Etiket arşivi: ömer faruk altundal

Makale & Analiz

360 Derece Bilgi Güvenliği

Yorum yapın

Bir önceki yazımı Maslow’un “Elinde çekiç olan, her şeyi çivi sanar” sözüyle bitirmiştim. Yazıyı bu anlamlı sözle bitirmemin tek sebebi hukukçular ile güvenlikçiler arasındaki ayrımı göstermek değildi. Bu söz hayatın çoğu noktasında karşılığını bulduğu gibi, bilgi güvenliği uzmanlarının kendi içinde de geçerli. O yazımın sonunda bu yazıma ufak bir gönderme yapmıştım.

Bilgi Güvenliği tek başına belli bir disiplinden ibaret değildir.Tam tersine, belki de bilgi teknolojileri alt dalları içerisinde en fazla konuya dokunan alan diyebilirim. Sistemden, networke, yazılımdan, insan kaynakları süreçlerine, fiziksel güvenliğe, regülasyonlara vs pek çok alana dokunur. Bu yüzden kurum içerisinde de etkin bir bilgi güvenliği yapısının tesis edilmesi için tüm bu konuları bilmek ve bu işlerin asıl sorumlularıyla iletişim halinde olmak, süreçlerin içinde olmak gerekir. Yani “büyük resmi görmek” için 360 derecelik bir bakış açısına sahip olmak gerekiyor.

Yukarıda bahsettiğimiz büyük resim gerçekten organizasyonun ve hatta organizasyon dışı faktörlerin tamamını kapsıyor. Burada organizasyon dışı faktörler biraz kafa karıştırmış olabilir, buna birazdan tekrar değiniriz.

Bilgi Güvenliği sadece Gizlilik demek değildir

 Bilgi Güvenliği’nde önce şu en temel şeyi tekrar hatırlamamız gerekiyor, biz bilginin sadece Gizlilik (Confidentiality) bileşenini değil, Bütünlük (Integrity) ve Erişilebilirlik (Availability) bileşenlerini de korumak durumundayız.

Gizliliğin ne olduğu az çok herkes biliyor. Örneğin sizin bir müşteri veritabanınız var, bu veritabanına sadece yetkili kişiler için erişim izni vermek ve diğer herkese karşı korumak gizliliğin sağlanmasıdır.

Diğer bileşenler için saldırı tiplerinden örnek vermek daha açıklayıcı olabilir. Sizin bir web siteniz var, bir sabah ofise geldiğinizde baktınız ki web sitesinin ana sayfasında X örgüte ilişkin propaganda mesajları var. İşte bu durumda sizin müşteri ya da diğer gizli bilgilerinize erişilmemiş ya da halen web siteniz erişilebilir olduğundan Erişilebilirlik bileşeni de zarar görmemiş olabilir. Gerçekleşen şey, olması gereken içeriğin bozulması, yani Bütünlük bileşeninin zarar görmesidir. Özetle Bütünlük, verinin bulunduğu ya da iletildiği ortamda bilinçli ya da bilinçsiz şekilde bozulmasının önlenmesidir.

Erişilebilirlik konusunda vereceğim örneği tahmin ediyorsunuzdur. DDoS saldırısı tam olarak bunu hedefler fakat sadece bu değil. Fidye amacıyla kullanılan ve diskinizdeki bilgilerin şifrelenmesine neden olan crypto zararlılarının da hedefi Erişilebilirlik’tir. Bu Bütünlük’e de zarar verse de aslında temel hedef Erişilebilirlik’tir.

Diyebilirsiniz ki “ama verdiğin tüm örnekler siber saldırılarla ilgili”, haklısınız. O zaman 1-2 tane de fiziksel dünyadan örnek verelim. Sel olması ve tek veri merkezinizdeki sistemlerinizin sular altında kalması, çalışması kazısı sırasında fiber kabloların kopması, yetkisiz birinin arşiv odasına girip tüm müşteri evrakını karıştırması vs. fiziksel dünyadan gelebilecek tehditlere sadece birkaç örnek.

Öncelikle bu giriş kısmıyla güvenliğin Gizlilik’ten ibaret olmadığını ortaya koymak istedim. Yazının devamında da kontrollerin de tek tip olmadığını, güvenliğin sadece teknik kontrollerden meydana gelmediğini göreceğiz.

