İşletmelerin gelişme durumuna bağlı olarak, bilgi güvenliği ihtiyaçları ve güvenlik kontrollerinin uygulanması işletmenin amaçlarına ve ortamına bağlıdır. Yeni kurulan bir şirket, hizmetleri ve verileri korumak için harici bulut hizmetlerinden ve kullanıma hazır güvenlik hizmetlerinden yararlanabilir. Milyonlarca liralık bir bulut hizmeti şirketi, güvenlik hizmetlerini kendi iş gereksinimlerine göre kendi kendine oluşturabilir, özelleştirebilir ve hatta güvenlik teknolojisini paylaşarak onu açık kaynak haline getirebilir. Farklı aşamalardaki iş süreçleri büyümesinin güvenlik uygulamalarının kapsamıyla nasıl ilişkili olabileceğini ele alacağımız yeni yazıma hoş geldiniz.
Dünya değişiyor, bunu hepimiz görüyoruz. Gelişen ve büyüyen her bir işletme de büyüdükçe, bilgi güvenliği ve güvenlik kontrolleri noktasında kendisini geliştirme ihtiyacı duymalıdır. Şirket büyüdükçe güvenlik ile ilgili konularında kapsamı doğal olarak karmaşıklaşır.
Bilgi Güvenliği süreçlerinde oluşturulacak olgunluk yapısını bu noktada gelişim ve entegrasyonlara bağlı olarak 5 ana aşaması olduğunu gözlemliyorum.
- Birinci aşamada, kuruluş temel bilgi güvenliği kontrollerinin belirler.
- İkinci aşamada, bir kuruluş kendi kurum içi bilgi güvenliği ekibini kurabilir.
- Üçüncü aşamada, güvenlik faaliyetleri bir yaşam döngüsü ile daha geniş kapsamda uygular ve tasarım aşamasında devreye alabilir. Bu aşamada, çoğu güvenlik aracı veya otomasyonu yalnızca test için değil, aynı zamanda geliştirme ve operasyon süreçlerinde de uygulanır.
- Dördüncü aşamada, güvenlik ekibi organizasyonu, güvenlik hizmetleri satın almak yerine, iş gereksinimlerine uyan güvenlik hizmetleri oluşturmaya başlanır.
- Beşinci aşamada ekip, bilinmeyen tehditleri önlemek için büyük veri analizini kullanır.
Yukarıda bahsettiğim her aşamada şirketlere rehber olabilecek iyi pratikler, regülatör gereksinimleri ve şirket norm hiyerarşisi olacaktır. Örneğin aşağıdaki 2 framework güvenlik güvence programına iyi referans olacaktır.
- OWASP SAMM, güvenlik faaliyetlerini dört farklı fonksiyonda tanımlamıştır.
- ISO 27001, bilgi güvenliği yönetimine genel bir bakış sağlamıştır.
Bunlar, kendi güvenlik yönergelerimizi, sürecimizi, kontrol listelerimizi veya araç setlerimizi oluşturabileceğimiz temellerdir.
Aşama 1 – temel güvenlik kontrolü
Bu aşamada start-up bir şirketle karşı karşıya olabiliriz. İçeride hiç bilgi güvenliği ekibi ya da BT ekibinin oluşturulmamıştır. Çoğu güvenlik kontrol süreçleri, bir dış firma ya da AWS gibi bulut hizmetlerinden uyarlanır. Şirket içerisinde oluşturulmuş bir ekip olmaması nedeniyle, güvenlik uygulamaları için hala harici araçlara ve hizmetlere güvenmek mecburiyeti olacaktır.
Örneğin AWS bulut hizmeti güvenlik hizmetleri sağlasa da uygulamayı ve verileri korumak yine de kullanıcının sorumluluğundadır. Bu nedenle, aşağıdakiler bu aşamada güvenlik güvence programı için kritik öneme sahiptir. AWS hizmet uygulamalarını örnek olarak alırsak:
- 3.Parti bulut hizmeti sağlayıcı güvenlik mekanizmalarından yararlanılmalıdır. (Örneğin, AWS provides IAM, KMS, security groups, WAF, Inspector ve CloudWatch)
- AWS Config ve Inspector gibi harici araçlarda güvenli yapılandırma desteği sağlayacaktır.
- Güvenlik izleme faaliyetleri; AWS Config, Inspector, CloudWatch, WAF ve AWS shield uygun olabilir.
Aşama 2 – bir güvenlik ekibi oluşturmak
Bu aşamada, iş istikrarlı büyüyor ve olgunlaşıyor diye düşünebiliriz. Şirket, içeride kullandığı sistem ve uygulamaları müşterilerine ve kullanıcılarına açmadan önce uygulama güvenliği doğrulamasından ve güvenlik açığı izlemesinden sorumlu bir güvenlik testi ekibi kurabilir. Geliştirme ve BT ekipleri, güvenlik zafiyetleri ve tespitleri için büyük ölçüde güvenlik testi ekibine güvenebilir. Geliştirme ekibi yalnızca işletmenin işlevsel gelişimine odaklanır ve henüz güvenli tasarım (Security by Design) veya güvenli kodlama ile ilgilenmez.
