İSO 27001 Danışmanlık Tecrübelerimizden
Teknoloji hayatımızı kolaylaştırırken bazı tehlikeleri de beraberinde getiriyor. Bilgi güvenliği kavramıyla aslında bilginin üretildiği, işlendiği, depolandığı her alanın güvenliğinin sağlanmasını kast ediyoruz. Bilgi güvenliği dendiğinde mevcut yazılımlar, donanımlar, saklama – depolama ortamları ve çalışanlarımızda bu güvenlik kavramının içindedir. ISO 27001 danışmanlığı yaparken çoğu zaman insan faktörüne odaklanılmadığı gördük bu doğru bir bakış açısı değildir.
İnsan Unsuruna Odaklanmayan Ağ Güvenliğini Sağlayamaz
Bilginin güvenliğinin en zayıf halkası maalesef insanlardır. Bilgisayarların ortaya çıkması teknoloji devriminin en önemli yapı taşlarından birini oluşturdu. Fakat hayatımızı kolaylaştıran bilgisayar ağları artık tehlikelere daha açık hale gelmeye başladı. Bilgisayar ağlarının izlenmesi, bilgisayar ağlarına yetkisiz erişim ve ağlardaki verilerin çalınması, satılması, bozulması gibi her türlü zararlı siber güvenlik faaliyeti günümüzün en önemli sorunu oldu.
Siber Dünyanın Trolleri Hackerlar Ağ Güvenliğine Saldırıyor
90’lı yıllarda ortaya çıkan bilgi ağlarının çok ileri seviyede mikro örnekleri sayabileceğimiz bilgisayar ağlarını korumak önemli bir iş alanının ortaya çıkmasını da sağladı. Bugün ağ güvenliğini, network güvenliği, sistem güvenliği adı ne olursa olsun siber güvenlik alanının en zayıf halkasını oluşturuyor. Siber dünyayı maniple eden bilgisayar korsanları, hackerlar ve onların marifetleriyle büyük bir sektörün oluşumu gerçekleşmiş oldu. Siber suçlular bilişim dünyasının trolleri dünya bilişim sektörünün gelişimine de öncülük ediyorlar.
ISO 27001 Standardı Sertifikası ve Sızma Testi Sorunsalı
Birçok kurum sızma testlerini sadece bir prosedürün parçası veya ISO 27001 Bilgi Güvenliği Yönetim Standardının bir parçası olarak görüyor. Böyle gördüğü içinde sızma testleri gerektiği gibi yapılmıyor, çoğu zaman zafiyet taramalarıyla yetiniliyor. Oysa her kurumumuz ağ güvenliğini gerçek anlamda içten dışa dıştan içe test ettirmelidir. Siber güvenlik tehditlerinden korunmak için kullandığımız network, networkteki uygulamalar test edilmelidir. Sistem güvenliği en üst seviyede denetlenmeli, sistemin zafiyetleri izlenmeli, bulunan zafiyetler süratle giderilmelidir.
VMİ Danışmanlık ISO27001 Standardının Popüleritesinden Memnun
VMİ Danışmanlık olarak en sevindiğimiz gelişmelerden biri de ISO/IEC 27001 BGYS standardının ülkemizde yaygın olarak uygulanmaya başlamış olmasıdır. ISO 27001 standardı bildiğiniz gibi uluslararası bir bilgi güvenliği yönetim sistemi standardıdır. Bu standartta ağ güvenliği çok önemli bir yere sahiptir. Ağ güvenliği ile ilgili politika, prosedür ve talimatlar networkün yönetilmesinde BT çalışanlarının disipline olması ve yazılı bir kültür oluşumunda önemlidir.
Sistem Güvenliğini Sağlayabilmek için Sistematik Düşünmek ve Sistematik Olmak Gerekir
Her kurum bir ağ erişim politikasına sahip olmalıdır. Sistemini, sistematik yönetemeyen, günün koşullarını takip edemeyen her kurumun başı bir gün derde girecektir. Kurumların bir ağ erişim politikası olması gerekir dedik. Çoğu zaman daha fazla güvenlik gerektiren sistemler için özel önlemler alınmalıdır. Çok güvenlik isteyen sistemlerinizi otonom bir ağda tutmak ve onu yüksek güvenlik seviyesinde korumak, izlemek gerekir. Kurum içi ağlar güvenli bölgelere göre bölünmelidir. İnternet erişimi çok önemli bir insan hakkı olsa da, erişim yetkilendirilmeli ve sunucular güvenlik duvarı ile korunmalıdır. Firewallar konusunda çalışanların yetkinliği artırılmalıdır. Ne yazık ki çoğu zaman firewall ve anti virüs gibi bileşenlerin yetersiz olarak kullanıldığına şahit oluyoruz.
