BT Güvenlik Yönetimi Rehberi

Güvenlik Yönetimi IT Standartları · Türkçe

Açıklama

Bilgi Teknolojileri (BT), yenilikçilik ve verimliliğin merkezinde yer alarak; pazar dinamikleri ve tüketici taleplerine hızla adapte olup rekabet gücünü artırmayı sağlayan en önemli unsurlardan birisidir.

BT'nin stratejik önemi ve siber saldırıların hem dünyada hem de ülkemizde nitelik ve nicelik olarak artması nedeniyle BT güvenliği konusuna daha fazla önem verilmesi gerekmektedir.

Amaç

Şirket, BT güvenliğinin sağlanması için standartlar, denetimler ve güvenlik sistemleri başta olmak üzere teknolojik altyapı ve süreçlerinde pek çok kontrole sahiptir.

Bu rehber, şirket genelinde BT güvenlik organizasyonunun daha da iyileştirilmesi, güvenlik tedbirlerinin etkinliğinin ve dolayısıyla güvenlik seviyesinin artırılması için oluşturulmuştur.

Rehber içeriğinde Tanımlar bölümünde temel bilgi güvenliği kavramları, siber saldırı kaynakları ve türleri; BT Güvenlik Yönetimi başlığı altında temel prensipler ve şirketin asgari sorumlulukları açıklanmıştır. Eylem Planı bölümünde, şirketin kendi BT güvenlik kontrollerini belirlerken dikkate alması gereken, etkin siber savunma için kritik güvenlik kontrolleri yer almakta olup; şirketin faaliyet gösterdiği sektöre, BT altyapısına ve risklerine göre belirtilenlere ek kontroller devreye alması gerekebilir.

Tanımlar

Bilişim sistemleri: Bilgi ve iletişim teknolojileri vasıtasıyla sağlanan her türlü hizmetin, işlemin ve verinin sunumunda yer alan sistemlerdir.

Bilgi varlıkları: Bir bilgi sistemindeki bilgiyi barındıran ve erişilebilir kılan; yazılım, donanım, insan ve işletim sisteminin tümünün oluşturduğu varlıklardır. Bu varlıklardan bazıları sistemin işler vaziyette kalmasını sağlamak için kritik öneme sahip olabilir. Bu tür bilgi varlıklarına kritik bilgi varlıkları adı verilmektedir. Bilgi güvenliğinin amacı, bilgi sistemindeki bilginin bütün ve erişilebilir halde tutulmasını sağlayan bilgi varlıklarının güvenliğini sağlamaktır. Bir bilgi sistemindeki uygulama, veri tabanı, elektronik posta, ağ sunucusu gibi kaynaklar ile bu kaynaklara erişim amacıyla kullanılan ağ kaynakları, bir bilgi sisteminin kritik bilgi varlıkları olarak nitelendirilmektedir.

Siber ortam: Tüm dünyaya ve uzaya yayılmış durumda bulunan bilişim sistemlerinden ve bunları birbirine bağlayan ağlardan oluşan ortamdır.

Siber güvenlik: Siber ortamı oluşturan bilişim sistemlerinin saldırılardan korunmasını, bu ortamda işlenen bilginin gizlilik, bütünlük ve erişilebilirliğinin güvence altına alınmasını, saldırıların ve siber güvenlik olaylarının tespit edilmesini, bu tespitlere karşı tepki mekanizmalarının devreye alınmasını ve sonrasında sistemlerin yaşanan siber güvenlik olayı öncesi durumlarına geri döndürülmesini ifade etmektedir.

Siber Güvenliğin Unsurları

Siber güvenlik denildiğinde akla üç temel unsur gelmektedir. Bu unsurlar; bilgi sisteminin erişilebilir bir vaziyette, güvenli ve bütünlüğüne zarar gelmemiş bir faaliyet ortamında işlemesini ve bilgi varlıklarının korunmasını temin etmekte olup gizlilik (confidentiality), bütünlük (integrity) ve kullanılabilirlik (availability) olarak kabul edilmektedir.

  • Gizlilik: Bilginin yetkisiz kişilerin veya sistemlerin erişimine kapalı olması ya da bilginin yetkisiz kişilerce açığa çıkarılmasının engellenmesidir.
  • Bütünlük: Bilginin yetkisiz kişilerce değiştirilmesi, silinmesi ya da herhangi bir şekilde tahrip edilmesi tehditlerine karşı içeriğinin korunmasıdır. Kısaca, kazara veya kasıtlı olarak bilginin bozulmaması olarak da ifade edilebilir.
  • Kullanılabilirlik: Bilginin ihtiyaç duyulduğu anda kullanıma hazır durumda olması anlamına gelmektedir. Bilginin korunduğu bilgi sistemiyle ilgili bir sorunun veya sisteme yönelik bir riskin ortaya çıkması durumunda bile bilginin erişilebilir olması, kullanılabilirlik özelliğinin bir gereğidir. Bu erişim kullanıcının hakları çerçevesinde olmalıdır.

