Bilgi Güvenliği Risk Analizi (Sızma Testi) Nedir, Neden Önemlidir?
Bu yazımızda adım adım bilgi güvenliğinin önem sebeplerini irdeleyerek çağımızda bilgi güvenliğinin sağlanmasında önemli bir adım olan "Risk Analizi" kavramını açıklayacağız.
İletişim İhtiyacının A,B,C'si: Bilişim Sistemleri İletişimi ve İnternet
İşletmeler ciro ve karlılıklarını artırmak hedefiyle gün geçtikçe teknolojiden daha fazla faydalanmaktalar.
Nihai hedef belli, peki işletmede teknoloji hangi amaçlarla kullanılıyor ve bize getirileri nelerdir?
Hangi amaç için kullanıyoruz?
- Hızlı iletişim, hızlı yanıt almak
- Daha kontrollü ve doğru sonuçlar elde etmek, daha fazla iş ile başa çıkabilmek
- Zaman bağımsız çalışmak, esnek çalışma saatleri oluşturmak
- Mekan bağımsız çalışmak, mobil verimlilikten faydalanmak, zamandan tasarruf
- Bilgiyi kolay paylaşmak, anlık veya sürekli bilgi paylaşımı
- Daha geniş kitlelere erişmek, mesafelerden etkilenmeksizin daha fazla alıcıya ulaşabilmek
- 7/24 tanıtım yapabilmek, ürün ve hizmet bilgisini sürekli erişilebilir tutmak
- Veri toplamak, geçmiş işlerden gelecekte faydalı bilgi elde edinmek
Temel kullanım sebepleri oldukça tanıdık, bunlar genellikle ortak sebepler. Peki getirilerinin yanı sıra işletmenin teknolojiyi kullanarak aldığı ek sorumluluklar nelerdir?
Bu soruya yanıt vermek için öncelikle teknolojiyi nasıl kullanıyoruz sorusunu irdelemek gerekli.
Bir işletme teknolojiyi nasıl kullanıyor?
- Hızlı iletişime elverişli olan e-posta yazışma program ve/veya altyapıları oluşturarak
- E-posta yazışmalarını saklayarak ve her yerden erişilebilir platformlar kullanarak
- Geçmiş verilerden faydalanmak için onlara hızlıca ulaşmak amacıyla her türlü şirket verisini elektronik ortamda saklayarak
- Sakladığı verilere zaman sınırı olmaksızın erişim sağlayarak
- Taşınabilir cihazlar ile ofis-bina dışarısında da bağlantı kurarak dosyalara erişerek ve/veya çalışmayı sürdürerek
Bilgisayarlar, tablet pc'ler, telefonlar gibi cihazlar erişim ve işlem kolaylığı sağlarken bu bileşenlerden oluşan işyeri ağları dış erişime sahip cihazların getirdiği riskleri de işyeri ağı içerisine taşımaktadır.
Sıklaşan, artan elektronik ortam kullanımı, artan riski de beraberinde getirmekte ve bu doğrultuda şirketin kontrol etmesi gereken yeni alanlar ortaya çıkmaktadır.
Pek çok firma gizli herhangi bir bilgisi olmadığı, yapmakta olduğu faaliyetlerin rutin faaliyetler olduğunu belirtmektedir.
Fakat yine de bu firmalar bilgilerini sadece ilgili kişilerin görmesi ve ilgili firmalar ile kontrolü dahilinde paylaşılmasını istemektedir.
Çağımızda bir şirketin gündelik operasyonlarının kesintisiz sürmesi, ticari değerlerinin ve kazançlarının gerekli gizlilik ölçüsünde saklanması ve korunabilmesinin şirketin varlığını sürdürebilmesi için gereklilik taşıdığı oldukça açık durumdadır.
İstenmeyen trafiğe bağlı gelişen bu risk göz ardı edildiği takdirde sonuç tahmin edilemez, bilinmez derecede sakıncalı olabilmektedir.
Bazı şirketler için bilgi gizliliği değerli bulunmaz iken bilgi kaybının telafi edilemez derecede önemli olduğu maalesef kayıp yaşandıktan sonra fark edilmektedir.
Bilgi güvenliği yalnızca gizliliği içermemektedir; bilgi kaybı, bilginin yetkisiz ve sehven erişimi, değiştirilmesi, bütünlüğünün bozulması gibi etkenleri de bilgi güvenliği konusunda dikkate alınmaktadır.
Çözüm bilgisayarlar arasındaki bağı ya da İnternet'i kesmek değil!
Getirilerini incelediğimizde İnternet bağlantısı bir şirket için vazgeçilemez bir avantaj; kurumsal ve bireysel yaşantıda teknolojinin yaşamasında en önemli altyapı noktalarından birisi.
Tehlikelerini bilmek ve önlemlerini alarak bu risklerden korunmak ise tek çözüm.
