Temiz Masa / Temiz Ekran

Günlük Güvenlik Davranışları

👤 Güvenlik Uzmanı★ 1/3⏱ 10 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

Verizon 2023 Veri İhlali Raporu'na göre ihlallerin yaklaşık %74'ünde insan faktörü rol oynuyor; bunların önemli kısmı çalınan dizüstü, masada unutulan döküman veya kilitsiz ekran gibi BASİT fiziksel ihmallerden kaynaklanıyor. Masanızda şu an açıkta duran bir kağıt, bir saldırgan için en kolay 'veri kaynağı' olabilir mi?

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu derste Temiz Masa / Temiz Ekran (Clean Desk / Clean Screen) prensibini öğreniyoruz: hassas bilginin fiziksel ortamda (masa, ekran, yazıcı, beyaz tahta) açıkta kalmasını önleme alışkanlığı. Soldaki interaktif sahnede (secAccessControl3D) bir ofis ortamında masa üstü, ekran ve erişim noktalarındaki risk öğelerini tek tek inceleyip 'temiz' duruma getirmeyi dene; her temizlenen öğenin sızıntı riskini nasıl düşürdüğünü gözlemle.

Anlatım

TEMİZ MASA / TEMİZ EKRAN NEDİR? Temiz Masa (Clear Desk), çalışanın masasında veya ortak alanda hassas bilgi içeren fiziksel belge, not, taşınabilir medya (USB, harici disk) ve cihazların gözetimsiz açıkta bırakılmamasıdır. Temiz Ekran (Clear Screen) ise ekranda görüntülenen bilginin yetkisiz kişilerce görülmesini önlemektir (ekran kilidi, gizlilik filtresi, oturum kapatma). NEDEN ÖNEMLİ? • Fiziksel sızıntı en ucuz saldırı vektörüdür: saldırgan hiçbir teknik beceri olmadan masadaki bir notu fotoğraflar veya çöpe atılmış raporu alır (dumpster diving). • İçeriden tehdit ve ziyaretçiler: temizlik personeli, kurye, mülakat adayı ya da başka departmandan biri açıktaki bilgiyi görebilir. • Omuz sörfü (shoulder surfing): kilitsiz ekran, açık e-posta veya görünür parola anında okunur. • Yasal yükümlülük: kişisel veri içeren belgeler açıkta kalırsa KVKK kapsamında veri güvenliği yükümlülüğü ihlal edilir. İŞ YERİ ÖRNEKLERİ • Toplantı odasında beyaz tahtada kalan müşteri fiyat listesi. • Ortak yazıcıda unutulan bordro / özlük dosyası çıktısı. • Monitör kenarına yapıştırılmış parola post-it'i. • Masada açık bırakılan, müşteri TC kimlik numaralarının yazılı olduğu form. • Kilitlenmeden bırakılıp kahveye gidilen bilgisayar. YAPILMASI GEREKENLER (DO) • Masadan kalkarken ekranı kilitle: Windows'ta Win+L, macOS'ta Ctrl+Cmd+Q. 'Kısa bir an' bile olsa. • Otomatik ekran kilidini etkinleştir (genelde 5-10 dakika hareketsizlik). • Hassas belgeleri gün sonunda kilitli çekmece/dolaba kaldır. • Artık gerekmeyen gizli kağıtları kağıt öğütücüde (shredder) imha et, normal çöpe atma. • Yazıcıdan çıktıyı HEMEN al; mümkünse 'güvenli yazdırma' (kart/PIN ile serbest bırakma) kullan. • Açık alanlarda ve ekranı dışarıdan görülen masalarda gizlilik filtresi (privacy screen) kullan. • Beyaz tahtayı toplantı sonunda sil. YAPILMAMASI GEREKENLER (DON'T) • Parolayı kağıda yazıp ekrana/masaya yapıştırma. • USB belleği veya telefonu hassas veriyle masada gözetimsiz bırakma. • Gizli belgeyi normal çöp kutusuna atma. • 'İki dakika sonra dönerim' diyerek ekranı kilitlemeden bırakma. • Ortak alanda hassas ekranı arkası açık şekilde sergileme. ISO 27001:2022 BAĞLANTISI Bu konu doğrudan ISO/IEC 27001:2022 Annex A kontrolü 7.7 'Temiz masa ve temiz ekran' (Clear desk and clear screen) ile eşleşir; ayrıca 7.10 (Saklama ortamı / depolama medyası) ve 7.14 (Ekipmanın güvenli imhası/yeniden kullanımı) ile ilişkilidir. Bu kontroller fiziksel ve çevresel güvenlik teması altında yer alır. KVKK BAĞLANTISI 6698 sayılı KVKK md.12, veri sorumlusunun kişisel verilerin hukuka aykırı erişimini önlemek için gerekli idari ve teknik tedbirleri almasını zorunlu kılar. Açıkta unutulan kişisel veri içeren belge veya kilitsiz ekran, bu tedbir yükümlülüğünün ihlalidir ve veri ihlali bildirimini gerektirebilir.