Bu üç ilkenin dışında hesap verebilirlik (accountability), erişim denetimi (access control), güvenilirlik (reliability) ve emniyet (safety) unsurları da bilgi güvenliğini destekleyen unsurlardır. Bu ilkeler literatürdeki bazı çalışmalarda bilgi güvenliği ilkeleri olarak sayılmaktadır.

Doğruluk ve inkâr edilemezlik ilkeleri ise klasik bilgi güvenliği yaklaşımından ziyade, elektronik ticaretin yaygınlaşmasından sonra ortaya çıkan ihtiyaçlar dâhilinde kendiliğinden gelişen ilkelerdir.

  • Doğruluk: Özellikle elektronik ticaretin gelişimiyle birlikte, bilgi sistemleri aracılığıyla yapılan işlemlerin bilginin gerçekten saklandığı bilgi sistemi üzerinden yapılması önem arz etmektedir.
  • İnkâr edilemezlik: Kullanıcıların bilgi sistemleri vasıtasıyla elektronik ortamda gerçekleştirdikleri işlemleri inkâr etmelerini önleyen tedbirlerin alınmasıdır.

Temel Siber Güvenlik Kavramları

Günümüz siber dünyasında, bütünlük veya erişilebilirliğin yanında gizliliğin de sağlanması, kullanılan teknolojik cihazlar ve bilgisayarların internete bağlı olmasından dolayı oldukça zordur. Bireylerin kullanmış olduğu bu teknolojik cihazlar, çalıştırdıkları programlar nedeniyle gizliliğin ihlaline yol açabilmektedir. Siber güvenlik süreçlerini, saldırılarını ve savunma mekanizmalarını açıklamadan önce aşağıdaki genel kavram ve terimlerin bilinmesi gereklidir.

  • Erişim Kontrolü: Bilgiye erişimin denetlenmesi, bilgi sistemlerine yetkisiz erişimin engellenmesi, yetkisiz kullanıcı erişimine izin verilmemesi, hizmetlerin korunması, yetkisiz işlemlerin tespit edilmesi ve uzaktan çalışma ortamlarında bilgi güvenliğinin sağlanmasıdır.
  • Kimlik Denetimi: Herhangi bir kişiye ait rol ya da kimliğin doğrulama mekanizmasıdır.
  • Yetkilendirme: Kimliğin belirli kaynaklara erişiminin olup olmadığına karar verilmesi sürecidir.
  • Varlık: Saldırılara karşı korunması gereken değerli bilgi kaynaklarını tanımlar (TC kimlik numarası veri tabanı, kredi kartı veri tabanı ya da personel veri tabanı gibi).
  • Güvenlik Açığı: Sistem üzerindeki yazılım ve donanımdan kaynaklanan ya da sistemin işletim kuralları ve/veya yönergelerindeki açık noktalar ve zayıf kalmış yönlerdir.
  • Risk: Siber saldırı neticesinde meydana gelebilecek olası zararlı sonuçlardır.
  • Tehdit: Zararlı sonuçlar doğurabilecek olası saldırı ya da açıklık durumlarıdır.

Siber Saldırıların Kaynakları

Siber saldırı kaynaklarını genel olarak aşağıdaki dört grupta toplamak mümkündür:

  • Hacker'lar ve Siber Suçlular: Kişisel bilgisayarlara, mobil cihazlara veya organizasyon, şirket ve kamu bilgisayar ağlarına izinsiz giriş yapan kişilerdir.
  • İç (Dâhili) Saldırganlar: Organizasyon içerisinde, belirli amaçlar çerçevesinde dâhili sistemlere saldırı düzenleyen kurumsal kişilerdir.
  • Siber Aktivistler: Dünya görüşleri çerçevesinde kötü veya uygunsuz gördükleri toplumsal ya da politik sorunları dile getirmek amacıyla kamu ya da özel sektör siber alanlarına saldırı düzenleyen şahıs ya da gruplardır.
  • İstihbarat Kurumları: Uluslararası siber dünyada ülkeler birbirlerini siber tehdit olarak da görmeye başlamıştır. Bu tehdit algısı nedeniyle ülkeler siber savunma ve siber saldırı takımları oluşturmakta ve diğer ülkelere ait kritik verilere erişmeye çalışmanın yanında hedef ülkenin kritik altyapılarına siber saldırılar yapmaya da devam etmektedir.

Siber Saldırı: Hedef seçilen şahıs, şirket, kurum veya devletin bilişim sistemlerinin işleyişinin engellenmesi, bozulması veya değiştirilmesi yoluyla; iş, ticaret, yönetim veya toplumsal hayat üzerinde olumsuz etki oluşturacak girişimlerdir. Ulusal veya uluslararası düzeyde; ticari, politik veya askeri amaçlı olarak, planlı ve eşgüdümlü bir faaliyet olarak gerçekleştirilebileceği gibi, çeşitli kişi ve gruplar tarafından çok değişik amaçlarla da gerçekleştirilebilir.