 

 

 

 

 

 

 

 

 

 

 

360 Derece Bilgi Güvenliği ile neyi kast ediyoruz?

Bilgi Güvenliği sadece teknik kontroller ile sağlanabilecek bir konu değildir. Örneğin kilitli olmayan arşiv odasına misafirlerin girmesi, orada bulunan müşteri klasörlerini alıp götürmesi DLP ile engelleyebileceğiniz bir konu değildir. Ya da dere yatağına yapılmış veri merkezinizi sel basması ve sistemlerinizin 1-2 hafta çalışamaması Firewall ile engelleyebileceğiniz bir risk değildir.

Bunlar ve daha pekçok riski azaltmak için çok farklı kontroller uygulamak gerekmektedir. Bunlar Fiziksel Kontroller olabileceği gibi, İdari/Yönetsel Kontroller de olabilir. Örneğin işe giriş sırasında personele imzalatılan Kabul Edilebilir Kullanım Politikası, Parola Politikası, Gizlilik Sözleşmesi vs Yönetsel Kontroller’e örnektir.

Peki uygulayacağımız kontroller her zaman riski önlemeye yönelik kontroller midir? Hayır! Kontrol dediğimizde aklımıza ilk gelen şey Firewall, AV gibi Önleyici Kontrol grubundaki bileşenler olsa da, pekçok farklı kontrol Önleyici Kontrol kategorisine girmez.

Fiziksel kontrollerden başlarsak, örneğin kamera bir önleyici kontrol değil, İzleme Kontrolü’dür. Ya da bina içerisinde özel alanlara girişte yazan “Personel Harici Giremez” benzeri uyarı levhaları Caydırıcı Kontrollerdir. Ya da bir sisteme login olurken çıkan uyarı mesajları yine caydırıcı kontroldür.

Yönetsel Kontrol’ler ise daha çok sözleşme, mevzuat, standart vb kontrollerdir. Mesela GDPR/KVKK, yasal mevzuat ve yaptırımı olan bir mevzuat olsa da, önleyici bir kontrol değildir. Yasalar daha çok caydırıcı kontrollerdir. İçeriğine göre denetim gibi maddeler içeriyorsa İzleme Kontrolleri arasına da dahil edebiliriz.

En çok kullanılan başlıklara gore aşağıdaki tabloyu ve birkaç örneği hazırladım. Bazı örnekler yukarıda belirttiğim gibi birden fazla kategoriye de dahil olabilir. Tabi örnek sayısı da arttırılabilir.

 

 GÜVENLİK KONTROLLERİ Önleyici Kontroller
(Preventive Controls) 		İzleme Kontrolleri
(Detective Controls) 		Caydırıcı Kontroller
(Deterrent Controls)
 GÜVENLİK KONTROLLERİ Önleyici Kontroller
(Preventive Controls) 		İzleme Kontrolleri
(Detective Controls) 		Caydırıcı Kontroller
(Deterrent Controls)
Teknik Kontroller
(Technical Controls) 		Firewall, IPS, DLP, WAF, Endpoint Security vs Yama Yönetimi

Yedekleme

  SIEM, DAM, EDR vs Zafiyet Tarama

Sızma Testleri

  Logon mesajları

Fiziksel Kontroller
(Physical Controls) 		Turnike, bariyer, güvenlik görevlisi

Yedekli kablolama

  Kamera

Duman dedektörleri

  Uyarı tabelaları

İdari / Yönetsel Kontroller
(Administrative Controls) 		 Politikalar

Görevler ayrılığı

Farkındalık Eğitimleri

  İç ve Dış Denetimler  Sözleşmeler

Regülasyonlar

 

Bazı kaynaklarda Düzeltici Kontroller (Corrective Controls)  başlığı da görebilirsiniz. Bu da çok yaygın olarak kullanılan bir kategoridir. Bu daha çok bir denetim sonrası ortaya çıkan eksiklikleri giderme amacıyla uygulanan kontrollerdir. Örneğin bir pentest sonucu çıkan bulguların giderilmesi için alınan aksiyonları bu kategoriye koyabilirsiniz. Ya da yapılan bir iç/dış denetim sonrası gelen rapordaki uygunsuzlukarın giderilmesi için alınan aksiyonları (sistem odası girişine kart okuyucu koymak, sözleşmelere KVKK maddeleri eklemek, Veri Sınıflandırma Sistemi kurmak vs) yine Düzeltici Kontrol grubuna koyabiliriz.

Organizasyon dışı faktörler demiştiniz, açar mısınız?

