Kullanıcılar için politika belirlemenin yanı sıra, sistem yöneticileri için de tanımlanmış bazı politikalarınız olmalıdır. Kullanıcı ekleme, kullanıcı kaldırma, güvenlik sorunlarıyla ilgilenme, herhangi bir sistemi değiştirme gibi durumlar için bir prosedür olmalıdır.
Sadece bununla kalınmaz, olağan dışı bir sapmayı ele almak için prosedürler kullanırız.
Yeni İşe Başlayanlar İçin Politikalar
Yeni bir çalışan işe alındığında, sistem yönetimi politikası şirket güvenliğini korumak için belirli adımlar tanımlanır. Yeni çalışanlara görevlerinin gerektirdiği kaynaklara ve uygulamalara erişim izni verilmelidir. Bu erişimin verilmesi ile birlikte belgelendirilerek kayıt altına alınır. Ayrıca her yeni çalışanın şirketin bilgisayar güvenliği kabul edilebilir kullanım politikalarının bir kopyasını alması ve bunun alındığını kabul eden bir belge imzalaması da önemlidir.
Yeni bir çalışan işe başlamadan önce, BT departmanı (özellikle ağ yönetimi) o kişinin çalışacağı iş biriminden yazılı bir talep almak zorundadır. Bu istek, bu kullanıcının tam olarak hangi kaynaklara ihtiyacı olacağını ve ne zaman başlayacağını belirtir. Ardından, ağ yönetimini veya ağ güvenliğini yöneten kişi talebi onaylamalı ve imzalamalıdır.
İşten Ayrılma Durumunda Politikalar
Bir çalışan ayrıldığında, tüm girişlerin sonlandırıldığından ve tüm sistemlere tüm erişimin derhal durdurulduğundan emin olmak önemlidir. Ne yazık ki, bu birçok kuruluşun yeterince dikkat etmediği bir güvenlik sorunudur. Eski çalışanın tüm erişiminin son iş gününde kapatılması zorunludur. Bu durum sadece sistemler için geçerli değildir. Fiziksel olarak binaya erişimi de içermelidir. Eski bir çalışanın anahtarları / giriş kartı varsa ve memnun değilse, (sorun yaşadıysa) hiçbir şey onun iş yerini vandalize etmek için geri dönmesini engelleyemez. Bir çalışan şirketten ayrıldığında, son iş gününde aşağıdaki işlemlerin yapılmasını gereklidir.
- Herhangi bir sunucuya, VPN, ağa veya diğer kaynaklara yapılan tüm oturum açma hesapları devre dışı bırakılır.
- Tesise / binaya / kuruma ait tüm anahtarlar iade edilmelidir.
- E-posta, internet erişimi, kablosuz internet, cep telefonları gibi tüm hesaplar kapatılır.
- Ana bilgisayar kaynaklarına ilişkin tüm hesaplar iptal edilir.
- Çalışanın iş istasyonu sabit sürücüsü kopyalanarak ayrılır.
Son öğe tuhaf görünebilir. Ancak, eski bir çalışan veri topluyorsa (özel şirket verileri) veya başka herhangi bir uygunsuz faaliyet yürütüyorsa, öğrenmeniz gerekir. Bankacılık ve benzeri kritik kurumlarda önemli bir kontroldür. Bu tür bir faaliyete dair herhangi bir kanıt görürseniz, bu iş istasyonunu güvence altına almanız ve herhangi bir hukuki veya cezai işlemde kanıt için tutmanız gerekir.
Bütün bunlar bazı insanlar için biraz aşırı görünebilir. İşten çıkanların büyük çoğunluğu ile endişe duymayacağınız doğrudur. Ancak, bir çalışanın ayrıldığında bu prosedürleri takip etmeyi alışkanlık haline getirmezseniz, sonunda talihsiz bir durumla karşılaşabilirsiniz.
Değişiklik Politikaları
Bilişim teknolojileri doğası gereği değişen ve gelişen sistemlerdir. Sadece son kullanıcılar gelip gitmez, aynı zamanda gereksinimler de sık sık değişir. İş birimleri farklı kaynaklara erişim ister, sunucu yöneticileri yazılım ve donanımı yükseltir, uygulama geliştiricileri yeni yazılım yükler, geliştiriciler web sitesini değiştirir…
Değişim her zaman gerçekleşiyor. Bu nedenle, bir değişiklik kontrol sürecine sahip olmak önemlidir. Bu süreç, değişikliğin sorunsuz bir şekilde yapılmasını sağlamakla kalmaz, aynı zamanda BT güvenlik personelinin olası güvenlik sorunları için değişikliği uygulanmadan önce incelemesini de sağlar. Bir değişiklik denetimi isteği aşağıdaki adımlardan geçmelidir.
- İş birimi içindeki uygun bir yönetici, isteği imzalayarak, onayı belirtir.
- İlgili BT birimi isteğin yerine getirebileceklerinden biri olduğunu doğrular.
- BT güvenlik birimi, bu değişikliğin herhangi bir güvenlik sorununa neden olup olmayacağını doğrular.
- Uygun BT birimi, değişikliği uygulamak için bir plan ve bir hata durumunda değişikliği geri almak için bir plan oluşturur.
- Değişikliğin tarih ve saati planlanır ve ilgili tüm taraflara bildirilir.
Değişiklik kontrol sürecinizin bu başlıklara sahip olması zorunlu değildir. Bu başlıklar genel olarak yapılması gereken çalışmaları belirtir. Aslında kurumunuzun çok daha spesifik politikası olabilir. Bununla birlikte, hatırlanması gereken durum, ağınızın güvenli olması için, değşiklikleri uygulamadan önce etkilerini incelemek ve bir işlem yapmadan değişiklik yapamayacağınızın belirtilmesidir.