Kabul Edilebilir Kullanım Politikası Ağa Erişim Kuralları, İSO 27001 Yaklaşımı
Bağlı bir ağ üzerinde çalışan iş istasyonu, sadece BGYS temsilcisinin belirlediği gereklilikler doğrultusunda dış ağlarla iletişim kurmalıdır, aksi bir durum ağ güvenliğini tehlikeye sokar. Ayrıca çalışanlar için bir Kabul Edilebilir Kullanım Politikası yani Acceptable Use oluşturmak gerekir ki bu sayade başımıza bir iş geldiğinde üzerimizde sorumluluk kalmasın.
İSO27001 Erişim Kontrolü Başlığı
Ağ güvenliği ile ilgili olarak ISO 27001 BGYS standardında belirtilen “Erişim Kontrolü” başlığı bilgi güvenliği ile ilgili erişim hususlarını tanımlamaktadır. “Erişim kontrolü”nün en önemli bölümlerinden biri de ağlara yapılan erişimlerin kontrol edilmesidir. Erişim yetki matrisi hazırlamak takip işlerinizi kolaylaştırır. Sisteme yapılacak yetkisiz bir erişim tüm kurumun bilgi güvenliğini tehlikeye sokacaktır. Çoğu zaman uzak bir uzak iş istasyonundan kurum içi ağa bağlananların çoklu bir onay sistemi kullanmadığını hatta VPN kontrollerinin yapılmadığını görüyoruz ki bu doğru bir yaklaşım değildir.
ISO 27001 Bilgi Güvenliği Yönetim Standardı Neden Çok Yaygın Kullanılıyor?
İş dünyasında var olan kurumlarımızın yetkisiz erişim ve siber zararlılarla mücadele edebilmesi için ağ güvenliğine çok önem vermeleri gerekmektedir. ISO 27001 Danışmanlık hizmeti veren bir uygulamacı danışmanlık şirketi olarak, iyi dokümante edilmiş bir bilgi güvenliği yönetim sisteminin kurumlarımız için gerekli olduğuna inanıyoruz. Revize edilmiş ISO 27001 standardı bilgi güvenliği yönetim sistemi modeli olarak dünyada kabul görmüştür. COBIT, ITIL gibi uygulamalardan çok daha hızla yaygınlaşmaya başlamıştır. VMİ Danışmanlık olarak ağ güvenliği ile ilgili olarak ISO 27001 BGYS standardının ve ilgili standardın eklerinin geliştirilmesini düşünüyoruz. Yine de bu yönetim sistemi modelinin bu halinin uygulanmasının bile BT/IT bölüm/birimlerine çok önemli katkıları olacağına inanıyoruz. Yönetilebilir, izlenebilir, ölçeklenebilir bir ağ kurmak kurumların olmazsa olmazları arasında olmalıdır.
Ağ Güvenliği, Erişim Güvenliği İçin Neler yapılmalı?
Deneyimlerimiz ağ yapılarını hedefleyen saldırıların genellikle iç ağdan kaynaklandığını gösteriyor. Ağ güvenliği için Güvenlik Duvarı yanai Firewall, Sandbox çözümü, VPN yani Virtual Private Networks, iyi bir Antivirüs programı, Nüfuz tespit sistemleri IDS yani Saldırı Tespit Sistemleri çözümü, Web güvenliği için web filtreleme çözümleri yani URL Filtering ve Güçlü Tanılama yani Strong Authentication çözümleri ağımızın güvenli olması için gereklidir.
BGYS ve Ağ Erişim Politikaları
Eğer özetlemek gerekirse: Kurum ağlarında güvenlik yapılanması ve bunun yazılı hali olan güvenlik politikasının uygulanması bir şirket için önemlidir. Yazılı kurallar bir kurumda hem sistematik bir uygulamayı hem de kurumsallığı gösterir. BGYS ile ilgili politikalar, prosedürler, talimatlar, formlar oluşturulduktan sonra çalışanlara duyurulmalı ve uygulanmalıdır. Bilgi güvenliği, siber güvenlik açısından söyleyecek olursak. Yaptığını yazmayan, yazdığını yapmayan önemli bir kusur içindedir.