Her gün yeni siber güvenlik zorluklarının ortaya çıktığı şu zamanlarda, bir kuruluşu çevrimiçi ve güvende tutmak kolay değil. Hayatınızı biraz daha kolaylaştırmak için, kuruluşunuzun siber güvenlik duruşunu belirlemeye ve iyileştirmeye yönelik mantıklı ve birbiriyle bağlantılı 5 adımı burada bulabilirsiniz.
1. Saldırı Yüzeyinizin Haritasının Çıkarılması
Bulut ortamlardaki altyapı ve iş verisinin giderek arttığı şu günlerde, ilk önemli adım, orada nelere sahip olduğunuzu, bunlara kimin erişmesi gerektiğini ve bunları nasıl güvence altına almanız gerektiğini bilmektir. Yeni uygulamaların ayağa kaldırılması ve web üzerinden erişilebilen kaynakları, hesapları, hizmetleri ve her türlü cihazı (güvenli olmadığı bilinen IoT sistemleri dahil) eklemek çok kolay olduğundan, tüm çevrimiçi varlıklarınızın ve saldırı yüzeyinizin haritasını çıkarmak göz korkutucu bir görev olabilir.
Büyük kuruluşlarda, tüm web sitelerinin ve uygulamaların merkezi bir envanterinin oluşturulması gerekir. Bu, kuruluşların web’e açılan varlıklarını hızlı bir şekilde tespit etmesine yardımcı olur ve web uygulamalarının siber riskini değerlendirmek için bir başlangıç noktası sağlar.
Tüm verilerinizi tespit etmek daha da zorlu bir görevdir. Yanlış bulut depolama yapılandırmalarının neden olduğu çok sayıda veri ihlali sebebiyle, iş verilerini çevrimiçi olarak takip etmek ve bulut güvenliği politikalarını uygulamak, veri gizliliğini korumak ve fikri mülkiyetinizi korumak için kritik öneme sahiptir. Veri, siber suçlular için birincil hedef olduğundan, tüm verilerinizi takip etmek aynı zamanda saldırganların nerelere saldırabileceği konusunda size fikir verecektir.
2. Siber Güvenlik Stratejisinin Tanımlanması ve Uygulanması
Neye sahip olduğunuzu öğrendikten sonraki adım, neye sahip olmanız gerektiğini ve hangi güvenlik kontrollerine ihtiyacınız olduğunu tanımlamak, bir diğer deyişle, uygun bir siber güvenlik stratejisi oluşturmaktır. Bu organizasyonlarda genelde CISO (Chief Information Security Officer)’ın görevidir ve tüm siber güvenlik süreci için resmi bir framework sağlaması gerekmektedir. İlk adım olarak kuruluşunuzun, stratejinizin ve iş gereksinimlerinizin denetimlerine ve güvenlik uygulamalarına karar verebilmek adına NIST Framework ya da benzeri bir siber güvenlik framework’ü tercih edilebilir.
Siber güvenlik stratejiniz Nist Framework’de belirtilen en az 5 ana evreyi kapsamalıdır. Bunlar: Indentify, Protect, Detect, Respond ve Recover olarak sıralanabilir. İşinize ve yasal gerekliliklere bağlı olarak, Identify evresi istediğiniz kadar resmi veya gayri resmi olabilir. Tüm iş riskleri adına resmi bir risk yönetimi sürecine ihtiyaç duyan kuruluşlar için, siber güvenlik riskinin kesinlikle listede olması gerekir ve siber tehditlerin, tehdir modelleme yardımı ile ölçülebilir/hesaplanabilir metriklere dönüştürülmesi gerekir.
3. Siber Güvenlik Olay Müdahale Planının Hazırlanması ve Uygulanması
Siber güvenlik stratejisi yalnızca bir belgedir. Politikayı eyleme dönüştürmek için, beklenen ve istenmeyen siber olaylarda siber direnci sağlamak için etkili bir siber güvenlik olay müdahalesi ve kurtarma planına ihtiyacınız vardır. Planlar düzenli olarak test edilmeli ve güncellenmelidir, böylece işler ters gittiğinde herkes kurtarma hedeflerinin ne olduğunu ve ne yapacağını bilir. Bu, müdahale ve kurtarma süreçlerinin etkinliğini değerlendirmek ve herhangi bir boşluğu belirlemek için düzenli aralıklarla simüle edilebilir.
İdeal olarak, daha önce tanımlanan her kritik siber güvenlik riskinin bir aksiyon ve kurtarma planına sahip olması gerekir. Tipik bir örnek olarak veri kaybı riskini ele alalım. Bu durumun gerçekçi ve kabul edilebilir kurtarma noktası ve kurtarma zamanı hedefleri olan uygun bir veri yedekleme politikası ile ele alınması gerekir. Periyodik kurtarma testi ile, yedeklemelerin her zaman kullanılabilir olduğundan ve verilerin gerekli seviyeye gereken sürede geri yüklenebildiğinden emin olmak büyük önem teşkil eder.
4. Siber Güvenlik Herkesin Elini Altına Koyması Gereken bir Taştır
Siber güvenlik olaylarının çoğu, kötü amaçlı yazılımlar ve fidye yazılımları ile ilgilidir ve genellikle şirketteki birinin bir kimlik avı bağlantısını tıklamasıyla başlar.
Siber güvenlik stratejiniz her ne kadar iyi olursa olsun ve BT ekibinize her ne kadar iyi personel ve finansman sağlarsa sağlasın, kötü adamların şirket sisteminize sızabilmesi için savunmanızda yalnızca bir boşluğa ihtiyacı vardır. İş açısından kritik öneme sahip web uygulamaları, uzaktan çalışma ve SSO işlemlerinin popüler olduğu bu günlerde, bir oturumun ele geçirilmesi tüm kuruluşun güvenliğini tehlikeye atmak için yeterli olabilir. İnsanlar, güvenliğin hayati bir bileşenidir, bu nedenle siber güvenlik bilinci ve eğitimi, her bir çalışan için şirket kültürünüzün günlük bir parçası olmalıdır.
5. Güvenlik Testlerinin DevOps’a Dahil Edilmesi
İyi ya da kötü, her kuruluş artık bir yazılım şirketi haline dönüştü çünkü en azından kendilerine ait bir web sitesi ve uygulamaları var. Çeşitli sektörlerden birçok şirket, çevikliği korurken maliyetleri en aza indirmek için DevOps modelinde kendi iş uygulamalarını geliştiriyorlar. Yeni özellikleri üretime yetiştirme telaşında olduğunuzda, güvenlik testleri geride kalabilir ve uygulamaları ve tüm işletmeyi saldırılara karşı savunmasız bırakabilirsiniz.
Periyodik sızma testi veya güvenlik açığı değerlendirmeleri kesinlikle faydalı olacaktır, ancak uygulamanız güvenlik testleri arasında değişiklik gösterirse (ve genellikle gösterir), saldırganlar için bir fırsat penceresi bırakmış olursunuz. Tek sistematik çözüm, güvenlik testini uygulama geliştirme sürecinin kendisine entegre etmek ve mümkün olduğunca otomatik hale getirerek entegre DevSecOps yaklaşımına geçmektir.
Mehmet Türker
Technical Account Manager & Cyber Security Engineer
Endpoint Bilgi Teknolojileri Güvenliği ArGe A.Ş – 2022
LinkedIn