360 Derece Bilgi Güvenliği

Bir önceki yazımı Maslow’un “Elinde çekiç olan, her şeyi çivi sanar” sözüyle bitirmiştim. Yazıyı bu anlamlı sözle bitirmemin tek sebebi hukukçular ile güvenlikçiler arasındaki ayrımı göstermek değildi. Bu söz hayatın çoğu noktasında karşılığını bulduğu gibi, bilgi güvenliği uzmanlarının kendi içinde de geçerli. O yazımın sonunda bu yazıma ufak bir gönderme yapmıştım.

Bilgi Güvenliği tek başına belli bir disiplinden ibaret değildir.Tam tersine, belki de bilgi teknolojileri alt dalları içerisinde en fazla konuya dokunan alan diyebilirim. Sistemden, networke, yazılımdan, insan kaynakları süreçlerine, fiziksel güvenliğe, regülasyonlara vs pek çok alana dokunur. Bu yüzden kurum içerisinde de etkin bir bilgi güvenliği yapısının tesis edilmesi için tüm bu konuları bilmek ve bu işlerin asıl sorumlularıyla iletişim halinde olmak, süreçlerin içinde olmak gerekir. Yani “büyük resmi görmek” için 360 derecelik bir bakış açısına sahip olmak gerekiyor.

Yukarıda bahsettiğimiz büyük resim gerçekten organizasyonun ve hatta organizasyon dışı faktörlerin tamamını kapsıyor. Burada organizasyon dışı faktörler biraz kafa karıştırmış olabilir, buna birazdan tekrar değiniriz.

Bilgi Güvenliği sadece Gizlilik demek değildir

 Bilgi Güvenliği’nde önce şu en temel şeyi tekrar hatırlamamız gerekiyor, biz bilginin sadece Gizlilik (Confidentiality) bileşenini değil, Bütünlük (Integrity) ve Erişilebilirlik (Availability) bileşenlerini de korumak durumundayız.

Gizliliğin ne olduğu az çok herkes biliyor. Örneğin sizin bir müşteri veritabanınız var, bu veritabanına sadece yetkili kişiler için erişim izni vermek ve diğer herkese karşı korumak gizliliğin sağlanmasıdır.

Diğer bileşenler için saldırı tiplerinden örnek vermek daha açıklayıcı olabilir. Sizin bir web siteniz var, bir sabah ofise geldiğinizde baktınız ki web sitesinin ana sayfasında X örgüte ilişkin propaganda mesajları var. İşte bu durumda sizin müşteri ya da diğer gizli bilgilerinize erişilmemiş ya da halen web siteniz erişilebilir olduğundan Erişilebilirlik bileşeni de zarar görmemiş olabilir. Gerçekleşen şey, olması gereken içeriğin bozulması, yani Bütünlük bileşeninin zarar görmesidir. Özetle Bütünlük, verinin bulunduğu ya da iletildiği ortamda bilinçli ya da bilinçsiz şekilde bozulmasının önlenmesidir.

Erişilebilirlik konusunda vereceğim örneği tahmin ediyorsunuzdur. DDoS saldırısı tam olarak bunu hedefler fakat sadece bu değil. Fidye amacıyla kullanılan ve diskinizdeki bilgilerin şifrelenmesine neden olan crypto zararlılarının da hedefi Erişilebilirlik’tir. Bu Bütünlük’e de zarar verse de aslında temel hedef Erişilebilirlik’tir.

Diyebilirsiniz ki “ama verdiğin tüm örnekler siber saldırılarla ilgili”, haklısınız. O zaman 1-2 tane de fiziksel dünyadan örnek verelim. Sel olması ve tek veri merkezinizdeki sistemlerinizin sular altında kalması, çalışması kazısı sırasında fiber kabloların kopması, yetkisiz birinin arşiv odasına girip tüm müşteri evrakını karıştırması vs. fiziksel dünyadan gelebilecek tehditlere sadece birkaç örnek.

Öncelikle bu giriş kısmıyla güvenliğin Gizlilik’ten ibaret olmadığını ortaya koymak istedim. Yazının devamında da kontrollerin de tek tip olmadığını, güvenliğin sadece teknik kontrollerden meydana gelmediğini göreceğiz.

