimizin şifreler veya fikri mülkiyet gibi kritik bilgileri var. Opsec programı iyi bir siber güvenlik kılavuzu olarak kullanılabilir. Veri ihlallerini önlemek için bir adım önde olun.

Siber güvenlik hakkında daha fazla bilgi edinmek için aşağıdaki aylık blog bültenimize abone olun!

 

Categories:
Tags:

Related Article

You must be logged in to post a comment.