Kurumsal verilere güvenli erişim sağlayan bir VPN nasıl olmalı?
17.12.2020
Sosyal Medya

Kurumsal verilere güvenli erişim sağlayan bir VPN nasıl olmalı?

Koronavirüs kriziyle birlikte gelen kısıtlamalar nedeniyle, birçok çalışan işlerini evinden yapıyor. Evden çalışmak, BT departmanları için uzaktan erişim anlamına geldiği için, bir dizi riski ve zorluğu da beraberinde getiriyor.

Güvenli bir çalışma ortamı sağlamak için yapılacak ilk iş, nerede olurlarsa olsunlar, tüm çalışanların kurumsal verilere ulaşabilmesini mümkün kılmaktır. Bu noktada kurumların yardımına sanal özel ağlar, daha popüler ismiyle VPN koşar.

VPN, interneti kullanarak çalışan kişi ile şirket ağı arasında bir tünel sağlar. Bu iki bilgisayar fiziksel olarak birbirlerine bağlanmadan veri alışverişi gerçekleştirebilirler. İspanya’da 1170 şirketin katılımıyla gerçekleştirilen bir araştırma, çalışanların yüzde 54,4’ünün kurumsal verilere bağlanmak için VPN kullanmaya başladıklarını ortaya koyuyor.

Salgın ile yaşanan krizi, işleri için fırsata çevirmek isteyen kimi kurumlar ise VPN bağlantısını kalıcı hale getirerek operasyonel esnekliği artırmayı hedefliyor. Ancak söz konusu hedefe ulaşmak için basit bir VPN bağlantısı kurmak yeterli değil. Zira bu bağlantıların kurumsal verileri riske atmadığından emin olmak gerekiyor. VPN’in çalışma prensibi, güvenlik duvarını devre dışı bıraktığı için siber suçlular için erişim fırsatları sunabiliyor.

Güvenli bir VPN bağlantısı nasıl kurulur?

Güvenli bir VPN bağlantısı için ilk aşama, kullanıcı adı ve parolaların zor tahmin edilebilir olması ve gizlilikle korunmalarıdır. Öte yandan, doğru bir kurulum için çalışanların sunucunun IP adresini ve hangi tip şifreleme kullandığını bilmeleri tavsiye edilir. Kullanıcı adı ve parolanın VPN istemcisine girilmesinin ardından, sunucuyla bağlantı kurulur.

Bağlantı kurulduktan sonra, alıcı ile verici arasındaki veri transferi şifrelenir. Ancak güvenlik söz konusu olduğunda, mükemmele ulaşmak sürekli çalışma ister. Bu nedenle, VPN bağlantısı esnasında da bağlı bilgisayar ile sunucuyu koruyacak özelleştirilmiş çözümlere, ayrıca ağda yaşanabilecek olası sıra dışı durumların hızlı saptanabilmesi için de bir ağ izleme aracına başvurulabilir.

VPN bağlantısı, kurumsal verileri kötü amaçlı yazılımlardan ya da sosyal mühendislik tabanlı saldırılardan korumaz. Bu enstrümanları kullanan bir saldırgan, VPN ile uzaktan erişen bir bilgisayara sızarak şirket ağına erişebilir. Bu risk, uzaktan çalışanların cihazı herkese açık bir kablosuz ağdan bağlıysa, daha da artar. Buna benzer bir olumsuzlukla karşılaşmamak için kurumsal verilere erişirken her zaman korunaklı özel ağların kullanıldığından emin olunmalıdır.

Sıfır Güven (Zero Trust) politikası

Kurumların operasyonlarını sürdürmek için uzaktan erişime kapılarını açması gereken bu dönemde, VPN bağlantılarını güvende tutmak için yapılabilecek en iyi hamle, tam teşekküllü bir güvenli uzaktan erişim çözümü kullanmaktır. Siber suçluların kurumsal verilere erişmek için çok daha fazla fırsat yakaladığı günümüzde, ağ yöneticilerinin Sıfır Güven (Zero Trust) politikası uygulamaları güvenliğin tesisi için kaçınılmazdır.

İdeal senaryoda, VPN bağlantı yönergeleri nettir ve her çalışanın erişim yetkileri belirlenmiştir. Bu sayede çalışanlar yalnızca erişmeye yetkili oldukları verileri görebilirken, ağın geri kalanı görünmez kalır. Ancak çalışanların yine de e-dolandırıcılık hamlelerine karşı gözlerini açık tutmaları gerekir. Bunu sağlamak için de tüm çalışanlara temel siber güvenlik eğitimi vermek ve güncel tehditlerle ilgili bilgilerini tazelemek önem taşır.

Krizden sağlıklı çıkmanın reçetesi

Koronavirüs krizini atlatmak isteyen şirketlerin, ister istemez uzaktan çalışma yöntemini benimsemeleri gerek ancak güvenli VPN bağlantıları kurmak da en az evden verimli çalışmak kadar önemli bir faktör olarak öne çıkıyor. “Her yerden çalışabilmek”, salgın sonrasında da kurumlara büyük avantajlar sunabilecek bir yaklaşım. Bunların en başında, şirketin konumundan bağımsız olarak dünyanın herhangi bir yerinden profesyonellerle çalışabilme fırsatı geliyor.

Öne Çıkan Yazılar
Dijital Dönüşümde Siber Güvenlik neden önemli?
Dijital Dönüşümde Siber Güvenlik neden önemli?
Dijital dönüşümde, sürecin ilerleyen adımlarına bırakılan siber güvenlik, planlama aşamasında ele alınarak dijitalleşmeye...
18.09.2020
Güvenlik
İki faktörlü kimlik doğrulama (2FA) internette güvende kalın
İki faktörlü kimlik doğrulama (2FA) ile internette güvende kalın
İki faktörlü kimlik doğrulama ya da kısaca 2FA olarak bilinen güvenlik önlemi, internetteki giriş işlemlerinde hızlı ve pratik...
28.09.2020
Güvenlik
KVKK Hakkında Bilinmesi Gerekenler  
KVKK Hakkında Bilinmesi Gerekenler
Bilgi teknolojilerinin yaygınlaşması, bazı güvenlik risklerini de beraberinde getiriyor. Bireylerin yanı sıra, kurumların...
20.08.2020
Güvenlik
ISO 27001 standardının 2013 revizyonunda neler değişiyor?
ISO 27001 standardının 2013 revizyonunda neler değişiyor?
ISO27001 2013 revizyonu ile neler değişti? Belgelendirme ve belge yenilemesi sürecinde şirketleri neler bekliyor?
11.11.2013
Güvenlik
İş Sağlığı Güvenliğinde Ziyaretçi Karşılama Teknolojileri
İş Sağlığı Güvenliğinde Ziyaretçi Karşılama Teknolojileri
İş Sağlığı ve Güvenliği Yasası (Kanun No.6331), TBMM tarafından kabulünden sonra, 30 Haziran 2012 tarih ve 28339 sayılı Resmi...
8.08.2016
Güvenlik
ISO 27000:2014 güncellemesinin getirdiği yenilikler
ISO 27000:2014 güncellemesinin getirdiği yenilikler
ISO/IEC 27000 serisi hakkında genel bilgi edinmek ve güncellenen ISO 27000:2014 revizyonu ile standartta yapılan değişikliklerden...
9.06.2014
Güvenlik