22 Ekim 2014

ISR 1 Yaşında..

İyi ki Doğduk..


Geçtiğimiz yıl bugün (22 Ekim 2013) faaliyetlerimizi ISR Bilgi Güvenliği firması adı altında gerçekleştireceğimizi İstanbul Ticaret Odası kanalıyla ülkemizin her yerine duyurmuştuk.

Kafalarımızda pek çok proje ile bir araya gelip yürümeye başladığımız bu yolda genç girişimciler olarak oldukça keyifli ve çalışkanlığımızı ortaya koyduğumuz uzun bir "1 yıl" geride kaldı.

ISR çatısı altında nice yılları siz sevgili takipçilerimize duyurmayı ve paylaşmayı ümit ettiğimizi belirterek bizi takip eden herkese teşekkürlerimizi sunuyoruz.



04 Ekim 2014

Penetrasyon - Sızma testi yaptırmalı mıyım?


Şirketimizin Ar-Ge faaliyetlerinin yanı sıra yoğunlaştığımız ve tüm ekip arkadaşlarımız ile birlikte keyifle gerçekleştirdiği projeler arasında güvenlik testleri projeleri (Zafiyet tarama, Uygulama Güvenliği Testleri, Kaynak Kod Analizi, APT v.s) özellikle "Sızma / Penetrasyon Testi" bulunuyor.

Çeşitli kanallar üzerinden bize ulaşan sızma testi müşterilerimizin aklında en çok "Bu testi yaptırmalı mıyım? Bu hizmete gerçekten ihtiyacım var mı?" sorusu var. Bu konudaki farkındalığın günden güne arttığını, BT sorumlusu, yöneticisi, CIO 'ların ve şirket sahiplerinin "zafiyetlerimiz neler?" sorusunu gündeme getirdiğini mutlulukla söyleyebiliriz.

Burada bizi esas mutlu eden, "Herkes bu hizmeti satın almalı" mottosu ile geliştirdiğimiz sızma testi modelimizin her geçen gün daha uzaklara, kurumsal yapıların yanı sıra oluşturduğumuz seçkin kanal yapısı ile ülkemizin en uç noktasındaki KOBİ 'lere ulaşması.

Bizim "Bu testi yaptırmalı mıyım? Bu hizmete ihtiyacım var mı?" sorusuna cevabımız çok net.

- "Gizli ya da değil, digital ortamda bilginiz var mı?"

- "Evet"

- "Gizli ya da değil, eğer bir bilginiz varsa bu bilgilerin güvende olup olmadığını, değiştirilip değiştirilmeyeceğini, kötü niyetli kişilerin bu bilgileri çalıp, sizin aleyhinize kullanıp kullanmayacağını, rakiplerinize satıp satmayacağı faktörlerini test ettirmelisiniz. Üstelik bu bilgiler sizin için çok önemsiz olabilir. Ancak bu işi profesyonel olarak yapan saldırganlar için dayınızın adının ve soyadının bile çok önemli bir bilgi olduğunu unutmayınız."

Teknolojinin, özellikle BT sistemlerinin her gün değil, artık neredeyse her saat geliştiği bir dünyada aynı donanım ihtiyaçları gibi, hizmet ihtiyaçlarının da türü ve modeli değişiyor. Sızma testleri bu değişimin getirdiği artık neredeyse "zorunlu" hizmetlerden biri. Bir çok büyük boyutta firma bu testleri kendi içlerinde oluşturduğu kadrolar ile oluştursa da bunun doğrusu dışarıdan gerçek bir saldırıyı simüle ederek gerçekleştirmek.

Sızma ya da genel kullanım şekli ile "Penetration Test" çeşitli adımlar sonunda gerçekleştirilir.

"Projelendirme - Tekliflendirme - NDA - Test - Raporlama - RCe" şeklinde özetlenebilecek bu süreç sonunda müşterilerimiz gerçek bir saldırı sonunda ne kadar zarar görebileceklerini, hangi bilgilerinin kötü niyetli kişilerin eline geçebileceğini, ağ yapılarının ne kadar güvenliği olduğunu ya da olmadığını öğrenir / önlemlerini alabilmek üzere gerekli teknik ve idari tavsiyelerini alır ve önlemleri uygular.

