24/01/2022 | Yazar: Gözde Demirbilek
ILGA-Avrupa’nın sivil toplum örgütlerini desteklemek için hazırladığı kartların Türkçeleştirilmiş versiyonları dijital ortamda yayında: Sağlam dijital güvenliğin dört adımı nasıl olmalı?
ILGA-Avrupa Kaynak Paylaşım Merkezi’nin LGBTİ+ örgütlerinin kapasitelerini desteklemek için hazırladığı kartlar şimdi Türkçede.
“Örgütünüz bunu, büyük zorluklar ve sıkıntılar yaşamadan nasıl başarabilir?”
Orijinal metnini Iulia Marcinschi’nin kaleme aldığı Örgütünüz için sağlam bir dijital güvenliğe doğru 4 adım kartı şöyle:
Son on yılda gerçekleşen hızlı dijitalleşme ve LGBTİ gruplarının görünürlüklerinin artmasıyla, online varlığı sürdürmek ve hassas veriler için depolama alanlarının kullanımı hareketteki gündelik çalışmalarımızın önemli bir parçası haline geldi. Artan dijitalleşmenin yanı sıra, belirli hükümetlerden ve karşıt gruplardan gelen düşmanlık nedeniyle, güvenliğe dair kaygılar bu işin ayrılmaz bir parçası oldu. Ancak örgütünüz bunu, büyük zorluklar ve sıkıntılar yaşamadan nasıl başarabilir?
Dijital güvenlik söz konusu olduğunda, potansiyel tehditlerin fazlalığı gözümüzü korkutabilir. Hangi bilgiler risk altında? Tam olarak nerede güvenlik açığımız olabilir? Bu güvenlik açıklarını nasıl gideririz? Bunu bireysel düzeyde mi yoksa kurumsal düzeyde mi, yoksa her ikisinde de mi yapıyoruz?
Burada, dijital güvenliğe örgütsel veya grup bakış açısından nasıl yaklaşabileceğimize dair bazı yöntemleri paylaşacağız. İşleri zorlaştırıyor gibi görünen etkenlerden bir tanesi, kurumsal güvenliği artırmanın maliyetli olabileceği fikri olabilir. Bu, her durum için geçerli değildir. Bazı püf noktalar, ekibinizin güvenliğini güçlendirmesine ve günlük iş akışını kolaylaştırmaya yardımcı olabilir. Hem de neredeyse sıfır maliyetle.
Bir örgütün veya grubun dijital güvenliğe dair ele alması gereken noktalar nelerdir?
Dijital kaynakların haritalanması
Daha güvenli bir dijital ortam için adım atma kararı ister örgütünüzün bir veri ihlali veya saldırıya maruz kalması, ister önleyici bir yaklaşım benimsemesi sonucu verilmiş olsun, ilk adım tüm grubun kaynaklarını gözden geçirmek ve nelerin gizliliğinin risk altında olduğu veya güvenlik açığı oluşturabileceğini ve hangi güvenlik iyileştirmelerine ihtiyaç olduğunu belirlemektir.
Büyük ya da küçük bir grup olmanız fark etmeksizin, aşağıdakilere bakmanızı tavsiye ederiz:
- Fiziksel altyapınız
Bilgisayarlar ve diz üstü bilgisayarlar: Bunlardan kaç tane var, ne kadar güvenliler ve onlara kimler erişebiliyor?
Sunucular ve depolama alanları: Bunlara kimin erişimi var ve ne kadar güvenliler?
Router'lar (yönlendiriciler) ve internet sağlayıcınız: İnternet servislerinizi diğer kuruluşlarla paylaşıyor musunuz? Bunlar ne kadar güvenli?
İş telefonları: Ne kadar güvenliler ve bunlardan hangi ekip üyelerinde var? İşle ilgili dışarıdan erişilebilen diğer donanımlar
- Sanal altyapı
E-posta hesapları: Ne kadar güvenliler, kimlerin onlara erişimi var ve info@stkadiniz.org gibi genel hesapları kim yönetiyor? Bu noktada, artık kapatılması gereken hesapları gözden geçirmek isteyebilirsiniz (eski personel hesapları, güvenliği ihlal edilmiş hesaplar vb.)
Web sitesi/blog, grubunuza ait diğer genel sayfalar. Saldırıya uğrama riski daha yüksek olduğundan, sağlayıcınızla yaptığınız düzenlemeleri ve şifreleri gözden geçirmeli, iki adımlı kimlik doğrulama erişimini etkinleştirmeli ve ekipten kimlerin web sitesine erişimi olduğunu belirlemelisiniz.
Sosyal medya hesapları: Bunlara kimlerin erişimi var ve ne kadar güvenliler? Çeşitli platformlar abonelikleri: Bunlara kimlerin erişimi var ve şifreler ne kadar güçlü?
Grubun birlikte çalıştığı ve/veya erişimi olan verileri depoladığı bulut platformları: Şifreleri ne kadar güçlü?