Siber Saldırı Türleri

Siber uzayda, siber güvenlik uzmanlarının kendi bilgisayarlarını ve sistemlerini korumalarını gerektirecek çok fazla saldırı ve saldırı çeşidi bulunmaktadır; örneğin fidye yazılımları (ransomware), truva atları, virüsler, solucanlar, mantık bombaları, DDoS, sosyal mühendislik atakları, oltalama saldırıları vb. Saldırganlar bu saldırı yöntemlerini kullanarak sızmış oldukları bilgisayar ya da bilgisayar ağlarına değiştirici, yıkıcı, hizmet aksatıcı ya da verileri sızdırma şeklinde çeşitli zararlar verebilmektedir. Bu zararların organizasyon ya da kamu kurumuna maddi zararları olabileceği gibi, itibarının azaltılması şeklinde zararları da olmaktadır.

Zararlı Yazılımlar (Malware): En genel ifade ile bilgisayar sistemlerini kötü amaçlı kullanmak için sistem bilgilerine erişim sağlamaya yarayan ya da bilgisayar sistemlerine ciddi zararlar veren kötücül bilgisayar programlarıdır. Zararlı yazılımlar genel bir kavram olup virüsler, solucanlar, truva atları, fidye yazılımları (ransomware), rootkit'ler ve casus yazılımlar bu kavramın içerisinde yer alır. Zararlı yazılımlar insanlara, süreçlere ve/veya teknolojilere karşı kullanılabilir. Temel ve en önemli nokta, zararlı yazılımların amacının sistemlere yetkisiz erişim hakkı elde etmek veya kritik ve önemli verilerin ele geçirilmesini sağlamak olduğudur.

Virüsler: Bilgisayar virüsleri en genel manada kendini sistemdeki dosyalardan ya da programlardan biri gibi gösteren, değiştiren bilgisayar kodlarıdır. Virüslerin anlaşılmasındaki kritik nokta, bir kullanıcı tarafından çalıştırılmaları gerektiğidir. Bulaşma genellikle bir kullanıcıdan gelen e-postanın açılması ya da USB'nin otomatik çalıştırılması şeklinde meydana gelebilmektedir.

Solucanlar: Virüs gibi kendini bir bilgisayardan başka bilgisayara kopyalamak için tasarlanmış zararlı yazılımlardır. Virüslerden farkı, yayılma işlemini ağ üzerinden otomatik olarak yapmasıdır. Otomatik yayılma nedeniyle zamanla bilgisayar ağının yavaş çalışmasına ve internet sayfalarının geç açılmasına neden olurlar. Solucanların genel yayılma yöntemleri arasında şunlar sayılabilmektedir:

  • E-posta eki olarak gönderilen dosyalar ile yayılma,
  • Web veya FTP kaynağı bağlantısı ile yayılma,
  • Anlık mesajlaşma uygulamalarında gönderilen bağlantılar ile yayılma,
  • P2P (eş düzeyler arası) dosya paylaşım ağları üzerinden yayılma.

Bununla birlikte bazı solucanlar ağ paketleri olarak yayılmaktadır. Bunlar bilgisayar belleğine doğrudan girmekte ve ardından solucan kodu etkinleştirilmektedir.

Truva Atı: Bilgisayar kullanıcılarının içeriği hakkında derinlemesine bilgisi olmadan yükledikleri zararlı yazılımlardır. Örneğin bir kullanıcının popüler bir uygulamayı yüklediğini düşünürken, aslında güvenilir bir kaynak yerine rastgele bir kaynaktan bu uygulamanın sahte bir kopyasını yüklemesi olarak düşünülebilir. Genel olarak truva atı olan programlar, dosyanın sisteme indirilip yüklenmesi neticesinde bilgisayar sistemlerine bulaşır. Truva atlarının karakteristiği, kullanıcı bilgisayarının uzaktan kontrol edilebilmesi ya da izlenmesinin sağlanmasıdır. Truva atı, yüklendiği bilgisayarların zombi bilgisayar olarak kullanılmasına da izin vermektedir.

Rootkit: Bilgisayara bulaşan, çalışan işlemler arasında kendini gizleyen, kötü niyetli kişilere bilgisayarın uzaktan tam hâkimiyetini sağlayan ve tespit edilmesi oldukça zor olan bilgisayar programıdır. Virüsler gibi amacı sistemi yavaşlatmak ve yayılmak değildir; bilgisayarın kontrolünü ele geçirmek ve bulunduğu sistemde varlığını gizlemektir. Önceleri çok kullanıcılı sistemlerde sıradan kullanıcıların yönetim programlarına ve sistem bilgilerine erişimini gizlemek için geliştirilip kullanılmış olmasına rağmen, kötü niyetli kullanımına da rastlamak mümkündür.

Güvenilir bir kaynaktan geldiğine inanılan bir programın üst düzey yetki ile (root gibi) çalıştırılması, zararlı bir rootkit'in sisteme kurulmasına sebep olur. Benzer şekilde, çok kullanıcılı bir sistemde kernel vb. açıkları kullanılarak sistemde root yetkisi kazanıp rootkit kurulması en yaygın görülen bulaşma şeklidir.