Sızma testlerini kime yaptırmalıyım...  Merdiven altı testler sorunu...

Sızma testi yaptırmayı düşündüğümüz iş ortağını seçmek bu sürecin en önemli adımıdır. Her sektörde bulunan ve "merdiven altı" şeklinde tabir edilen hizmet türü, (!) sızma testi gibi kritik, büyük gizlilik ve hassasiyet ile içerisinde gerçekleştrilmesi gereken hizmet türü için de geçerli. Bu firmayı seçerken aşağıdaki kriterleri göz önünde bulundurmanızı öneririz.
  1. Firmanın ilgi odağı nedir? 
  2. Geçerli bilgi güvenliği sertifikasyonlarına sahip mi?
  3. Referansları var mı? 
  4. Bir otorite tarafından onaylı bir ya da birden çok bilgi güvenliği projesi var mı?
  5. Gerektiğinde size özel zafiyetleriniz için istismar kodları geliştirebilecekler mi?
İlgi odağı sadece bilgi güvenliği olan, sızma ve diğer tüm testleri (Zafiyet taraması, kaynak kod analizi, APT analizi, Uygulama güvenliği testi)  kendi kadroları ile yapan firmaları tercih etmeniz, projeniz sonunda sahip olacağınız raporunuzun çok daha verimli olmasını sağlayacaktır.

Geçerli bilgi güvenliği sertifikalarına sahip, kendi kadrolarını bu konuda eğitmiş ve uzmanlaştırmış firmalar hem gizlilik, hem de zafiyetlerinizi en doğru şekilde size raporlamak için doğru tercihtir.

Referanslarını sizinle rahatlıkla paylaşamayan firmaları seçmeniz, sizin de gizliliğiniz için en doğru seçimdir.

Yetkili bir otorite tarafından onaylı, gerçekleştirilmiş ve gerek ülkemizde, gerekse global boyutta bilgi güvenliği projesi gerçekleştirmiş bir iş ortağı ile çalışmak sizin seçtiğiniz iş ortağını bu konuda odaklı ve uzman olduğunu kanıtlayacaktır.

Gerektiğinde zafiyet istismar kodu geliştirmek sızma testi ile maliyeti çok daha düşük olan ve otomatik araçlar ile yapılan zafiyet taraması testi arasındaki en büyük farktır. Sızma testi konusunda iş ortaklığı yapacağınız firmanın bu kodları geliştirebileceğinden emin olun.


ISR, kendi standartları ile geliştirdiği ve Tübitak- MARTEK tarafından onaylı sızma testi metodolojisi ile gerçeğe en yakın ve verimli testleri müşterilerine sunar. Bu standartlar gereği testlerin raporları, tüm test sürecinde olan gizlilik ilkeleri ve prensipleri içerisinde müşterilerine "Güvenli" bir kanaldan teslim eder. Raporun tesliminin ardından kapatılan açıklar tarafımızdan tekrar kontrol edilir. Ayrıca ISR tarafından sağlanan tüm test hizmetleri global boyutta kabul görmüş,  CEHv8, OSCE ve OSCP sertifikalı uzmanları tarafından gerçekleştirilir.

11 Haziran 2014

Ağ Güvenliği ve Risk Analizi

Güvenlik bir ürün değil, süreçtir (Bruce Schneier)

Bilgilerinizin ve ağınızın güvenliği için bir cihaz veya bir hizmet satın almak ve tüm sorununuzu çözmesini beklemek maalesef gerçekçi ve uygulanabilir değil.