Aslına bakarsanız uyguladığımız kontrollerin pek çoğu organizasyon dışındaki faktörlere karşı ya da onların talebiyle uyguladığımız kontrollerdir. Peki neler olabilir bu organizasyon dışı faktörler?

  • Yasa koyucu
  • Saldırganlar
  • Rakipler
  • Müşteriler
  • İş ortakları

Bunlar gibi pek çok etmeni göz önünde bulundurmamız gerekir bilgi güvenliğini tesis ederken. Bunlardan gelebilecek riskleri değerlendirmeliyiz. Örneğin devletin koyduğu mevzuata uyulmazsa ceza alınabilir. Diğer taraftan saldırganlar zaten en çok değerlendirilen dış faktörlerdir. Rakiplerimizin sanayi casusluğu yoluyla bizden sızdırabileceği ya da gereksiz bilgileri ifşa etmemiz nedeniyle pazar avantajı sağlaması başka bir risktir. Bu gibi senaryoların tamamını göz önünde bulundurmamız gerekiyor.

Kontrolleri uygulamada sınırımız ne olmalı?

Tüm bu yukarıda bahsettiğimiz alanlarda kontroller planlayıp, uygulayıp, iyileştirirken bilgi güvenliği ekibinin/sorumlusunun asıl hedefinin iş süreçlerine katkıda bulunmak, onları desteklemek olduğunu, alınan önlemlerin şirket ana faaliyetlerine köstek olmaması gerektiğini unutmamamız lazım. İngilizce tabirle “business blocker” değil, “business enabler” olmayan bir güvenlik yapısı, şirkete zarar verir. Örneğin bir e-ticaret işi yapıyor şirketiniz. Siz güvenlik konusunda uygulayacağınız kontrollerde müşteri deneyimi gibi en önemli business faktörünü göz ardı ederseniz, iş birimi gerekli onayları çok üst seviye yöneticilerden alacak ve sonraki gelişmelerin de büyük kısmını sizi by-pass ederek hayata geçirecektir. Fakat bu demek değildir ki siz her şeyi kabul edeceksiniz, tam tersi, risk sizin riskiniz değil zaten. Altına imzayı da o yüzden siz atmamalısınız. Biraz kafa karıştırabilir, bunu da ileride daha detaylı tartışabiliriz.

Bilgi güvenliğini gerçek anlamda tesis etmek için odağa sadece müşteri verilerini de koymamak gerekir. İyi bir yapıda, bilgi güvenliği yöneticisi organizasyon içindeki tüm departmanlarla (İK, İdari İşler, IT, Pazarlama, Müşteri İlişkileri vs) sürekli iletişimde olmalı ve riskleri onlarla beraber değerlendirmelidir. Aksi takdirde sadece IT odaklı bir bilgi güvenliği anlayışı çok eksik kalacaktır.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Makale & Analiz

KVKK her kurumda süreci kimin yönettiğine göre şekil alıyor

Yorum yapın

Nisan 2016’da yayınlanan ve 2 senelik uyum süresi geçen sene Nisan’da dolan KVKK ile ilgili tartışmalar bitmiyor. Herkesin kafasında çeşitli sorular var.

Burada benim gördüğüm en önemli sorunlardan birini “Çok fazla gri bölge içeren hukuk ile, tamamen 1 ve 0 kadar yalın sonuca gitmeyi hedefleyen IT’ci bakış açısının çakışması” oluşturuyor.

Hemen her yasal mevzuatta olduğu gibi burada da yoruma açık pek çok nokta var. Mesela Veri Sahibi’nin, Veri Sorumlusu’na yapacağı istek, şikayet gibi konular. Mevzuat tam olarak hangi yöntemin kullanılması gerektiğini belirtmediği için, Veri Sorumlusu da (biraz da gelebilecek asılsız istek ve şikayetlerin miktarını azaltmak, frenlemek için) “Veri Sahibi’ni doğrulama” adıyla işi zorlaştırabiliyor. KEP (Kayıtlı Elektronik Posta) adresinden gelmesi vb yöntemler talep ediyor. Açıkçası bence çok da haksız değiller. Sonuçta ben Ömer Altundal olarak X firmasından bana ait hangi verileri tuttuğunu öğrenmek ve onları sildirmek vs istiyorsam, X firmasının benim ben olduğumu onaylaması lazım. Yani benim Ömer Altundal olduğumu iddia etmem Identification, onların benim kimliğimi doğrulaması Authentication. Bilgi Güvenliği’nin en temel kavramları olan bu adıma kimse itiraz edemez.