Rootkit'in gerçekte hangi dosyaları değiştirdiğini, kernel'e hangi modülü yüklediğini, dosya sisteminin neresinde kayıtlı olduğunu, hangi ağ servisi üzerinde dinleme yaparak uygun komutla harekete geçeceğini tespit etmek güçtür. Yine de belli zamanlarda en temel komutların ve muhtemel rootkit bulaşma noktalarının öz değerlerinin (hash) saklanarak bunların daha sonra kontrol edilmesi gibi metotlar kullanılabilir.

Yemleme (Phishing): Yasa dışı yollarla kullanıcıların herhangi bir sistem için kullandıkları kullanıcı adı, şifre, kimlik bilgileri, kredi kartı ayrıntıları gibi bilgilerin ele geçirilmesidir. Sözcük, İngilizce "password" (şifre) ve "fishing" (balık avlamak) sözcüklerinin birleşmesiyle oluşturulmuş "phishing" ifadesinin Türkçe karşılığıdır. "Yemleyici" diye tanımlanan şifre avcıları, genelde e-posta gibi yollarla kişilere ulaşır ve onlardan kredi kartı gibi ayrıntıları sanki resmi bir kurummuş gibi ister. Bu tip mesajları cevaplayan kullanıcıların hesapları, şifreleri vb. özel bilgileri çalınmaktadır.

Örnek olarak; format açısından resmi bir banka konseptinde bir e-posta alınır ve bu e-postada şifre, kredi kartı numarası vb. bilgilerin verilmesi istenir. Yemleme karşısında bankalar ve benzeri kurumlar, hiçbir zaman kullanıcılarından e-posta aracılığıyla özel bilgilerini istemeyeceklerini, böyle bir durumda e-postayı ve benzeri talepleri kendilerine iletmelerini önerir.

Casus Programlar (Spyware): Casus programlar bilgisayarda casusluk yapmak için yaratılmış programlardır. Casus yazılım, kullanıcılara ait önemli bilgilerin ve kullanıcının yaptığı işlemlerin, kullanıcının bilgisi olmadan toplanmasını ve bu bilgilerin kötü niyetli kişilere gönderilmesini sağlayan yazılım olarak tanımlanır. Bu casus yazılımlar, diğer kötücül yazılımlara göre özellikle internet kullanıcıları tarafından sistemlere farkında olmadan bulaştırılmaktadır. Casus yazılımlar, virüs ve solucanların aksine sisteme bulaştıktan sonra yayılmaya ihtiyaç duymaz. Amaç, bulaştırılan sistemde gizliliği sağlayarak bilgi toplamaktır. Bu bilgi kimi zaman bir kredi kartı numarası gibi önemli bir bilgi bile olabilir. Bunun dışında ticari firmalar, internet üzerindeki kullanıcı alışkanlıklarını saptamak amacıyla casus yazılımları internet üzerinde yayabilmektedir.

Kaynak Kod İstismarı (Code Exploit): Sistemde kullanılan (işletim sistemi için hazırlanan sistem programları dâhil) tüm yazılımlarda var olabilecek arabellek taşması (buffer overflow), betikleme (scripting) hataları ve şifreleme hataları gibi yazılım kusurları, bir bilgisayar sisteminin kontrolünün ele geçirilmesine veya o bilgisayarın beklenmedik bir şekilde çalışmasına neden olabilir. Bu, son yıllara kadar gözden kaçırılan bir konu olarak birçok saldırıya açık kapı bırakmış bir korunmasızlıktır.

Gizli Dinleme: Bir ağ veya kanal üzerinden iletilen verinin, kötü niyetli üçüncü kişiler tarafından araya girilerek alınmasıdır. Bu saldırı tipinde, kaynaktan hedefe giden verinin arada elde edilip değiştirilerek hedefe gönderilmesi bile mümkündür. İngilizce "eavesdropping" olarak adlandırılan bu saldırının, sanıldığının aksine çok farklı uygulama alanı bulunmaktadır. Hiçbir bilgisayarla etkileşimi olmayan, tek başına çalışan bir bilgisayar bile mikroçip, ekran veya yazıcı gibi elektronik parçalarından yayılan elektrik veya elektromanyetik yayılım takip edilerek gizlice dinlenebilir.

Hizmet Aksattırma Saldırıları (DoS, DDoS): Hizmet aksattırma saldırıları, yetkisiz erişim veya sistem kontrolünü ele geçirmeye yarayan saldırılardan farklı bir amaç için gerçekleştirilen saldırılardır. Bu saldırının tek amacı; bir bilgisayara, sunucuya veya ağa kaldırabileceğinden daha fazla yük bindirilmesini sağlayarak sistemin kullanılmaz hale getirilmesidir. Bu tip saldırılar genelde bant genişliği, boş disk alanı veya CPU zamanı gibi bilgi işlem kaynaklarının tüketilmesi; yönlendirme (routing) bilgileri gibi yapılandırma bilgilerinin bozulması ve fiziksel ağ bileşenlerinin bozulması şeklinde yapılmaktadır. Ağ üzerinde kilit önem taşıyan bir sunucuya yapılan bu tip bir saldırı, tüm ağın işlemez hale gelmesine yol açabilir.