 

 

 

 

 

 

 

 

 

 

 

360 Derece Bilgi Güvenliği ile neyi kast ediyoruz?

Bilgi Güvenliği sadece teknik kontroller ile sağlanabilecek bir konu değildir. Örneğin kilitli olmayan arşiv odasına misafirlerin girmesi, orada bulunan müşteri klasörlerini alıp götürmesi DLP ile engelleyebileceğiniz bir konu değildir. Ya da dere yatağına yapılmış veri merkezinizi sel basması ve sistemlerinizin 1-2 hafta çalışamaması Firewall ile engelleyebileceğiniz bir risk değildir.

Bunlar ve daha pekçok riski azaltmak için çok farklı kontroller uygulamak gerekmektedir. Bunlar Fiziksel Kontroller olabileceği gibi, İdari/Yönetsel Kontroller de olabilir. Örneğin işe giriş sırasında personele imzalatılan Kabul Edilebilir Kullanım Politikası, Parola Politikası, Gizlilik Sözleşmesi vs Yönetsel Kontroller’e örnektir.

Peki uygulayacağımız kontroller her zaman riski önlemeye yönelik kontroller midir? Hayır! Kontrol dediğimizde aklımıza ilk gelen şey Firewall, AV gibi Önleyici Kontrol grubundaki bileşenler olsa da, pekçok farklı kontrol Önleyici Kontrol kategorisine girmez.

Fiziksel kontrollerden başlarsak, örneğin kamera bir önleyici kontrol değil, İzleme Kontrolü’dür. Ya da bina içerisinde özel alanlara girişte yazan “Personel Harici Giremez” benzeri uyarı levhaları Caydırıcı Kontrollerdir. Ya da bir sisteme login olurken çıkan uyarı mesajları yine caydırıcı kontroldür.

Yönetsel Kontrol’ler ise daha çok sözleşme, mevzuat, standart vb kontrollerdir. Mesela GDPR/KVKK, yasal mevzuat ve yaptırımı olan bir mevzuat olsa da, önleyici bir kontrol değildir. Yasalar daha çok caydırıcı kontrollerdir. İçeriğine göre denetim gibi maddeler içeriyorsa İzleme Kontrolleri arasına da dahil edebiliriz.

En çok kullanılan başlıklara gore aşağıdaki tabloyu ve birkaç örneği hazırladım. Bazı örnekler yukarıda belirttiğim gibi birden fazla kategoriye de dahil olabilir. Tabi örnek sayısı da arttırılabilir.

 

 GÜVENLİK KONTROLLERİ Önleyici Kontroller
(Preventive Controls)
İzleme Kontrolleri
(Detective Controls)
Caydırıcı Kontroller
(Deterrent Controls)
 GÜVENLİK KONTROLLERİ Önleyici Kontroller
(Preventive Controls)
İzleme Kontrolleri
(Detective Controls)
Caydırıcı Kontroller
(Deterrent Controls)
Teknik Kontroller
(Technical Controls)
Firewall, IPS, DLP, WAF, Endpoint Security vs Yama Yönetimi

Yedekleme

 SIEM, DAM, EDR vs Zafiyet Tarama

Sızma Testleri

 Logon mesajları

Fiziksel Kontroller
(Physical Controls)
Turnike, bariyer, güvenlik görevlisi

Yedekli kablolama

 Kamera

Duman dedektörleri

 Uyarı tabelaları

İdari / Yönetsel Kontroller
(Administrative Controls)
 Politikalar

Görevler ayrılığı

Farkındalık Eğitimleri

 İç ve Dış Denetimler  Sözleşmeler

Regülasyonlar

 

Bazı kaynaklarda Düzeltici Kontroller (Corrective Controls)  başlığı da görebilirsiniz. Bu da çok yaygın olarak kullanılan bir kategoridir. Bu daha çok bir denetim sonrası ortaya çıkan eksiklikleri giderme amacıyla uygulanan kontrollerdir. Örneğin bir pentest sonucu çıkan bulguların giderilmesi için alınan aksiyonları bu kategoriye koyabilirsiniz. Ya da yapılan bir iç/dış denetim sonrası gelen rapordaki uygunsuzlukarın giderilmesi için alınan aksiyonları (sistem odası girişine kart okuyucu koymak, sözleşmelere KVKK maddeleri eklemek, Veri Sınıflandırma Sistemi kurmak vs) yine Düzeltici Kontrol grubuna koyabiliriz.

