arama

Bilgisayar Sistemleri Bağlantı Güvenliği Testleri

3 Mayıs 2018 07:00
Murat TEZCAN - murat@teknosokagi.com
  • paylaş
  • paylaş
  • paylaş
  • paylaş
  • paylaş
  • Murat TEZCAN Murat TEZCAN

İşletmelerde bilgi güvenliği kapsamında kurulacak bir güvenlik sistemi altyapısının doğru bir şekilde tespit edilmesi çok önemlidir. Bu nedenle herşeyden önce korunmak istenen bilgi varlıklarının tespit edilmesi ve değerlendirilmesi ve güvenlik yönetiminin bu temel üzerinde doğru ve eksiksiz bir şekilde kurulması gerekmektedir.

Güvenlik yönetimi sistemi, bilgi varlıklarının ve bilgisayarların güvenliğini olumsuz şekilde etkileyecek her türlü faktörün belirlenmesi, ölçülmesi ve olası risklerin en alt seviyeye indirilmesi sürecidir.

Bilgi sistemleri alanında risk, bir olayın ve bu olayın sonuçlarının meydana gelme olasılıklarının bir birleşimidir. Güvenlik riskleri değerlendirme çalışmaları, risk yönetimi çalışmasının ilk adımıdır. Bu süreçte riskler tespit edilmekte, tanımlanmakta ve tanımlanan bu risklerin olası etkileri ve ele alış öncelikleri belirlenmektedir.
Genel olarak risk yönetimi sistemi, kabul edilebilir seviyede risklerin belirlenmesi, mevcut risklerin değerlendirilmesi ve bu risklerin kabul edilebilir düzeye çekilmesi yönünde gerekli adımların atılması ve bu durumun devam ettirilmesi çalışmalarının tamamıdır.

Güvenlik riskleri değerlendirilirken sırayla şu adımlar atılmalıdır:

Önce korunması gereken bilgi varlıkları tespit edilmelidir.

Arkasından bu varlıkların işletme açısından ne kadar değerli olduğu belirlenmelidir.

Sonra bu varlıkların başına gelebilecek beklenen veya beklenmeyen tehlikelerin hangilerinin öncelikle önlenmesi gerektiği ortaya konulmalıdır.

Olası kayıpların ne şekilde ortaya çıkacağı araştırılmalıdır.

Bilgi varlıklarının maruz kalacağı olası tehditlerin boyutları belirlenmelidir.

Tehditlerin neden olacağı zararların boyutlarını ve ihtimallerini düşürmek için neler yapılması gerektiği tespit edilmelidir.

İleride ortaya çıkacak tehditleri ve etkilerini düşük seviyede tutmak için atılması gereken adımlar planlanmalıdır.
Mevcut güvenlik riskleri açığını belirleyen risk bileşenleri, bilgi varlıklarına yönelik tehditler, sistemin korunmasız yönleri ve güvenlik sistemi denetimleridir.

Korunması gereken bilgi varlıkları tespit edildikten sonra işletmeye uygun risk değerlendirme yöntemi seçilir ve riskler tanımlanır. Seçilen risk yönetimi sistemine bağlı olarak bilgi varlıkları için bir risk haritası oluşturulur. Risk haritasında, risklerin etkileri ve gerçekleşme ihtimalleri en düşükten en yükseğe doğru yer alır. Bu haritada etkisi ve olasılığı yüksek olan tehditler, kontrol altına alınması ve iyileştirilmesi gerekli risk alanını gösterir. Hazırlanacak risk haritasının belli aralıklarla ele alınması ve güncellenmesi gerekir.

Teknolojiler geliştikçe sistemlerin güvenlik ihtiyaçları da çeşitlenmekte ve artmaktadır. Bu nedenle kurulacak ve yürütülecek güvenlik sisteminin yüzde yüz güvenlik sağlayacağı düşünülmemelidir. Güvenlik sistemlerinde en önemli ve üzerinde an fazla çalışılan süreç önlemedir. Sistemin, olası tehdit ve saldırılara karşı, yalıtılmış olması son derece önemlidir.

Kişisel bilgisayarlarda alınacak önlemler daha basit ve kolay olmasına rağmen, işletmelerde bilgisayar güvenliğinde önleme çalışmaları daha geniş ve karmaşıktır. Sistem güvenliği alanında uzman kişiler tarafından işletim sistemi ve yazılımların ve güncellemelerin belli aralıklarla incelenmesi gerekir. Sisteme erişim seviyelerinin asgari seviyede tutulması gerekir. Veri iletişiminde şifreleme yöntemlerinin, özel tarayıcıların, sanal özel ağların (virtual private network) kullanılması gerekir. Biometrik tabanlı sistemlerin kullanılması gerekir.

Ancak güvenlik konusu sadece önleme çalışmaları ile sağlanamaz. Aynı zamanda bilgisayar sistemlerine saldırı girişimlerini tespit eden yöntemlerin de kullanılması gerekir. Önleme çalışmaları sisteme saldırıları zora sokabilir ancak imkansız kılmaz.

Bütün bu açıklanan konular bilgisayar sistemlerinde bağlantı güvenliğinin önemini ortaya koymaktadır. Bilgisayar sistemlerine sadece yetkisi olan kişilerin erişiminin sağlanması, yetkisiz kişilerin her türlü erişim teşebbüslerinin engellenmesi ve bilgi varlıklarının zarar görmesinin önüne geçilmesi, büyük olsun küçük olsun bütün işletmeler için yaşamsal bir konusudur. Yetkili firmalar tarafından bu yönde çok güçlü bir teknolojik altyapı ve çalışan kadrosu yardımı ile ayrıntılı bir şekilde ölçüm, test ve denetim hizmetlerini verilmektedirler.