Dağıtık hizmet aksattırma saldırıları (DDoS, Distributed Denial of Service), tek bir kaynaktan değil, birden fazla ele geçirilmiş konak bilgisayardan tek bir hedefe doğru yapılan hizmet aksattırma saldırısıdır. Yeterli sayıda saldırgan bilgisayar kullanılarak, çok büyük ve iyi ağ bağlantılı web sitelerinin hizmetleri bile aksattırılabilir.

Dolaylı Saldırılar: Bu tür saldırılar, uzaktan erişilerek devralınmış üçüncü parti bir bilgisayardan başlatılan değişik türde saldırıları kapsamaktadır. Hayalet bilgisayar (zombie computer) olarak adlandırılan başka bir bilgisayarın saldırıda kullanılması, saldırıyı gerçekleştiren asıl kaynağın belirlenmesini güçleştirir.

Arka Kapılar: Bilgisayar üzerinde sıradan incelemelerle bulunamayacak şekilde, normal kimlik kanıtlama süreçlerini atlatan veya kurulan bu yapıdan haberdar olan kişiye o bilgisayara uzaktan erişme imkânı sağlayan yöntemler, arka kapı olarak adlandırılmaktadır. Arka kapı, sisteme sonradan kurulan bir uzaktan erişim programı şeklinde olabileceği gibi, var olan meşru bir programın bizzat kendisinde, o programı yazan kişi tarafından belgelendirilmemiş bir biçimde kasten bırakılmış da olabilir. Bu tür saldırılarda özellikle truva atı (Trojan horse) programları yoğun bir şekilde kullanılmaktadır.

Doğrudan Erişim Saldırıları: Bir bilgisayar sistemine doğrudan fiziksel erişime sahip olan bir kişinin yaptığı saldırılar bu grupta toplanmaktadır. Bilgisayara fiziksel erişim sağlayan kişi; işletim sistemlerinde kendisi için bir kullanıcı belirlemek gibi ileride kullanılabilecek çeşitli değişiklikler yapabilir, yazılım solucanları, klavye dinleme sistemleri ve gizli dinleme cihazlarını sisteme kurabilir. Doğrudan erişime sahip olan saldırgan ayrıca; USB bellek, taşınabilir disk ve bellek kartları gibi taşınabilir depolama üniteleri, sayısal kameralar, cep telefonu ve kablosuz (Wi-Fi/Bluetooth) bağlantılı cihazları kullanarak büyük miktarda bilgiyi kendi tarafına kopyalayabilir. Bu açıdan, bir bilgisayar sistemi üçüncü şahısların kullanımına kısa süreliğine bile olsa bırakılmamalıdır.

Sosyal Mühendislik: İnsan faktörü, her işte olduğu gibi bilgisayar sistemleri güvenliğinde de en önemli etken olarak karşımıza çıkmaktadır. Bilgisayar güvenliğinde sosyal mühendislik; bir bilgisayar korsanının, ilgilendiği bilgisayar sistemini kullanan veya yöneten meşru kullanıcılar üzerinde psikolojik ve sosyal numaralar kullanarak sisteme erişmek için gerekli bilgiyi elde etme tekniklerine verilen genel addır.

Kriptografik Saldırılar: Şifrelenmiş bilgilerin şifresini kırmak veya çözmek için yapılan saldırılardır. Bu saldırılar kriptoanaliz yöntemleri ile gerçekleştirilmektedir. Bunlar arasında kaba kuvvet saldırısı (brute force attack), sözlük saldırısı (dictionary attack), ortadaki adam saldırısı (man in the middle attack), sadece şifreli metin (ciphertext only), bilinen düz metin (known plaintext), seçilen düz metin veya şifreli metin (chosen plaintext, ciphertext), uyarlanır seçili düz metin (adaptive chosen plaintext) ve ilişkili anahtar (related key attack) saldırılarını saymak mümkündür.

BT Güvenlik Yönetimi

Bilgi teknolojilerinin kullanımının yaygınlaşması ve kurumsal iş süreçlerinin bir parçası haline gelmesiyle birlikte bilgi sistemleri, doğrudan kurumsal hedeflerin gerçekleştirilmesinde faydalanılan bir araç haline gelmiştir. Bu sebeple Bilgi Teknolojileri (BT), yenilikçilik ve verimliliğin merkezinde yer alarak pazar dinamikleri ve tüketici taleplerine hızla adapte olup rekabet gücünü artırmayı sağlayan en önemli unsurlardan birisidir.

Kurumsal bilgi sistemlerinin bilgi güvenliğinin sağlanması, özellikle sayısal ortamdaki güvenlik risklerinin ortaya çıkmasından sonra önem kazanan bir konudur. Bilgi teknolojilerinin bu stratejik önemi ve siber saldırıların hem dünyada hem de ülkemizde nitelik ve nicelik olarak artması nedeniyle BT güvenliği konusuna daha fazla önem verilmesi gerekmektedir.

Bu çalışma ile şirket genelinde BT güvenlik organizasyonunun daha da iyileştirilmesi, güvenlik tedbirlerinin etkinliğinin ve dolayısıyla güvenlik seviyesinin artırılması hedeflenmektedir.