📌 Senaryolar

📌 Senaryo 1 (Kısa süreli ayrılma): Öğle yemeğine çıkacaksın, masanda açık bir müşteri sözleşmesi ve oturumu açık bilgisayarın var.
  Doğru davranış: Ekranı Win+L (veya Ctrl+Cmd+Q) ile kilitle; sözleşmeyi kilitli çekmeceye koy.
  Sonuç/Neden: Sen yokken geçen ziyaretçi, kurye veya temizlik personeli ekranı veya belgeyi göremez; omuz sörfü ve fiziksel sızıntı engellenir (ISO 27001 A.7.7).

📌 Senaryo 2 (Ortak yazıcı): Bordro çıktısı alıp telefon geldiği için masaya döndün, çıktıyı yazıcıda unuttun.
  Doğru davranış: Çıktıyı hemen al; mümkünse kart/PIN ile 'güvenli yazdırma' kullan, böylece belge sen yazıcıya gidene kadar yazdırılmaz.
  Sonuç/Neden: Bordro özlük/kişisel veri içerir; ortak yazıcıda unutulması KVKK md.12 ihlalidir ve maaş bilgisinin başka çalışanlarca görülmesine yol açar.

📌 Senaryo 3 (Parola post-it): Yeni sistem parolasını unutmamak için monitör kenarına post-it ile yapıştırdın.
  Doğru davranış: Post-it'i kaldır; parolayı kurumsal parola yöneticisine (password manager) kaydet.
  Sonuç/Neden: Açıktaki parola, masanın yanından geçen herkes için anahtardır; kimlik doğrulamanın tüm değerini sıfırlar. Parola yöneticisi tek bir ana parola ile güvenli saklama sağlar.

📌 Senaryo 4 (Gizli belge imhası): Artık gerekmeyen, müşteri TC kimlik numaraları içeren formları çöpe atmak istiyorsun.
  Doğru davranış: Belgeleri kağıt öğütücüde (cross-cut shredder) imha et veya 'gizli imha' kutusuna at.
  Sonuç/Neden: Normal çöpten belge alma (dumpster diving) gerçek bir saldırı yöntemidir; güvenli imha, kişisel verinin geri kazanılamaz şekilde yok edilmesini sağlar (ISO 27001 A.7.14).

📌 Senaryo 5 (Toplantı sonrası): Müşteri fiyat stratejisini beyaz tahtaya yazdın; toplantı bitti, sıradaki ekip aynı odaya geliyor.
  Doğru davranış: Tahtayı tamamen sil; ekran/projektörden açık dokümanı kapat ve oturumu kilitle.
  Sonuç/Neden: Sıradaki grup içinde rakip iş ortağı veya yetkisiz kişi olabilir; silinmemiş tahta veya açık ekran ticari sırrı ifşa eder.

Özet

• Temiz Masa: hassas belge/medya/cihaz açıkta ve gözetimsiz bırakılmaz; gün sonunda kilitli alana kaldırılır. • Temiz Ekran: masadan kalkınca ekranı KİLİTLE (Win+L / Ctrl+Cmd+Q) + otomatik kilit + gizlilik filtresi. • Parolayı asla kağıda yazıp ekrana/masaya yapıştırma; parola yöneticisi kullan. • Gizli kağıtları kağıt öğütücüde imha et, normal çöpe atma; yazıcı çıktısını hemen al. • Bu konu ISO 27001:2022 Annex A 7.7 (Clear desk/clear screen) kontrolüdür ve KVKK md.12 veri güvenliği tedbiriyle uyumludur.

✅ Mini-Test (5)

1.Masanızdan kısa süreliğine (örn. çay molası) ayrılırken bilgisayar ekranı için EN doğru davranış hangisidir?

2.Aşağıdakilerden hangisi Temiz Masa prensibine AYKIRIDIR?

3.Gizli bilgi içeren kağıt belgeleri normal çöp kutusuna atmak güvenlidir.

4.Temiz Masa / Temiz Ekran prensibi ISO/IEC 27001:2022 Annex A'da hangi kontrol numarasıyla yer alır?

5.Ekranınızın yandan geçenler tarafından okunmasını önlemek için en uygun fiziksel önlem hangisidir?

🧩 Uygulama Soruları (5)

1.Ortak yazıcıdan müşteri kişisel verisi içeren bir çıktı aldınız ama telefon geldiği için çıktıyı yazıcıda unuttunuz. Bunu fark edince ne yapmalısınız?

2.Toplantı odasında bir önceki toplantının beyaz tahtaya yazdığı fiyatlandırma stratejisini gördünüz. Doğru davranış nedir?

3.Bir ziyaretçi sizi masada beklerken, açık bilgisayarınızda kurumsal e-postanız görünür durumda. Ne yapmalısınız?

4.Otomatik ekran kilidi etkinse, masadan kalkarken ekranı manuel kilitlemenize gerek yoktur.

5.Gün sonunda masanızda müşteri TC kimlik numaraları içeren basılı formlar var ve bazıları artık gereksiz. En doğru davranış hangisidir?

← E-posta ve Mesajlaşma Güvenliğ Güvenli İnternet ve Web Kullan →

← Tüm modüllere dön · Güvenlik Sözlüğü