Ağınızda Sizi Bekleyen Tehlikeler ve Risk Analizi
Bilgilerinizin ve ağınızın güvenliği için bir cihaz veya bir hizmet satın almak ve tüm sorununuzu çözmesini beklemek malesef gerçekçi ve uygulanabilir değil.
Çünkü bilgileriniz ve ağınız sürekli gelişen, kendini yenileyen, yaşayan varlıklar. Bu varlıkları korumak için yaşam döngülerini periyodik olarak takip etmeli ve ihtiyaçlarını tespit etmeliyiz. Bu tespitlerde ortaya çıkan bulguları değerlendirerek, gerekli tedavileri, iyileştirmeleri elbette bütçemiz çerçevesinde gerçekleştirmeli, kurumumuzun amaçlarına yönelik kuruma özgü önlemleri almalı ve tüm bu süreçleri kurumsal ekibimizin tamamında uygulayabilmeliyiz.
Tıpkı vücudumuzun sağlığı gibi bilgi ve ağ güvenliğinin de sağlığı, sağlıklı çalışırlığı belirli periyodlarda gözden geçirilmeli.
Periyodik kontroller ile desteklenen sistemlerin daha güvenli, sağlıklı ve dolayısıyla verimli çalışması söz konusudur.
Nereden başlayacağız?
Güvenlik, pek çok bileşene sahip bir yapı, bir sistemdir. Güvenlik sisteminiz ihtiyacınız doğrultusunda uzmanlar tarafından yapılan tespite ve bütçenize göre dizayn edilir.
Bu sistemin çok küçük bir bölümünü oluştursa da ihtiyaç duyulan pek çok bileşenden akla gelen ilk çözüm hem fiyat hem de uygulama yaygınlığı açısında güvenlik duvarlarıdır.
Dış dünya ile aranıza bir güvenlik duvarı (Firewall) konumlandırdınız. Bu duvar güvenlik ilgili tüm ihtiyaçlarınızı çözemeyecek fakat yine de internete karşı tamamen korunmasız olmanızı önleyecektir.
Peki en temel yapı olan bu duvar (firewall) sağlıklı durumda mı, duvarınız zafiyet içeriyor mu?
Almış olduğunuz önlemler gelişen teknoloji, değişen ihtiyaçlar ve kullanım alışkanlıkları doğrultusunda zafiyet (zayıflık, eksiklik) içerebilir.
Bu durumu kontrol etmez isek korunduğumuzu düşünürken oysa risklere açık şekilde sistemimizi kullanmaya devam ediyoruz demektir.
Kurumunuzda kullanılması gereken güvenlik çözümlerinin neler olduğunu, ihtiyaçları tespit etmek, yatırımınızı doğru yapmak amacıyla risk analizi gerçekleştirilmesi önerilir.
Risk Analizi
Çeşitli uzmanlık seviyelerinde gerçekleştirilebilen bu kontrol (test) süreçlerinde ilk adım "Zafiyet Taraması" dır.
Zafiyet taraması
Ağ yapısı ve ağ bileşenleri üzerinde "bilinen" güvenlik zafiyetlerinin taranması ve raporlanmasından oluşmaktadır.
Bu tarama sonucunda ağınızın güvenlik bakış açısıyla ilk resmi çekilmiş olur. Bu resim ağa yapılabilecek ilk saldırının ne şekilde gerçekleşebileceğinin haritasını çıkartmayı sağlar.
Zayıf noktanın tespiti ile gerekli önlemlerin alınması üzerine çalışmalara başlanır.
Bu tip risk analizi çalışmaları uluslararası standartlar kapsamında pek çok firmada artık rutin olarak gerçekleştirilmekte, hatta pek çok kalite standardına göre 3'er aylık periyodlarda tekrarlanmak zorundadır.
Herhangi bir zayıf nokta bulunamaz ise?
Bu durumda işletmenin şikayetleri, sorunları ve/veya güvenlik ihtiyacı doğrultusunda araştırmalar, analiz sürdürülebilir.
Sızma Testi
Zafiyet testinden bir sonraki aşama olan "Sızma Testi"nde saldırgan gibi düşünerek, saldırganın bilgiye erişme, ağa sızma işlemi simüle edilir.
Bulunan zafiyetler ya da uzman tarafından tahmin edilen açıklıklar irdelenerek izinsiz erişimin nasıl yapılacağı gözden geçirilir ve uygulanır.
Bu esnada izlenilen yol ve kullanılan metot raporlanır. Bu kimi zaman çok kapsamlı uzun süren bir çalışma olabilir, kimi zaman da ihtiyaç ve bütçe doğrultusunda kısıtlı zaman aralağında gerçekleştirilir.
Sızma testinin gerçekleştirilmesi gereken ideal süresi için öncelikle uzman kişilerce ağ keşfinin yapılması ve bu keşif sonucunda firma ile birlikte bütçe doğrultusunda bir süre kararlaştırılması gerekir.
Daha fazla bilgi edinmek ya da sorularınıza yanıt bulmak için bilgi [ at ] isr.com.tr adresinden bizimle iletişime geçebilirsiniz.