BT Güvenlik Yönetimi; BT Güvenlik Yönetişimi (bir başka deyişle Stratejik Güvenlik veya Güvenlik Süreç Yönetimi olarak da tanımlanabilir) ve Teknik Güvenlik Altyapısı (Teknolojik Operasyon) olmak üzere iki ana bölümden oluşmaktadır. BT güvenlik yönetiminin etkin bir şekilde sağlanabilmesi için bu fonksiyonların, birbirlerini tamamlayacak şekilde, güçlü bir koordinasyon ile çalışması gerekmektedir.

BT Güvenlik Yönetişimi, BT bölümü içerisinde tam zamanlı görev alacak bir çalışanın koordinasyonunda, şirketin üst yönetimi ve ilgili bölümlerinin katılımıyla yürütülmelidir. Şirket ihtiyaçları doğrultusunda bu fonksiyon, birden fazla çalışanı olan bir birime dönüştürülebilir.

Bilgi Güvenliği Yönetişimi, şirket bilgi güvenliği stratejisine paralel bir süreç olarak yürütülecek çalışmalar bütünüdür ve aşağıdaki adımlardan oluşmaktadır:

  • Bilgi Güvenliği Kurulunun oluşturulması,
  • BT Güvenlik Stratejisinin belirlenmesi ve onaylanması,
  • Risk değerlendirmesi yapılarak, Bilgi Güvenliği Stratejisi ile uyumlu Bilgi Güvenliği Eylem Planının belirlenmesi,
  • Bilgi Güvenliği Eylem Planı ışığında, bilgi güvenliği politika ve prosedürlerinin oluşturulması ve onaylanması,
  • Eylem planında belirlenen konulardaki düzeltici ve önleyici faaliyetlerin yürütülmesi, denetlenmesi ve iyileştirilmesi,
  • Oluşan çıktıların her yıl değerlendirilerek strateji ve eylem planının güncellenmesi.

Bilgi Güvenliği Stratejisi

Bilgi Güvenliği Yönetişimi, şirket genelinde yürütülmesi gereken bir faaliyet olup; güvenlik stratejisinin belirlenmesi ve güvenlik politikalarının oluşturulması başta olmak üzere, bilgi güvenliği ile ilgili tüm süreçlerin yönetimini içermektedir.

Bu kapsamda Bilgi Güvenliği Stratejisi ve Politikaları, şirketin vizyonu ve hedefleri ile uyumlu olacak şekilde oluşturulur ve uygulanması sağlanır.

Bilgi Güvenliği Eylem Planı

Bilgi Güvenliği Eylem Planı, şirket Bilgi Güvenliği Stratejisine paralel olarak, yapılacak başlangıç risk değerlendirme çalışmasının çıktılarına göre oluşturulan düzeltici ve önleyici faaliyetler bütünüdür.

Burada kullanılacak olan risk değerlendirme metodolojisi, dünyada kabul görmüş bilgi güvenliği standartları ve kontrol listeleri (ISO 27001, COBIT, NIST, CIS vb.) kullanılarak oluşturulabilir. Bu bilgiler çerçevesinde, eylem planı bölümünde tavsiye olarak CIS Kritik Kontrol Listesi temel alınmış olup; genel olarak bilgi güvenliği ile ilgili tüm konular, ilgili kontroller ile kapsanmaya çalışılmıştır. Bilgi güvenliği stratejisi ışığında seçilecek metrikler ile yapılacak değerlendirme sonucunda, şirketin bilgi güvenliği ihtiyaçları ve Bilgi Güvenliği Eylem Planı kolaylıkla belirlenebilir.

Eylem planı ile tetiklenecek olan iyileştirme çalışmalarının (politika ve prosedürler, operasyonel kılavuzlar, teknik konfigürasyon ve altyapı çalışmaları, denetimler vb.) süreklilik arz edebilmesi için; yılda bir kez, Bilgi Güvenliği Kurulu tarafından, güncel risk değerlendirmeleri, denetim sonuçları, yasal ve uyum gereksinimlerine göre gözden geçirilerek güncellenmesi ve onaylanarak yayınlanması gerekmektedir.

Bilgi Güvenliği Yönetim Sistemi (BGYS)

Bilgi güvenliği yönetimi, bilgi güvenliği yönetişimi ile karıştırılabilmektedir. ISO/IEC 27001:2022 standardı, dünya genelinde bilgi güvenliği yönetimini gerçeklemek için kullanılan en önemli ve yaygın standarttır. ISO/IEC 27001:2022 kılavuzluğunda oluşturulan bilgi güvenliği yönetimi altyapısı, Bilgi Güvenliği Yönetim Sistemi (BGYS) olarak adlandırılmaktadır.