Çünkü bilgileriniz ve ağınız sürekli gelişen, kendini yenileyen, yaşayan varlıklar. Bu varlıkları korumak için yaşam döngülerini periyodik olarak takip etmeli ve ihtiyaçlarını tespit etmeliyiz. Bu tespitlerde ortaya çıkan bulguları değerlendirerek, gerekli tedavileri, iyileştirmeleri elbette bütçemiz çerçevesinde gerçekleştirmeli, kurumumuzun amaçlarına yönelik kuruma özgü önlemleri almalı ve tüm bu süreçleri kurumsal ekibimizin tamamında uygulayabilmeliyiz.

Tıpkı vücudumuzun sağlığı gibi bilgi ve ağ güvenliğinin de sağlığı, sağlıklı çalışırlığı belirli periyodlarda gözden geçirilmeli.

Periyodik kontroller ile desteklenen sistemlerin daha güvenli, sağlıklı ve dolayısıyla verimli çalışması söz konusudur.





Nereden başlayacağız?

Güvenlik, pek çok bileşene sahip bir yapı, bir sistemdir. Güvenlik sisteminiz ihtiyacınız doğrultusunda uzmanlar tarafından yapılan tespite ve bütçenize göre dizayn edilir.

Bu sistemin çok küçük bir bölümünü oluştursa da ihtiyaç duyulan pek çok bileşenden akla gelen ilk çözüm hem fiyat hem de uygulama yaygınlığı açısında güvenlik duvarlarıdır.






Dış dünya ile aranıza bir güvenlik duvarı (Firewall) konumlandırdınız. Bu duvar güvenlik ilgili tüm ihtiyaçlarınızı çözemeyecek fakat yine de internete karşı tamamen korunmasız olmanızı önleyecektir.

Peki en temel yapı olan bu duvar (firewall) sağlıklı durumda mı, duvarınız zafiyet içeriyor mu?








Almış olduğunuz önlemler gelişen teknoloji, değişen ihtiyaçlar ve kullanım alışkanlıkları doğrultusunda zafiyet (zayıflık, eksiklik) içerebilir.

Bu durumu kontrol etmez isek korunduğumuzu düşünürken oysa risklere açık şekilde sistemimizi kullanmaya devam ediyoruz demektir. 


Kurumunuzda kullanılması gereken güvenlik çözümlerinin neler olduğunu, ihtiyaçları tespit etmek, yatırımınızı doğru yapmak amacıyla risk analizi gerçekleştirilmesi önerilir.

Risk Analizi

Çeşitli uzmanlık seviyelerinde gerçekleştirilebilen bu kontrol (test) süreçlerinde ilk adım "Zafiyet Taraması" dır. 

Zafiyet taraması

Ağ yapısı ve ağ bileşenleri üzerinde "bilinen" güvenlik zafiyetlerinin taranması ve raporlanmasından oluşmaktadır.

Bu tarama sonucunda ağınızın güvenlik bakış açısıyla ilk resmi çekilmiş olur. Bu resim ağa yapılabilecek ilk saldırının ne şekilde gerçekleşebileceğinin haritasını çıkartmayı sağlar.

Zayıf noktanın tespiti ile gerekli önlemlerin alınması üzerine çalışmalara başlanır.

Bu tip risk analizi çalışmaları uluslararası standartlar kapsamında pek çok firmada artık rutin olarak gerçekleştirilmekte, hatta pek çok kalite standardına göre 3'er aylık periyodlarda tekrarlanmak zorundadır.


Herhangi bir zayıf nokta bulunamaz ise?

Bu durumda işletmenin şikayetleri, sorunları ve/veya güvenlik ihtiyacı doğrultusunda araştırmalar, analiz sürdürülebilir.

Sızma Testi

Zafiyet testinden bir sonraki aşama olan "Sızma Testi"nde saldırgan gibi düşünerek, saldırganın bilgiye erişme, ağa sızma işlemi simüle edilir. 

Bulunan zafiyetler ya da uzman tarafından tahmin edilen açıklıklar irdelenerek izinsiz erişimin nasıl yapılacağı gözden geçirilir ve uygulanır. 

Bu esnada izlenilen yol ve kullanılan metot raporlanır. Bu kimi zaman çok kapsamlı uzun süren bir çalışma olabilir, kimi zaman da ihtiyaç ve bütçe doğrultusunda kısıtlı zaman aralağında gerçekleştirilir.