Bu sadece bir örnek. Bu spesifik örnek dışında, Kanun’la ilgili genellikle sıkıntı duyulan noktalardan bir tanesi uyum sürecinin, ilgili kurum içerisinde kimler tarafından yürütüldüğüne bağlı olarak yorumlanması.

ASIL AMACIN KİŞİSEL VERİLERİ KORUMAK OLDUĞU UNUTULMAMALI

 

Genel olarak 2 farklı grup var diyebiliriz.

Hukukçular tarafından yönetilen uyum sürecinde, tamamen mevzuatta bulunan kelimelere odaklanılıp, sadece prosedürel konulara öncelik veriliyor. Örneğin bir aydınlatma metninin yazılması için tekrar tekrar toplantılar yapılıp, “virgülü nereye koysak, enter’a 2 defa basıp paragrafın arasını açsak mı” gibi kanunun amacından çok çok uzak konularda patinaj çekilebiliyor. Verbis’e yüklenecek envanterin oluşturulması için aylarca uğraşan şirketler biliyorum.

Diğer grubu ise daha çok güvenlik ekipleri tarafından yönetilen süreçler oluşturuyor. Bu grubun kanunun da amacına uygun olarak kişisel verileri koruma konusunda pratik adımlara daha fazla yoğunlaştığını ifade edebilirim. Kanunun amacı Kişisel Verileri Korumak. Aydınlatma metni, veri sahibinin itiraz süreci vb konular daha çok “şeffaflaşma” ile ilgili konular. Tabi ki şeffaflığın da güvenliğe katkısı olacağı kabul ediliyor fakat arka tarafta diğer tedbirlere odaklanılmamış, büyük bir açık kapı bırakılmışken, bu tedbirleri almak için yatırım yapılmazken, hukuki danışmanlığa çuvalla para dökülmesi müşteri verisini korumayacak, sadece metin anlamında ilgili kişileri tatmin edecektir.

Yazacağınız Aydınlatma Metni’nin, web sitenizde bulunan ve tüm müşteri verilerini sızdıran SQL Injection açığını gidermeye hiçbir faydası olmayacaktır. Ya da Verbis’e yüklediğiniz Veri Envanteri, 3.taraflarla kurduğunuz bağlantılarda kullandığınız API’larda bulunan açık nedeniyle müşteri verilerinizin sızmasını engellemeyecektir. SSH bağlantısı açık ve erişim bilgileri admin/admin olan bir firewall ve arkada yine düzgün yapılandırılmamış veritabanı sunucusu ile parkta yürür gibi şirketin veri tabanına girip çıkıyorken, aslında kopyala yapıştır yapılabilecek kadar kolay (azıcık kendi şirketinize uyarlamayla) olan Aydınlatma Metni yazdırmak için 5-6 basamaklı bütçeler ayırmanın faydası ne yazık ki yok.

GÜVENLİKÇİLER SADECE KENDİ UZMANLIKLARINA TAKILMAMALI

“Zarfa değil, mazrufa bakmak” şeklinde güzel bir deyişimiz vardır. Hukuk penceresinden yapılan KVKK uyum çalışmaları ne yazık ki işin şekline, ambalajına odaklanmakta. Kanun nezdinde ilk planda kurumunuzu güvenli bölgede tuttuğu görüntüsü olsa da,  gerçekten bir vaka yaşadığınızda, yapılacak incelemede güvenlik konusunda gerçekten önlem alıp, almadığınız irdelenecektir. Hazırladığınız süslü, püslü, bol eski Türkçe içeren metinlerin bir kıymeti harbiyesi kalmayacaktır. (Görüldüğü üzere teknik insanlar da bu tarz kelimeler kullanabiliyor ?)

Şimdiye kadar hep işin güvenlikçiler tarafından yürütülmesini savunsam da, güvenlikçiler olarak bizlerin de sadece sahip olduğumuz uzmanlığa takılıp, her şeyi o çerçevede çözmeye çalışmamamız gerekir. Maslow’un güzel sözü ile bitirmek istiyorum : “Elinde çekiç olan, her şeyi çivi sanar”. Bu, problemlere sığ bir bakış açısıyla yaklaşmamıza neden olur. Hukuki bakış açısı olmadan da Administrative Controls ya da Deterrent Controls dediğimiz, sözleşmeler, sisteme erişimlerdeki uyarlar vs gibi kontrolleri sağlamakta zorlanırız.

Siber Bülten abone listesine kaydolmak için formu doldurunuz