Organizasyon dışı faktörler demiştiniz, açar mısınız?

Aslına bakarsanız uyguladığımız kontrollerin pek çoğu organizasyon dışındaki faktörlere karşı ya da onların talebiyle uyguladığımız kontrollerdir. Peki neler olabilir bu organizasyon dışı faktörler?

  • Yasa koyucu
  • Saldırganlar
  • Rakipler
  • Müşteriler
  • İş ortakları

Bunlar gibi pek çok etmeni göz önünde bulundurmamız gerekir bilgi güvenliğini tesis ederken. Bunlardan gelebilecek riskleri değerlendirmeliyiz. Örneğin devletin koyduğu mevzuata uyulmazsa ceza alınabilir. Diğer taraftan saldırganlar zaten en çok değerlendirilen dış faktörlerdir. Rakiplerimizin sanayi casusluğu yoluyla bizden sızdırabileceği ya da gereksiz bilgileri ifşa etmemiz nedeniyle pazar avantajı sağlaması başka bir risktir. Bu gibi senaryoların tamamını göz önünde bulundurmamız gerekiyor.

Kontrolleri uygulamada sınırımız ne olmalı?

Tüm bu yukarıda bahsettiğimiz alanlarda kontroller planlayıp, uygulayıp, iyileştirirken bilgi güvenliği ekibinin/sorumlusunun asıl hedefinin iş süreçlerine katkıda bulunmak, onları desteklemek olduğunu, alınan önlemlerin şirket ana faaliyetlerine köstek olmaması gerektiğini unutmamamız lazım. İngilizce tabirle “business blocker” değil, “business enabler” olmayan bir güvenlik yapısı, şirkete zarar verir. Örneğin bir e-ticaret işi yapıyor şirketiniz. Siz güvenlik konusunda uygulayacağınız kontrollerde müşteri deneyimi gibi en önemli business faktörünü göz ardı ederseniz, iş birimi gerekli onayları çok üst seviye yöneticilerden alacak ve sonraki gelişmelerin de büyük kısmını sizi by-pass ederek hayata geçirecektir. Fakat bu demek değildir ki siz her şeyi kabul edeceksiniz, tam tersi, risk sizin riskiniz değil zaten. Altına imzayı da o yüzden siz atmamalısınız. Biraz kafa karıştırabilir, bunu da ileride daha detaylı tartışabiliriz.

Bilgi güvenliğini gerçek anlamda tesis etmek için odağa sadece müşteri verilerini de koymamak gerekir. İyi bir yapıda, bilgi güvenliği yöneticisi organizasyon içindeki tüm departmanlarla (İK, İdari İşler, IT, Pazarlama, Müşteri İlişkileri vs) sürekli iletişimde olmalı ve riskleri onlarla beraber değerlendirmelidir. Aksi takdirde sadece IT odaklı bir bilgi güvenliği anlayışı çok eksik kalacaktır.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

ÖMER ALTUNDAL

Siber güvenlik alanındaki kariyerine Borusan Telekom'da başlayan ve Şekerbank ile devam eden Ömer Altundal, sonrasında TTNET, Boyner Grubu ve Doğuş Grubu'nda yönetici olarak devam etmiştir.
Halen kendi girişimi olan İngiltere merkezli RedSpark Cyber Security şirketinde siber güvenlik danışmanı olarak kariyerini devam ettirmektedir. Evli ve bir çocuk babasıdır.
ÖMER ALTUNDAL

Latest posts by ÖMER ALTUNDAL (see all)

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.

ÖMER ALTUNDAL

Siber güvenlik alanındaki kariyerine Borusan Telekom'da başlayan ve Şekerbank ile devam eden Ömer Altundal, sonrasında TTNET, Boyner Grubu ve Doğuş Grubu'nda yönetici olarak devam etmiştir.
Halen kendi girişimi olan İngiltere merkezli RedSpark Cyber Security şirketinde siber güvenlik danışmanı olarak kariyerini devam ettirmektedir. Evli ve bir çocuk babasıdır.
ÖMER ALTUNDAL

Latest posts by ÖMER ALTUNDAL (see all)