Sızma testinin gerçekleştirilmesi gereken ideal süresi için öncelikle uzman kişilerce ağ keşfinin yapılması ve bu keşif sonucunda firma ile birlikte bütçe doğrultusunda bir süre kararlaştırılması gerekir.

Daha fazla bilgi edinmek ya da sorularınıza yanıt bulmak için bilgi [ at ] isr.com.tr adresinden bizimle iletişime geçebilirsiniz.

Bilgi Güvenliğiniz, İşyeri Ağınızdaki Tehlikeler ve Risklerin Analizi


Bilgi Güvenliği Risk Analizi (Sızma Testi) Nedir, Neden Önemlidir?

Bu yazımızda adım adım bilgi güvenliğinin önem sebeplerini irdeleyerek çağımızda bilgi güvenliğinin sağlanmasında önemli bir adım olan "Risk Analizi" kavramını açıklayacağız.



İletişim İhtiyacının A,B,C'si: Bilişim Sistemleri İletişimi ve İnternet


İşletmeler ciro ve karlılıklarını artırmak hedefiyle gün geçtikçe teknolojiden daha fazla faydalanmaktalar.




Nihai hedef belli, peki işletmede teknoloji hangi amaçlarla kullanılıyor ve bize getirileri nelerdir?



Hangi amaç için kullanıyoruz?

  • Hızlı iletişim, hızlı yanıt almak
  • Daha kontrollü ve doğru sonuçlar elde etmek, daha fazla iş ile başa çıkabilmek
  • Zaman bağımsız çalışmak, esnek çalışma saatleri oluşturmak
  • Mekan bağımsız çalışmak, mobil verimlilikten faydalanmak, zamandan tasarruf
  • Bilgiyi kolay paylaşmak, anlık veya sürekli bilgi paylaşımı
  • Daha geniş kitlelere erişmek, mesafelerden etkilenmeksizin daha fazla alıcıya ulaşabilmek
  • 7/24 tanıtım yapabilmek, ürün ve hizmet bilgisini sürekli erişilebilir tutmak
  • Veri toplamak, geçmiş işlerden gelecekte faydalı bilgi elde edinmek



Temel kullanım sebepleri oldukça tanıdık, bunlar genellikle ortak sebepler. Peki getirilerinin yanı sıra işletmenin teknolojiyi kullanarak aldığı ek sorumluluklar nelerdir?



Bu soruya yanıt vermek için öncelikle teknolojiyi nasıl kullanıyoruz sorusunu irdelemek gerekli.

Bir işletme teknolojiyi nasıl kullanıyor?

  • Hızlı iletişime elverişli olan e-posta yazışma program ve/veya altyapıları oluşturarak
  • E-posta yazışmalarını saklayarak ve her yerden erişilebilir platformlar kullanarak
  • Geçmiş verilerden faydalanmak için onlara hızlıca ulaşmak amacıyla her türlü şirket verisini elektronik ortamda saklayarak
  • Sakladığı verilere zaman sınırı olmaksızın erişim sağlayarak
  • Taşınabilir cihazlar ile ofis-bina dışarısında da bağlantı kurarak dosyalara erişerek ve/veya çalışmayı sürdürerek

Bilgisayarlar, tablet pc'ler, telefonlar gibi cihazlar erişim ve işlem kolaylığı sağlarken bu bileşenlerden oluşan işyeri ağları dış erişime sahip cihazların getirdiği riskleri de işyeri ağı içerisine taşımaktadır.



Sıklaşan, artan elektronik ortam kullanımı, artan riski de beraberinde getirmekte ve bu doğrultuda şirketin kontrol etmesi gereken yeni alanlar ortaya çıkmaktadır.


Pek çok firma gizli herhangi bir bilgisi olmadığı, yapmakta olduğu faaliyetlerin rutin faaliyetler olduğunu belirtmektedir.