Veritabanları (üyelik verileri, hassas veriler vb.): Nerede tutuluyor, hangi platformda depolanıyor, bunlara kimin erişimi var ve ne kadar güvenliler? Muhasebe yazılımları dahil yazılımlar: Bunlara kimler erişebiliyor, ne kadar güvenliler, yazılım lisanslı mı ve düzenli olarak güncelleniyor mu? Grubunuzun kullandığı diğer çevrimiçi kaynaklar.
- Risk değerlendirmesi
Burada, grubunuzu veya örgütünüzü tehdit edebilecek riskleri inceliyoruz. Bu, yakın zamanda karşılaşılan tehditler, önceki tehditler veya ortaklarınızın/diğer STK'ların yaşadığı durumlarla ilgili ekibinizle beyin fırtınası yapmak için faydalıdır. Gerçek veya olası tehditleri değerlendirmeye başlamak için buradaki şablonu indirebilir ve kullanabilirsiniz.
Ayrıca kendi risk değerlendirme formlarınızı da hazırlayabilirsiniz. Potansiyel tehditlere bakarken göz önünde bulundurulması gereken sorular veya noktalar şunlardır:
Risk ne kadar ciddi?
Ekip, faydalanıcılar, örgüt ve çalışmaları için sonuçlarını değerlendirin. Riski azaltabilecek mevcut kapasiteler ve kaynaklar nelerdir?
Örneğin, bir güvenlik duvarımız var mı? Bize yardımcı olacak bir bilişim şirketi var mı?
Tehditler ne kadar gerçekçi? Gerçekleşmeleri ne kadar olası?
Risk değerlendirmesinin bu bölümü, bunları önceden bilmek daha az olası göründüğü için en zoru olabilir. Ancak genellikle bazı işaretleri önceden fark edebilirsiniz ve bu konuda ekibinizle beyin fırtınası yapmalısınız. Erken uyarı işaretleri şunları içerebilir: sizinki gibi örgütlerin saldırılara maruz kalması, yakın zamanda başka gruplara saldırı girişimleri olması, karşıt gruplardan gelen olumsuz ilginin artması (Onur etkinlikleri veya hassas etkinliklere katılım gibi), hassas veriler içeren bazı ekipmanların çalınması veya kaybolması.
- Eylem planlaması
Gerçekleşmesi en olası tehditler için bunları ele alacak kapasiteniz ve kaynaklarınız yoksa veya önleyici bir yaklaşım benimsiyor ve tüm riskleri bütünsel bir şekilde değerlendiriyorsanız, grubunuz veya örgütünüz uygulanabilirliği sağlamak için eyleme geçirilebilir bazı maddeler oluşturmalıdır.
Eylem planınız aşağıdaki unsurları içerebilir:
Netleştirilmesi gereken alanlar: dijital kaynakların ve bunlara erişimi olan sorumluların bir listesini çıkarmak; spam, kimlik avı, siber güvenlik saldırıları ve benzerlerine yönelik güvenlik protokollerinin geliştirilmesi.
Güçlendirilmesi gereken alanlar: şifre yönetimi ve güncellemeye ilişkin protokollerin geliştirilmesi, daha fazla ekipman alımı, ekip için dijital güvenlik eğitimi.
Ek kaynakların gerekli olduğu alanlar: belirli dijital güvenlik unsurlarının gelecekteki projelere dahil edilmesi, dışarıdan destek verebilecek uzmanların belirlenmesi vb.
Takip edilmesi gereken alanlar: diğer saldırılar veya ihlaller, dijital güvenlikle ilgili haberler.
Görevleri üstlenmek ve ekibe rapor vermek için tüm eylem maddelerine belirli kişilerin atanması gerekir.
Sonuçları öngörebilmeniz için eylem planına ekibin gündeminde belirlenen görevlerin yer aldığı bir zaman çizelgesi de dahil edilmelidir.
- Takip ve değerlendirme
Eylem planını hazırladığınız zaman çizelgesi çerçevesinde tekrar gözden geçirin ve sonuçları, engelleri ve belki de bakılması ve eklenmesi gereken yeni unsurları değerlendirin.
Diğer hususlar:
Hızlı ilerlemeler ve teknolojik gelişmeler nedeniyle, risk değerlendirmenizi ve aksiyon planlarınızı yıllık olarak gözden geçirmenizi tavsiye ederiz.
Ekipte muhtemel ve yüksek risklerin önemli bir kısmı varsa bir dijital güvenlik denetimi yapmayı düşünebilirsiniz.
Bu denetim için dış kaynaklar veya uzmanlardan destek alınabilir. Daha fazla bilgi için buraya bakın. Sağlam argümanlar ve risk değerlendirmeleri sunduğunuz takdirde çoğu fon sağlayıcı gerekliliği anlayacaktır.
Örgütünüzün dijital kaynaklarına erişimi olan ekip üyelerinin "dijital hijyeni" her zaman yüksek düzeyde olmalıdır. Bu, birçok hadiseyi önleyecektir.
Güncel Kartlar
Türkçeleştirilen kartların listesine ILGA-Avrupa kartları Türkçede’yi tıklayarak bakabilirsiniz.
Etiketler: insan hakları, dünyadan