Bugün bir konsept makale yazmak istedim. Verilerinizin güvenliğini sağlamakla alakalı genel çerçevenin nasıl olması gerektiği ile ilgili kendimce bir konsept belirleyeceğim.
Başlamadan önce şunu ifade etmeliyim ki, aşağıda maddeler halinde belirttiğim her bir konsept; içeriği çok kapsamlı, sayısız servis veya araç barındıran bir bütündür. Önemli olan ne ile yapılması gerektiği değil, ne yapılması gerektiğidir. O nedenle, ben bir çerçeve metni hazırlıyorum ve bu çerçeveyi çizmek için kendimize aşağıdaki 8 sorunun sorulması gerektiğine inanıyorum.
1- Bir felaketten kurtarma senaryonuz var mı?
Felaketten kurtarma, belki de hassas verilerimiz için en hayati bir konseptlerden biridir.
Sadece verilerin dijital zarar görme olasılığına karşı değil, fiziksel zarar görme olasılıklarını da gözönüne alarak, B ve C planlarını hayata geçirecek önlemler alınmalıdır. Hatta anlık/günlük/haftalık/aylık aldığınız ve korumakla yükümlü olduğunuz yedekleriniz bu konsepte girer.
(Bkz. disaster recovery)
2- Hassas verileriniz taşınırken ya da saklanırken şifreleniyor mu?
Şifreleme anahtarları, işlemlerin ve saklanan verilerin korunmasında hayati öneme sahiptir. Verilerinizi yedekledikten sonra şifrelemek veri gizliliği için önemli standartlardan biridir.
( Bkz. data encryption )
3- Verilerinize erişim yalnızca “bilmesi gerekenler” prensibine mi dayanıyor?
Verileriniz her zaman sınıflandırılmalı ve sınıflandırılmış veriler sadece bilmesi gerekenler prensibine uygun olarak ilgili kişilere erişime açılmalıdır.
(Bkz. data classified)
4-Ortamınızda güvenlik tasarımı ile alakalı bir prosedür ekliyor musunuz?
Tasarım yoluyla gizlilik ve güvenlik, en başından beri gizlilik ve veri korumasını proaktif olarak dahil etmeye dayanan metodolojilerdir. Bu yaklaşım, BT ve iş ortamlarınızdaki büyüyen süreçleri uygulamak için şu yedi prensip izlenir : Tıklayınız
Özel teknolojiler, işlemler, mimariler ve ağlar için tasarım sürecinizde gizlilik ve güvenliği savunmak, tasarım yaşam döngüsü boyunca olgun bir süreç oluşturmanızı sağlayacaktır.
( Bkz. privacy by design )
5- Güvenlik açığı, sızma testleri, risk denetimleri yapılıyor mu?
Bütün sistemler günün sonunda kötü niyetli kişiler tarafından veya mücbir sebeplerle zarar görebilir, evet bu kapalı bir ağda olsa dahi. Önemli olan bunu riskleri bilmek ve bu riskleri minimize etmektir.
Bu testler ve denetimlerin aşağıdaki ölçekte yapılması önemlidir:
Varlıkları tanımlayın ve önceliklendirin
Tehditleri tanımlayın
Güvenlik açıklarını tanımlayın
Kontrolleri analiz edin
Bir olay olasılığını anlayın ve tehdidin sistemleriniz üzerindeki etkilerini öğrenin.
Bu prosedür size, açıklarınızı öğrenme ve kapatma, işletim sistemi seviyesinde veya üçüncü taraf yazılımların güvenlik güncellemelerini kontrol etme ve uygulama anlamında katkı sağlayacaktır.
(Bkz. penetration test)
6- Eski/Kullanılmayan verileriniz usulüne uygun yok ediliyor mu?
Belkide birçok IT yöneticisinin veya güvenlik sorumlusunun atladığı önemli konulardan biridir veri yoketme. Zira doğru olarak yokedilmeyen verilerin daha sonra kişi veya kurumlar için nasıl belalar getirdiğine dönük hayli fazla örnek var.
Burada prosedür belirlenirken, şu yol izlenebilir : Tıklayınız
(Bkz. media sanitization)
7- Olay müdahale ekibiz var mı?
Evet bu madde bu konsept içinde yer alması gereken ama standart değil, opsiyonel olan bir maddedir 🙂
Zira Türkiye’deki birçok kurum ve kuruluşun doğası gereği böyle bir istihdama ihtiyacı da yoktur. Fakat yukarıda zikrettiğim gibi bu konsept içinde değinilmesi gerekir.
Incident Response Team olarak adlandırılan bu kaza kırım ekibi aşağıda fazla bölünmüş uygulamaları hayata geçirir :
Faz I: Algılama, değerlendirme ve triyaj.
II. Aşama: Sınırlandırma, kanıt toplama, analiz ve soruşturma.
Faz III: İyileştirme, ihlalin bertaraf edilmesi
(Bkz. Incident response team )
8- Güvenlik kayıtlarını logluyor musunuz?
Güvenlik kayıtlarını loglamak ve hatta dosya düzenleme/değiştirme faaliyetlerini izlemek veri koruma konseptinin olmazsa olmazlarındandır. Bu iş için işletim sistemi seviyesinde yardımcı araçlar bulabileceğiniz gibi, üçüncü taraf firmaların da oldukça gelişmiş araç veya servisleri bulunmaktadır.
(Bkz. Data Auditing )
Sağlıcakla.