Fakat yine de bu firmalar bilgilerini sadece ilgili kişilerin görmesi ve ilgili firmalar ile kontrolü dahilinde paylaşılmasını istemektedir.

Çağımızda bir şirketin gündelik operasyonlarının kesintisiz sürmesi, ticari değerlerinin ve kazançlarının gerekli gizlilik ölçüsünde saklanması ve korunabilmesinin şirketin varlığını sürdürebilmesi için gereklilik taşıdığı oldukça açık durumdadır.


İstenmeyen trafiğe bağlı gelişen bu risk göz ardı edildiği takdirde sonuç tahmin edilemez, bilinmez derecede sakıncalı olabilmektedir.


Bazı şirketler için bilgi gizliliği değerli bulunmaz iken bilgi kaybının telafi edilemez derecede önemli olduğu maalesef kayıp yaşandıktan sonra fark edilmektedir.

Bilgi güvenliği yalnızca gizliliği içermemektedir; bilgi kaybı, bilginin yetkisiz ve sehven erişimi, değiştirilmesi, bütünlüğünün bozulması gibi etkenleri de bilgi güvenliği konusunda dikkate alınmaktadır.



Çözüm bilgisayarlar arasındaki bağı ya da İnternet'i kesmek değil!

Getirilerini incelediğimizde İnternet bağlantısı bir şirket için vazgeçilemez bir avantaj; kurumsal ve bireysel yaşantıda teknolojinin yaşamasında en önemli altyapı noktalarından birisi.

Tehlikelerini bilmek ve önlemlerini alarak bu risklerden korunmak ise tek çözüm.

Ağınızda Sizi Bekleyen Tehlikeler ve Risk Analizi

Güvenlik bir ürün değil, süreçtir (Bruce Schneier)

Bilgilerinizin ve ağınızın güvenliği için bir cihaz veya bir hizmet satın almak ve tüm sorununuzu çözmesini beklemek malesef gerçekçi ve uygulanabilir değil.

Çünkü bilgileriniz ve ağınız sürekli gelişen, kendini yenileyen, yaşayan varlıklar. Bu varlıkları korumak için yaşam döngülerini periyodik olarak takip etmeli ve ihtiyaçlarını tespit etmeliyiz. Bu tespitlerde ortaya çıkan bulguları değerlendirerek, gerekli tedavileri, iyileştirmeleri elbette bütçemiz çerçevesinde gerçekleştirmeli, kurumumuzun amaçlarına yönelik kuruma özgü önlemleri almalı ve tüm bu süreçleri kurumsal ekibimizin tamamında uygulayabilmeliyiz.

Tıpkı vücudumuzun sağlığı gibi bilgi ve ağ güvenliğinin de sağlığı, sağlıklı çalışırlığı belirli periyodlarda gözden geçirilmeli.

Periyodik kontroller ile desteklenen sistemlerin daha güvenli, sağlıklı ve dolayısıyla verimli çalışması söz konusudur.





Nereden başlayacağız?

Güvenlik, pek çok bileşene sahip bir yapı, bir sistemdir. Güvenlik sisteminiz ihtiyacınız doğrultusunda uzmanlar tarafından yapılan tespite ve bütçenize göre dizayn edilir.

Bu sistemin çok küçük bir bölümünü oluştursa da ihtiyaç duyulan pek çok bileşenden akla gelen ilk çözüm hem fiyat hem de uygulama yaygınlığı açısında güvenlik duvarlarıdır.





Dış dünya ile aranıza bir güvenlik duvarı (Firewall) konumlandırdınız. Bu duvar güvenlik ilgili tüm ihtiyaçlarınızı çözemeyecek fakat yine de internete karşı tamamen korunmasız olmanızı önleyecektir.

Peki en temel yapı olan bu duvar (firewall) sağlıklı durumda mı, duvarınız zafiyet içeriyor mu?








Almış olduğunuz önlemler gelişen teknoloji, değişen ihtiyaçlar ve kullanım alışkanlıkları doğrultusunda zafiyet (zayıflık, eksiklik) içerebilir.