Bilgi güvenliği yönetim sisteminin başlıca ilkeleri ve kapsama alanları şunlardır:

  • Güvenlik politikası
  • Bilgi güvenliği yapılanması
  • Varlıkların sınıflandırılması ve yönetimi
  • İnsan kaynakları güvenliği
  • Fiziksel güvenlik ve çevre güvenliği
  • İletişim ve operasyon güvenliği
  • Erişim kontrolü
  • Bilgi sistemi kurulumu, bakım ve idamesi
  • Bilgi güvenliği olayları yönetimi
  • İş sürekliliği planı
  • Uyumluluk

Bilgi güvenliği yönetişiminin kavrandığı ve uygulandığı kurumlarda, kurumsal çapta BGYS kurmak ve işletmek oldukça kolay olmaktayken; bilgi güvenliği yönetişiminin uygulanmadığı kurumlarda BGYS bir bilgi işlem faaliyeti olarak algılanmakta ve kurumsal başarı, verim ve güvenlik sağlanamamaktadır.

Bilgi güvenliği yönetişimi çalışması ve çıktıları ile şirket genelinde BT güvenlik organizasyonunun daha da iyileştirilmesi, güvenlik tedbirlerinin etkinliğinin ve dolayısıyla güvenlik seviyesinin artırılması hedeflenmektedir.

Bilgi Güvenliği Kurulu

En az üç ayda bir olmak üzere, şirket yönetimi olarak BT güvenliği konusunda sorumlularla değerlendirme yapılması ve ilgili raporların üst yönetim seviyesinde takip edilmesi, şirket bünyesinde bir Bilgi Güvenliği Kurulu oluşturularak sağlanmalıdır.

Bilgi Güvenliği Kurulu, BT güvenlik yönetimi ile ilgili çalışmaları (iç denetim raporları, bildirilen vakalar, risk analizi raporları, düzeltici önleyici faaliyetler vb.) üst yönetim adına gözden geçirir ve yönlendirir. İç denetim bulgularını doğrular, düzeltici önleyici faaliyet önerilerini ve artık riskleri onaylar. İç denetim bulgularına istinaden ilgili kişilerden düzeltici ve önleyici faaliyet talep eder.

Bilgi Güvenliği Kurulunun; ilgili üst düzey yöneticiler ve birim yöneticileri ile İK yöneticisi, hukuk danışmanı ve BT Güvenlik Yöneticisinden oluşması önerilmektedir. Kurul gündemi ile ilgili bir konuda uzmanlığı ya da sorumluluğu olan kişiler, Bilgi Güvenliği Kurulu Başkanı veya üyeleri tarafından kurul toplantısına davet edilebilir. Üyelerin kurul üyeliği, şirketteki görevleri sona erdiğinde sona erdirilir.

Bilgi Güvenliği Kurulunun görevleri şu şekilde sıralanabilir:

  • Şirket güvenlik stratejisinin oluşturulmasını sağlamak, stratejiyi takip etmek ve güncel ihtiyaçlar doğrultusunda her yıl güncellenmesini sağlamak,
  • BT güvenlik stratejisine uygun politika ve standartların hazırlanmasına katkı sağlamak,
  • BT güvenlik risklerinin belirlenmesi ve önleyici tedbirlerin alınmasına yönelik çalışmalar planlamak,
  • Teknolojik gelişmeleri takip ederek, şirketin güvenlik tedbirlerinin etkinliğini artırmaya yönelik yazılım, donanım ve araçlarla ilgili bilgi sağlamak,
  • BT güvenlik faaliyetlerinin yasal yükümlülük, kanun ve mevzuatlara uyumluluğu için katkı sağlamak,
  • BT güvenlik yönetimi etkinliğinin artırılması için eğitim ve seminer gibi ihtiyaçların belirlenmesini sağlamak,
  • Bilgi Güvenliği Kurulu çalışmalarının çıktılarının şirket içinde kullanımına katkı sağlamak,
  • BT biriminden gelecek siber güvenlik konularıyla ilgili çalışmalar yapmak,
  • Şirket çalışanlarına siber güvenlik farkındalığı oluşturulmasına yönelik bir program tasarlamak.

BT Güvenlik Yöneticisi (Kurul Sekretaryası)

  • Toplantıları organize etmek,
  • Toplantı gündemlerini oluşturmak,
  • Bilgi Güvenliği Kuruluna, BT güvenlik yönetimiyle ilgili konularda karar verebilmeleri için teknik ve süreç çalışmalarını tamamlamak, çalışmalara ilişkin rapor hazırlamak ve sunmak,
  • Şirket için kullanılacak güvenlik ürün ihtiyaçlarını belirlemek, ürün karşılaştırmalarını yapmak, güvenlik yönetimi açısından en uygun ürünü belirlemek,
  • Kurula katılması için yeni üye önermek,
  • Kurulun raporlarını yayınlamak ve yayılımını sağlamak,
  • Kurul kararlarının uygulanmasını takip etmek.

Bilgi Güvenliği Kurulu Üyeleri

  • Bilgi Güvenliği Kurulu toplantılarına katılarak şirket güvenlik seviyesinin artırılmasına katkı sağlamak,
  • Fikir, görüş ve önerilerini paylaşarak kurula katkıda bulunmak,
  • Kurulda görüşülmesini istediği konuları Kurul Başkanına bildirerek gündeme alınmasını sağlamak,
  • Toplantı öncesinde yayınlanan gündem hakkında araştırma ve hazırlık yapmak,
  • Çalışma gruplarında kendisine verilen görevleri yerine getirmek,
  • Sorumlu olduğu birimde kurul kararlarının uygulanmasını sağlamak.

