Uzaktan çalışma yöntemi kullanan iş yerleri, kurumlar ve personeller için dikkat edilmesi gereken hususlar, alınması gereken tedbirler ve en iyi uygulama örnekleri aşağıda belirtilmiştir.
Uzaktan çalışma yöntemini uygulayan kurumlar ve sistem yöneticileri tarafından;
- Güvenlik ve çalışma koşullarına ilişkin risklerin belirlenmesi ve minimize edilerek uzaktan çalışma koşullarının oluşturulması için teknik ve idari personelin içinde bulunduğu bir çalışma grubunun oluşturulması önem arz etmektedir.
- Uzaktan erişime açılamayacak derecede kritik hizmetlerin risk değerlendirmelerinin yapılması gerekmektedir. Uzaktan erişime uygun olmayan kritik hizmetler ve kaynaklar için önceliklendirme yapılması, yeterli sayıda personelin yedekli biçimde iş yerinde bulundurulması ve görevlendirilmesi sağlanmalıdır.
- Uzaktan çalışan tüm personele özellikle güçlü parola kullanımı, sosyal mühendislik saldırıları ve güvenlik yazılımları hakkında farkındalık eğitimi verilmeli ve oryantasyon yapılmalıdır.
Uzaktan erişim için VPN veya uzaktan yönetim servisi (RDP, SSH vb.) kullanılması durumunda;
- İlgili sistemlerin en güncel/stabil/güvenli versiyonu kullanılmalıdır.
- Sistemlerin desteklediği tüm güvenlik önlemleri doğru ve tam şekilde yapılandırılmalıdır.
- Üretilen iz kayıtları (logların) olası bir saldırıyı tespit edecek şekilde düzenli olarak kayıt altına alınmalı,
- Yetkisiz erişim, kaba kuvvet (brute force) saldırıları vb. anomalilerin tespiti için alarm mekanizmaları oluşturulmalıdır.
- Yetkiler “en az gerekli yetki” prensibine uygun verilmelidir.
- Sistemler üzerinde maksimum bağlantı süresi için bir zaman aşımı tanımlanmalıdır.
- Uzaktan çalışma boyunca tanımlanan kurallar geçici süreliğine oluşturulmalıdır.
- Mümkün olduğu durumlarda uzaktan bağlantılar için “kaynak IP” kısıtlaması yapılmalıdır.
- Erişimler için çok faktörlü kimlik doğrulama ve zaman bazlı yetkilendirme önlemleri alınmalıdır.
- Uzaktan çalışan personel için güvenlik önlemleri alınmış sistemler/bilgisayarlar verilmesi gerekmektedir.
- Risk değerlendirmesine göre uzaktan erişimin tanımlanmaması gereken hiçbir kritik sisteme erişim için izni verilmediğinden emin olunması gerekmektedir.
Uzaktan çalışan personel tarafından;
- Uzaktan çalışma için kullanılan sistemlerde (PC, laptop, tablet, telefon vb.) gerekli güvenlik yazılımlarının yüklendiğinden, güncel yazılımların kullanıldığınden, zararlı yazılım bulunmadığından emin olunmalıdır.
- Uzaktan çalışma sırasında dahi olsa, kurum dışına herhangi bir kritik verinin çıkarılmaması ve kaydedilmemesi gerekmektedir.
- Dışarıya çıkarılması zorunlu, kritik olmayan verilerin, kopyalandığı veya taşındığı sistemlerin takip edilmesi, söz konusu verilerin güvenliğinin sağlanması gerekmektedir.
- Bağlantının büyük bir çoğunluğunun kablosuz modemler ile yapılacağı varsayıldığında kablosuz modemler üzerinde WPA/WPA2 protokolünün kullanılması, Mac adresi filtreleme, SSID gizleme gibi önlemlerin alınması gerekmektedir.