Bu durumu kontrol etmez isek korunduğumuzu düşünürken oysa risklere açık şekilde sistemimizi kullanmaya devam ediyoruz demektir. 


Kurumunuzda kullanılması gereken güvenlik çözümlerinin neler olduğunu, ihtiyaçları tespit etmek, yatırımınızı doğru yapmak amacıyla risk analizi gerçekleştirilmesi önerilir.


Risk Analizi

Çeşitli uzmanlık seviyelerinde gerçekleştirilebilen bu kontrol (test) süreçlerinde ilk adım "Zafiyet Taraması" dır. 

Zafiyet taraması

Ağ yapısı ve ağ bileşenleri üzerinde "bilinen" güvenlik zafiyetlerinin taranması ve raporlanmasından oluşmaktadır.

Bu tarama sonucunda ağınızın güvenlik bakış açısıyla ilk resmi çekilmiş olur. Bu resim ağa yapılabilecek ilk saldırının ne şekilde gerçekleşebileceğinin haritasını çıkartmayı sağlar.

Zayıf noktanın tespiti ile gerekli önlemlerin alınması üzerine çalışmalara başlanır.

Bu tip risk analizi çalışmaları uluslararası standartlar kapsamında pek çok firmada artık rutin olarak gerçekleştirilmekte, hatta pek çok kalite standardına göre 3'er aylık periyodlarda tekrarlanmak zorundadır.


Herhangi bir zayıf nokta bulunamaz ise?

Bu durumda işletmenin şikayetleri, sorunları ve/veya güvenlik ihtiyacı doğrultusunda araştırmalar, analiz sürdürülebilir.

Sızma Testi

Zafiyet testinden bir sonraki aşama olan "Sızma Testi"nde saldırgan gibi düşünerek, saldırganın bilgiye erişme, ağa sızma işlemi simüle edilir. 

Bulunan zafiyetler ya da uzman tarafından tahmin edilen açıklıklar irdelenerek izinsiz erişimin nasıl yapılacağı gözden geçirilir ve uygulanır. 

Bu esnada izlenilen yol ve kullanılan metot raporlanır. Bu kimi zaman çok kapsamlı uzun süren bir çalışma olabilir, kimi zaman da ihtiyaç ve bütçe doğrultusunda kısıtlı zaman aralağında gerçekleştirilir.

Sızma testinin gerçekleştirilmesi gereken ideal süresi için öncelikle uzman kişilerce ağ keşfinin yapılması ve bu keşif sonucunda firma ile birlikte bütçe doğrultusunda bir süre kararlaştırılması gerekir.

Daha fazla bilgi edinmek ya da sorularınıza yanıt bulmak için bilgi [ at ] isr.com.tr adresinden bizimle iletişime geçebilirsiniz.

31 Mart 2014

"Duyuru: DNS Hijacking ile DNS Spoof"


Birkaç gün önce kurumsal müşterilerimize yaptığımız duyuruyu genel olarak tekrar yapmak istiyoruz.

Teknik Bilgilendirme Duyurusu:
Twitter, Youtube gibi sitelere sadece Türkiye'den erişimi engellemek amacıyla Internet servis sağlayacılar üzerinden Internet altyapısına yönelik birtakım müdahaleler oldu.

En son devreye giren yöntem, dünyada agresif yöntemlerden olarak bilinen ve tercih edilmeyen "doğru olmayan BGP anonsları" ile yapıldı ve malesef bundan olumsuz etkilenen kurum ve kuruluşlar oldu. Bu tür aktiviteler düzelene kadar ISR olarak çok uluslu müşterilerimize, oluşabilecek risklerden dolayı merkez noktalarına yapacakları güvenli sertifika kontrollü ve kriptolu / VPN erişimleri üzerinden Internet'e erişmelerini öneriyoruz.

Bazı problemlerin kaynağı erişim engellemesinin IP adreslerini engelleme şeklinde değil Internet servis sağlayıcılarının bağlantıları doğru olmayan BGP anonsları ile farklı noktalara hijacking yapılması ile oldu.