Şirket Çalışanları

Tüm şirket çalışanları, BGYS kategorisinde yayınlanmış tüm politika ve prosedürlere uymakla ve kurul tarafından talep edilen tüm faaliyetleri gerçekleştirmekle yükümlüdür. Kurul üyeleri, uygulama ve iç denetim ekiplerine gerekli desteği sağlar.

BT Güvenlik Yöneticisi Rol ve Sorumlulukları

BT güvenlik yönetiminin etkin bir şekilde yürütülmesi için BT Güvenlik Yöneticisi; Bilgi Güvenliği Kurulunun onayları, kararları ve desteği eşliğinde, şirket içerisinde asgari olarak aşağıdaki konulardan sorumlu olacaktır.

Şirket yönetimi kararı doğrultusunda BT Güvenlik Yöneticisi bu konulara ilave başka sorumluluklar alabilir. Ancak odak kaybı yaşanmaması için sunucu yönetimi, yardım masası hizmeti, yazılım geliştirme vb. operasyonel BT faaliyetlerinde görev almaması gerekmektedir.

Bilgi Güvenliği Stratejisi ve Politikaları

  • Şirket güvenlik stratejisinin oluşturularak üst yönetim onayına sunulması,
  • Bilgi güvenliği politikalarının (erişim kontrolü, yetkilendirme, veri sınıflandırması vb.) oluşturulması ve yayılımının sağlanması,
  • Politikaların periyodik olarak güncellenmesi (en az yılda bir kez),
  • Şirket güvenlik stratejisinin takip edilmesi ve stratejiye katkı sağlanması.

Teknik Güvenlik Faaliyetlerinin Yönlendirilmesi ve Takibi

  • Aktif dizin hizmetleri, güvenlik duvarı, anti-virüs vb. güvenlik sistemleri için politikaların/kuralların oluşturulması ve uygulanmasının sağlanması,
  • Güvenlik sistemlerinin politikalarının/kurallarının periyodik olarak gözden geçirilmesi (en az yılda bir kez),
  • Güvenlik sistemlerinin ürettiği log ve alarmların korelasyonunun planlanması ve takibi.

Bilgi Güvenliği Olay Yönetimi

  • Bilgi güvenliği olaylarının tespit edilmesi, güvenlik olaylarına müdahale edilmesi ve tekrar oluşmasını engelleyecek önlemlerin alınması.

BT İç Kontrol

  • İç kontrol kataloğunun oluşturulması, aktivitelerin belirlenmesi, değerlendirilmesi ve takibi.

BT Risk Yönetimi

  • Sistematik BT risk yönetiminin yürütülmesi,
  • BT risk analizi sonuçlarının düzenli olarak raporlanması,
  • BT risk analizi sonrasında belirlenen aksiyonların gerçekleştirilmesinin sağlanması.

Uyum Yönetimi

  • BT ile ilgili kanun, tebliğ, bağlayıcı sözleşme maddesi vb. düzenlemelerin takibinin yapılması ve uyumluluğun raporlanması.

Kritik Güvenlik Kontrolleri ile Risk Belirleme ve Eylem Planı

Şirket, BT altyapısının ve işlerinin risklerini değerlendirerek Bilgi Güvenliği Stratejisi ile uyumlu bir Bilgi Güvenliği Eylem Planı oluşturmalıdır. Bu eylem planı hem süreçsel hem de teknik iyileştirmeleri içermelidir. Süreçsel iyileştirmelerin belirlenmesinde BT Güvenlik Yönetimi bölümünden faydalanılabilir. Risk yönetimi yapılırken şirketin risk yönetimi standardı ve rehberi yol gösterici olacaktır.

Şirketin teknik risklerini değerlendirmesi ve kontrollerini belirlemesine rehber olması için İnternet Güvenliği Merkezi'nin (Center for Internet Security, CIS) "Etkin Siber Savunma için Kritik Güvenlik Kontrolleri" (The CIS Critical Security Controls for Effective Cyber Defense) çalışmasından faydalanılabilir. "Etkin Siber Savunma İçin Kritik Güvenlik Kontrolleri" ekinde, risk belirleme ve eylem planı detayları anlatılmaktadır.

Referanslar

  • YPO.04 Güvenlik Organizasyonu
  • The CIS Critical Security Controls for Effective Cyber Defense
  • Framework for Improving Critical Infrastructure Cybersecurity, NIST
  • ISO/IEC 27002 Information technology — Security techniques — Code of practice for information security controls
  • ISO/IEC 27001 Information technology — Security techniques — Information Security Management Systems — Requirements
  • A Measurement Companion to the CIS Critical Security Controls (v6.0, 2015)
  • pwc.com — Adopt the NIST Cybersecurity Framework
  • sans.org — Critical Security Controls Poster (2016)
  • nist.gov — Cybersecurity Framework Roadmap
  • nist.gov — Cybersecurity Framework

← Tüm IT Standartları