Özel güvenlik testleri noktasında, bazı güvenlik otomasyonu uygulamalarına veya açık kaynak izleme araçlarını kullanmaya başlayabilir. Developer lar, tespit edilen güvenlik zafiyetlerini güvenli kodlama, tehdit modelleme, tasarım veya mimari güvenlik ilkeleri için hala herhangi bir süreci benimseyemezler.
Aşama 3 – Güvenli Yazılım faaliyetleri
Yazılım hizmeti sunumu daha büyük ölçekli ve sık hale geldikçe, güvenli bir geliştirme yaşam döngüsü ihtiyacı kritik hale gelir. Bu aşamada temel amaç, güvenlik uygulamalarını geliştirme ve operasyon ekiplerine entegre etmektir. Güvenlik olgunluğu değerlendirmesi için OWASP SAMM ve Microsoft SDL gibi sektördeki en iyi uygulamaların benimsenmesi sürecin olgunluğu açısından büyük bir öneme sahiptir.
Güvenli kod geliştirme sürecini uygularken bazı öğrenme eğrileri ve hatta dirençler olabilir. Sonuçta, bu güvenlik uygulamaları ekip için ek çabaları beraberinde getirecektir. İlk uygulama aşamasında, yeterli eğitim ve iletişim gereklidir. Ekibin güvenlik uygulamalarına ve araçlarına alışması için biraz zaman tanınmalıdır. Bunu eğlenceli bir öğrenme yolculuğu haline getirmek süreci rahatlatır ve farkındalığı arttırır. Güvenliği DevOps’a dönüştürmek için araçların benimsenmesi çok önemlidir. Güvenlik araçlarını (tehdit modelleme, güvenli kodlama, güvenlik çerçevesi) geliştiriciler için kullanımı kolay hale getirmek, geliştirme döngüsünün altın anahtarıdır.
Aşama 4 – kendi kendine inşa edilen güvenlik hizmetleri
Bu aşamada şirketin/lerin kendi güvenlik testi ve izleme ekibinin yanı sıra web uygulaması güvenlik duvarı (WAF) ve IDS/IPS gibi kendi güvenlik hizmetlerini de geliştiriyor ve işletiyor olur. Ayrıca şirket, açık kaynaklı bazı güvenlik araçlarına veya hizmetlerine katkıda bulunabilir. Güvenlik güvence programı, yalnızca şirketin kendisini değil, ortakları veya ekosistemini de kapsar.
Aşama 5 – büyük veri (big data) güvenliği analizi ve otomasyonu
Güvenlikteki bu aşama, yalnızca bilinen bir tehdidin algılanmasıyla ilgili değil, aynı zamanda bilinmeyen tehditleri önlemek ve sistemin proaktif koruma eylemi gerçekleştirmesini sağlamak için bulut, big data analizi ve makine öğrenimini kullanmakla ilgilidir. Bu aşamadaki temel özellikler;
- Tüm geliştirme döngüsü boyunca tam veya çoğunlukla otomatik güvenlik testi yapılabilir.
- Anormal davranışları veya bilinmeyen tehditleri belirlemek için big data analizi ve makine öğrenimi uygulama sağlanır,
- WAF kurallarının oluşturulması veya bir virtual patching in uygulanması gibi güvenlik olayları için proaktif güvenlik eylemi otomatik olarak gerçekleştirilebilir,
Big data analizi çerçevelerindeki tipik açık kaynak teknik bileşenlerinden bazıları; Flume, Kafka, Storm, Redis, Kibana, ElasticSearch ve Graylog olarak örnekleyebilirim.
Özetle, belirlenen bir trendlere dayalı olarak, risk ve bilgi güvenliğine yönelik proaktif bir yaklaşım için temel oluşturmaya çalışmakta fayda vardır. İş çevikliği, uyarlanabilir kurumsal mimari ilkelerini gerektirir. Bu ilkeler de güvenli ilerleme ve inovasyon ile mümkün ve sağlam stratejik güvenlik prensiplerini şart koşmaktadır.
Bilgi Güvenliği Yönetimi, karşılaştığımız mevcut güvenlik zorluklarıyla ilgili kuruma bilgi sağlar ve iş stratejisiyle uyumlu stratejik güvenlik ilkelerini açık bir şekilde belirtmek için ortaya yeni çıkan bilgi güvenliği tehditlerini inceler.
Bu süreçler, sonradan meydana gelen tüm güvenlik faaliyetlerinin, süreçlerinin ve tedbirlerin kaynaklandığı temel olarak düşünülmelidir. Bu, kontrol için sağlam bir temel sağlayacak, bir tehdit kendini gösterdiğinde sürpriz unsurunu en aza indirecek ve üzerinde düşünülmüş, rasyonel bir müdahalede bulunulmasını sağlayacaktır.
Şirket tarafından yönetilen süreçler ve paydaşlara sunulan hizmetler kapsamında, rakiplerden şirketi ayıran esas başarı faktörü, inovatif ve çok yönlü Bilgi Güvenliği Yönetimi metodolojilerinin kullanımı, uygulanması ve bilgisi olmalıdır.
Bilgi güvenliğinin kritik öneme sahip olduğu bir ortamda hizmet veren Grup şirketlerinde sorumlulukları yerine getirebilmek için, öngörülebilir ve doğru analiz edilip değerlendirilebilir şekilde Bilgi Güvenliği yönetiminin yapılması, veri güvenliğinin sağlanması ve yasal yükümlülüklerin yerine getirilebilmesi önemlidir.
Leave a Reply