Örneğin OpenDNS kurumsal servisi kullanan bir müşterimizin bağlantısını incelediğimizde:

(Geçerliliğini yitirdiğinden temsili görüntü ile değiştirilmiştir

Son rota takibinde yurtdışındaki OpenDNS hizmetine yurtdışına çıkmadan ulaşma konforu (!) yaşandığını görüyoruz.

Durumu biraz daha detaylı incelediğimizde:

(Geçerliliğini yitirdiğinden temsili görüntü ile değiştirilmiştir)

208.67.220.220/32 rotası acıbadem turk telekom router'ında gözümüze çarpıyor.
Bu dns servisinin hijack edildiğini görüyoruz.

Bu agresif yöntemlere karşı siz değerli müşterimizi uyarmak istiyoruz. Yurtdışı noktalarınıza VPN (ve benzeri) erişim kullanyorsanız, Türkiye'den herhangi bir noktadan direkt Internet'e çıkış yapıyorsanız, kurumunuzda yerel sertifikalar iş yaşamınızda önemli bir yer almıyorsa (örneğin *.gov.tr'ler ile ilginiz yoksa) bunları kurum cihazlarından bu tür problemler düzelene kadar geçici de olsa kaldırmanızı tavsiye ederiz.

Müşteri bilgileri, kimlik doğrulama bilgileri, finanslar bilgiler ile ilgili müşterilerimiz aşağıda birkaç örneği verilen sertifikaları yazılımlarınızdan geçici olarak kaldırınız.

(Geçerliliğini yitirdiğinden temsili görüntü ile değiştirilmiştir)

Dns hijacking ile yönlendirildiğiniz noktada https kullandığınızda sertifika hatası almasanız bile Türkiye'de yetkili bu sertifika otoritelerine yapılacak bir müdahale ile https'nin de güvenliği bir sonraki noktada kalmayacaktır. Bu sertifika otoritelerine kağıt üzerinde yetkili müdahaleler dışında diğer bir risk de bu otoritelerde yaşanmış ve farkedilmiş bazı durumlar yaşanmasıdır. (Daha fazla bilgi için anahtar arama kelimeleri: turktrust revoke)

ISR müşterileri gelişen durum hakkında tekrar bilgilendirilecektir.


17 Mart 2014

Bilgi Güvenliği ve Yurt İçindeki Genel Uygulamalar

Günümüzde şirketler operasyonel verimlerini, ciro ve karlılıklarını artırabilmek amacıyla teknolojiden daha fazla yararlanabilme hedefindeler. Elde edilen verilerden faydalı bilgi edinebilmek, operasyonlarında işlemlerini hızlandırmak ve hata payını azaltmak amacıyla her geçen gün daha fazla operasyon adımını ve şirket bilgisini elektronik ortama aktarmaktalar.

Şirketlerin gerek yasal olarak saklanma ihtiyacı, gerekse geçmiş değerlerin korunması, işlenerek potansiyelin kazanca çevrilmesi gibi ihtiyaç ve amaçları dolayısıyla elektronik ortamda barındırılan verileri ile gelir kaybına yol açmamak üzere hatasız, duraksız sürdürülmeye çalışılan operasyonlarının gerçekleştirildiği eskiye nazaran oldukça büyük önem taşıyan bilgisayarları ve bunların oluşturduğu ağların güvenliği bir şirketin gündelik faaliyetlerinin yanı sıra varlığını sürdürebilmesi, ticari değerini ve kazançlarını koruyabilmesi için temel faktörlerden birisi olmuştur.



Orta ve büyük ölçek boyutuna ulaşmış pek çok firma ihtiyaçları doğrultusunda bilgi ve ağ güvenliğini sağlamaya yönelik bir çok yazılım ve donanım çözümlerine yatırım yapmaktadır. Bilgi güvenliği ve sistem sağlığının önemi dikkate alınarak yapılan bu yatırımlara karşın pek çok firma istediği güvenlik ve sistem sağlığına sahip olamamaktadır.

