Güvenlik Yol Haritası
Her ne kadar güvenlik çalışmaları risk ve kurum dinamiklerine göre değişken ve göreceli de olsa, kabul edilebilecek asgari güvenlik seviyeleri ve çalışma standartları mevcuttur.
Sektör standartları eşliğinde genel bir “yapılması gerekenler” tablosu ortaya çıkmaktadır.
Bu bölümde sizin seçimlerinizi kolaylaştırmak amacıyla standart kabul edilen önlem ve çalışmaları sıralamaktayız.
Bu çerçevede ihtiyaçlarınızı tespit edebilir, yatırım yapılması gereken veya iyileştirilmesi gereken aşamaları gözlemleyebilirsiniz. Güvenlik yol haritasını kurumunuza özgü oluşturmak için bilgi talebiniz olması durumunda güvenlik uzmanlarımız bu konuda danışmanlık vermeye hazır olduğunu hatırlatırız.
ISR, uluslararası bilinirliğe sahip OSCP (Offensive Security Certified Professional), OSCE (Offensive Security Certified Expert) sertifikalı güvenlik mühendislerinin tecrübeleri ile bu konuda sizlere yardıma hazırdır.
Uzmanlarımız çalışmalarına dair bulgularını sizin ihtiyacınıza en uygun şekilde özet nitelikte, teknik açıklamarı ile ve sade bir dil ile Türkçe raporlayarak sizin işinize ve çözüme odaklanabilmenizi sağlar.
Gizlilik anlaşmamız çerçevesinde referanslarını paylaşmak üzere izin aldığımız müşterilerimiz için bizimle iletişime geçebilirsiniz.
Siber güvenlik çalışmalarının başlangıcında her iki kurumun da çalışma şartlarına yönelik gizlilik sözleşmesi imzalaması ve bu çerçevede kurumsal disiplinin korunması sağlanmaktadır.
Sözleşmelerimiz çerçevesinde çalışmalarımızın gizlilikle yürütülmesi, size karşı olan şeffaflığımızı kaybetmemiz anlamına gelmemektedir. Çalışmalara yönelik ihtiyaç duyulan detaylı bilgi yetkili kişilere aktarılmaktadır.
Memnuniyet hedefimiz çerçevesinde müşterilerin kazanımı, tekrarlayan müşterilere döndürülmesi ve olumlu referans kazanımı için tüm çalışmalarımız özveri ile yürütülmektedir.
Güvenlik Çalışmalarına Nereden Başlanmalı?
A-) Envanter Çıkartma
BT envanterleri gözden geçirilip ihtiyaç duyulan iyileştirmeler hedeflenmelidir. Ağ içerisinde eskiyen ürünler, kullanılmayan sunucular, artık desteklenmeyen yazılımlar, bilişim adına hayatımızı etkileyen tüm aygıtlar, özellikle dışarıdan veri girişi alan tüm aygıtlar kontrol altında olmalıdır.
B-) Özgün Ayarlar ve Düzenlemeler
Kullanım ihtiyacınına göre envanterdeki aygıtların ayarları mutlaka yapılmalıdır. Tüm aygıtların ayarlarının gözden geçirilmesi ve güncel değişimlere göre kontrol altında olması, güncellemelerinin yapılması oldukça önemlidir.
Bu noktadan sonra kullanım alanları disiplin altına alınmalı, ağ yapısı kontrol edilerek ihtiyaca göre iyileştirilmelidir.
C-) İlk Adım: “ZAFİYET TARAMASI”
BT aygıtlarının güncel ve kullanıcı dostu olduğu bir ortamda, ağ yapısı da bu çerçevede çalışır bir halde iken “Zafiyet Taraması” bize güvenlik adına atılacak diğer adımları gösterecektir.
Zafiyet taraması ile ağ üzerindeki sistemler gözden geçirilerek, belirlenen açıklıklara dair güvenlik iyileştirmelerine başlanmalıdır.
D-) İkinci Adım: “SIZMA TESTİ”
BT aygıtlarının güncel ve kullanıcılarının gündelik hayatlarını yaşadığının varsayıldığı olağan bir seviyede iken ağa ve uç noktalara sızma testi yapılır. Bu çalışma zamanlaması ile ağ içerisinde oturmuş olan yapıya bağlı riskler, yapılması gereken daha ileri seviyede iyileştirmeler gözlemlenebilir.
