Yazının ilk bölümü için Bilgi İşlem Güvenliğinin Sınırları – 1 başlığını tıklayınız.
Hızlı Çözüm Yok
Açıkça biliniyor ki, bütün riskleri anında yok edecek bir teknoloji veya ürün bulunmuyor. Biz ne kadar böyle bir şey olmasını istesek de bu imkansız.
Bu bilinçle konuyu ele aldığımızda, önemli güvenlik konularına odaklanacak bir plan yapmanın ne kadar gerekli olduğu ortaya çıkıyor. Sizin şirketiniz için geçerli olacak bir plan yapmak basit gibi görünse de pratik de o kadar da kolay olmadığı anlaşılıyor.
İlk önce, korumak istediğiniz bütün varlıkların bir listesini yapın. Daha sonra bunları, önem sırasına koyun. Listenin üst kısımlarındakiler için azami koruma gerekmektedir. Alt taraflardakiler ise daha az güvenlik gerektirebilir.
Genellikle üç veya dört güvenlik kategorisi yeterli olur ve planlamanın geri kalan safhalarını kolaylaştırır. Bunu yaparken, tehditlerin en beklenmedik yerlerde ortaya çıkabileceğini aklınızda bulundurun. Öyle ki, bazen hali hazırda bir güvenlik “çözümü” uyguladığınız bir yerde bile bu tehditler boy gösterebilir.
Daha sonra her bir varlık için bir tehdit modeli oluşturun. Model aşağıdaki soruları cevaplayacak bir şekilde tasarlanmalı:
- Bu varlığa verilebilecek zarar nedir?
- Bu varlığa ulaşmak için kullanılabilecek saldırı yolları nelerdir?
- Bir saldırının başarıya ulaşabilmesi için hangi şartların müsait olması gerekmektedir?
Tehdit modelinin formatı, içeriği kadar önemli değildir. Eğer listelediğiniz varlıklar için yukarıdaki soruları net olarak yanıtlayabiliyorsanız, modeliniz başarılı oldu demektir.
Tehditleri listeledikten sonra, her biri için destekler düşünebilirsiniz. Genelde destekler, saldırının başarıya ulaşması için gerekli şeylerin bazılarını veya tamamını ortadan kaldırarak saldırıyı engelleyecek yolları tanımlar.
Korumayı Değerlendirmek
Seçeceğiniz destekler, desteğin maliyeti ve o varlığın kaybedilmesi durumunda ortaya çıkacak maliyetin karşılaştırılması temeline dayanır. Mesela, müşterilerinizin özel bilgilerinin korunması için bazı maliyetlerin altına girebilirsiniz fakat yıllık şirket partisi için oluşturulmuş intranet sitesini korumak için pek fazla bir harcama yapmayabilirsiniz.
Bu noktada, varlık önem kategorileri işe yarar. Potansiyel destek setlerinin analizi ve korumak istediğiniz varlık türlerinin değerlendirilmesi, her varlık kategorisi için bir kurallar zinciri oluşmasını sağlayacaktır.
Ne zaman yeni bir varlık online olsa, onu hemen bir önem kategorisine dahil edersiniz ve bu kategori için önceden hazırlanmış kuralları devreye sokarsınız. Bu kurallar içinde, şifreleme standartları, veritabanı ayarları, saldırı dayanıklılık test programları, zayıf nokta ve virüs tarama süreçleri ve daha fazlası olabilir.
Güvenlik planınızı yaparken göreceksiniz ki, genel geçer ağ güvenlik teknikleri yeterli olmayacaktır. Güvenlik duvarları ve izinsiz erişim denetleyiciler iyidir fakat bunlar bütün tehlikeleri önleyemezler.
Gerçek bir derinlemesine savunma anlayışı içinde sadece güçlü savunma hatları ile sınırlı kalınmamalı, aynı zamanda şirketinizin kullandığı iç ve dış uygulamalara odaklanılmalı ve çalışanlarınıza güvenli bilgi işlem süreçlerini öğretecek eğitim programları uygulanmalıdır.
Devamlı olarak sadece ağ güvenliğine bağlı kalınırsa, yanlış bir güvenlik bilinci gelişir ve muhtemelen başarılı saldırılara davetiye çıkarılmış olunur. Genel olarak iyi oluşturulmuş, bütün açıları kapsayan bir güvenlik planı ise riskinizi asgariye indirir ve harcadığınız paraların, varlıklarınızı mümkün olduğunca etkili bir şekilde korumasını sağlar.