Bu durumun en önemli sebebi bilgi ve ağ güvenliği denildiğinde içerisinde yüzlerce bileşenin bulunması ve bu bileşenlerin dinamik hususlar olmasıdır. Gün geçtikçe farklı amaçlar için kullanılan bilgisayarlar bir yana, tıpkı bir ana karayolu gibi ağ trafiği de gün içerisinde belirli kurallar ile akmakta, dönem dönem trafik ihtiyaçları doğrultusunda ağın yeniden yapılandırılması, yönetilmesi gerekmektedir. Zaman içerisinde ihtiyaçlar doğrultusunda yeniden şekillendirilen ağ, ve bu ağa bağlı bilgisayarlar ve içerdikleri bilgiler de güvenlik açısından farklı tehditlere maruz kalabilmektedir.

Bilginin güvenliğini ve sistemin sağlıklı çalışırlığını sağlama hedefi, yaşayan bir sistem olan ağın (networkün) periyodik olarak kontrolü, çeşitli disiplinlerle ve bilgi sahibi kişilerce yönetilmesi, zafiyetlerinin taranması ve gerektiği ölçüde ayarlarının düzenlenmesi, yeni teknolojilerin kullanılması gibi belkide bakım adı altında fazlaca daralttığımız aslında çok sayıda önem taşıyan işlemin yapılmasını gerektirir.

Yatırımların yapılması, bakımların sağlanması sonrasında "Güvende miyiz?" sorusunun yanıtı da elbette görecelidir. Bu uyarı canınızı boş yere sıkmamalı, farkında olmak her zaman güvenliğe doğru atılan sağlam bir adımdır. Risklerinizin farkında olmak ve bu risklere göre önlem almak, bu sistematiğe göre yaşamak son derecede kazançlı çıkmanızı sağlayacaktır.


Firmaların bilgi ve ağ güvenliğini sağlamaya yönelik kullanılmakta olan bir çok yazılım ve donanım çözümlerine yaptıkları yatırımlara karşın tüm güvenlik zinciri en zayıf halkası olan kullanıcıların, çoğu zaman farkında olmadan bilinçsizce yarattığı sistem açıkları ile tehdit altında kalabilmekte, bu açıkların giderilmesine yönelik çoğu zaman da gereğinden de fazla yatırım yapılmak zorunda kalınmakta üstelik yapılan bu ek yatırımlar kesin çözüm niteliği de taşımamaktadır.


Ağ ve bilgi güvenliğinin sağlanabilmesi üzere gerçekleştirilen Onca yatırıma rağmen güvenlik zincirini tehlikeye atabilecek olan bu zayıf halkanın güçlendirilebilmesi ise kullanıcıların ihtiyaç duyulan nitelikte; şirketin sistem güvenliği politikalarına uygun olarak, bilinçlendirilmesi, eğitilmesi ile sağlanabilmektedir.


Bir çok kurumsal nitelikteki firma sistem güvenliğini sağlayabilmek ve operasyon akışına engel oluşabilecek potansiyel sorunları önleyebilmek amacıyla eğitimler düzenlemekte, farkındalık seviyesini artırarak kullanıcılar tarafından yaratılabilecek güvenlik açıkları ve sistem hatalarını azaltmaya çalışmaktadır. Kurumsal boyuttaki firmalar kadar olmasa da elektronik çağını yakalamış olan orta ve büyük ölçekli KOBİ'lerin de mutlaka farkındalık eğitimlerini dikkate alması, bu kapsamda gerekli genel ve firma özelinde eğitimleri programlaması işletme sağlığı açısından önem taşımaktadır. KOBİ'ler için ISR'ın TÜBİTAK desteği ile geliştirmekte olduğu "ScavDat" projesi ile bu ihtiyaçlara yönelik çözümlerimiz hakkında bilgi almak için www.isr.com.tr üzerinden ya da bilgi[at]isr.com.tr mail adresinden bize çekinmeden ulaşabilirsiniz.

Popüler Yayınlar