“Zafiyet Taraması” kısa vadeli müdahale ve envantere bağlı iyileştirme gereksinimlerini gösterirken, “Sızma Testi” ise kısa, orta ve uzun vadeli, kullanıma ve/veya ihtiyaca bağlı yapısal noktalardaki müdahale gereksinimlerinin altını çizer ve güvenlik iyileştirme noktalarının tam olarak kontrol altında olmasını sağlar.
Sızma testi sonuç raporu olan bir firma, maruz kalabileceği saldırılar ve bu saldırılara bağlı kaynaklarında yol açılabilecek zararlar, sonuç olarak da kurumda yol açılabilecek kayıpları sezebilir hale gelmiş olur. Böylelikle kurum ilerleyen süreçlerdeki gereken iş gücü, bütçe, finans gereksinimlerini de planlayarak, büyüme, iyileşme, seviye koruma gibi noktaları tanımlayabilir.
Kurum boyutuna göre sızma testi içerikleri seçilmeli ve bütçe yapısına, operasyon ve risk odağına göre de sızma testinin içerik bileşenleri arttırılmalıdır.
Zafiyet taraması ve sızma testi seçeneklerimizi “Hizmet -> Güvenlik Testleri” menüsünde bulabilirsiniz.
E-) Güvenlik Disiplini Uygulama ve Sürdürme
Zafiyet taraması ile yapılan iyileştirmelerden sonra sızma testi yapılması tavsiye edilir.
Güvenlik disiplini geliştirmek isteyen bir kurum;
Bütçe sorunu yaşayan kurumlar:
Önemli bütçe sorunu yaşayan ve dijital kaynakları önem taşıyan bir kurumda; ortalama olarak en az yılda 1 kez zafiyet taraması, 2 yılda 1 kez sızma testi uygulamaktadır.
Zafiyet taraması maliyeti oldukça uygun olan ve çıktıları büyük oranda güvenliği sağlamanıza yarayan vazgeçilemez bir güvenlik disiplinidir.
Sızma testi ise finansal problem yaşayan, operasyonlarının tamamı dijital düzen üzerine kurulu olmayan firmalar tarafından ertelenebilir bir çalışma olarak görülmekte, oluşan riskler kabul edilmektedir. Ancak risklerin göz ardı edilmesi anlamına gelen bu durum geri dönülemez derecede büyük problemlere yol açabilir, itibar ve operasyon kesintisi problemleri ile sonuçlanabildiği örneklerle görülmüştür.
Kısıtlı bütçesi bulunan ve dijital kaynakları önem taşıyan bir kurum için kabul edilir süreler; yılda en az 2 kez zafiyet taraması ve 1 kez sızma testi çalışması şeklinde uygulanmaktadır. Düşük dijital kaynağa sahip bir kurumda 1 kez zafiyet taraması ve 1 kez sızma testi de uygulandığı görülmektedir.
Bütçe ayırabilen kurumlar:
Düşük düzeyde bütçe ayırma imkanı bulunan ve dijital kaynakları önem taşıyan bir kurum için genellikle yapılan çalışmalar yılda en az 2 kez zafiyet taraması ve 2 kez sızma testi olup, 1 kez dış ağ sızma testi 1 kez iç ağ sızma testine odaklanarak çalışma yapılması uygun görülmektedir.
İdeal düzeyde bütçe ayırma imkanı bulunan ve dijital kaynakları önem taşıyan bir kurumda, yılda en az 4 kez zafiyet taraması yapılması, yılda en az 2 kez; 6şar ayda 1 dış ağ sızma testi ve 1 iç ağ sızma testi yapılması önerilmektedir.
Bu çalışmaları geçmiş dönemlerde tamamlayan kurumlarda uygulama testleri, altyapı testleri gibi çalışmalar yürütülür ve güvenlik disiplini sürdürülmeye devam edilir.
F-) En Büyük Zafiyet : “İNSAN”
Sistemler kendi başlarına yeteri kadar güvenli olsalar da, tıpkı arabalar gibi, onları kullanan insanların kullanım alışkanlıkları ve seviyeleri doğrultusunda sonuçlar vermektedir. Bu sebepten diğer bir gereksinim insan kaynağına yatırım yapılması olup büyük ölçüde gereklidir ve güvenlik seviyesinin artması noktasında iyi sonuçlar göstermektedir.
Eğitimlerin düzenlenmesi ve periyodik olarak sürdürülmesi, yalnızca BT biriminin değil günümüzde insan kaynaklarının da önem verdiği ve güvenliği destekleyen en mühim faktörlerdendir.