Güvenlik altyapısına yatırım yapılması gerektiğini nasıl gösterirsiniz?
- Sitenizde bir risk analizi gerçekleştirip mülklerinizin değeri ve bunlara gelebilecek tehditleri belirlersiniz.
- Saldırganların tehditlerinin gözardı edilemeyecek kadar önemli olduğunu örneklersiniz. Bunu yapmanın yollarından biri ağ omurgasında (backbone) bir pasif sniffer kurmak ve uzaktan yapılan erişim denemelerini ve taramaları göstermektir.
- Yüksek-profil araçlar (ISS, NetSonar, nmap veya nessus) kullanarak ağınızı dışardan tarayın ve yönetime bir rapor sunun.
- Sitenizin hack edildiğinde yada sitenizde hasar verici bilgiler sunulduğunda bunun şirketin ününü, kazancını ve karını nasıl etkileyeceğini tartışın.
- Sitenize bir Denial Of Service saldırısı yapıldığında bunun şirket ününü, kazancını ve karını nasıl etkileyeceğini tartışın.
- Internet saldırılarının sıklığı, saldırılan firmalar ve gerçekleştirilen hasarlar konusunda üst yönetime bilgi sunun.
- Analizlerinizde iç tehditleride gözönünde bulundurun: Dışarıya ne tür bilgiler gidiyor? Rakip firmaların görmek isteyebileceği firma bilgileri yada sırları? Çalışanlar online oyunlarda ne kadar zaman harcıyor? Ne kadar bant-genişliği harcanıyor?
- Harici bir danışmanlık firmasına bir veya daha fazla anahtar bölge üzerinde güvenlik açığı denetimi yaptırın. Bağımsız bir ekip olarak onların buldukları ve tavsiyeleri iç ekibin gerçekleştireceğinden daha çok önem taşır.
Sitenizin güvenlik misyonunu nasıl belirlersiniz? Kendinize ve firmanızdaki diğer kişilere bu soruları sorun:
- Kullanıcılarınız ve müşterileriniz ağ güvenliği kontrolleri ve prosedürlerinden neler bekliyorlar?
- Geçmişte güvenlik tehditleri sonucunda ne kadar ‘down time’ ve ne kadar para kaybı oluştu.
- İç tehditlerden endişe duyuyormusunuz? Bütün çalışanlar/danışmanlara güven eşitmi? Çoğunluğu yerel mi yoksa uzaktamı?
- Ne kadar önemli bilgi on-line? Eğer bu bilgi ele geçirilir veya çalınırsa firmanızın kaybı ne kadardır?
- Firmanızın farklı bölümleri için farklı güvenlik seviyeleri gerekiyormu (ör. ERP sistemleri, geliştirme test laboratuvarları veya müşteri destek grupları)?
- Yetersiz güvenlik altyapısı sebebiyle firmanın kötü reklamı oldumu?
- Firmanızın uyulması gereken bir güvenlik rehberi, yönetmelik veya kuralları varmı? Eğer varsa firmanızda bu kurallara uymak için bir çalışma yapılıyormu?
- Bir çakışma olduğunda iş gereksinimleri güvenlikten önce mi gelir?
- Firmanızın bütünde işleyişinde, gizlilik, bütünlük, erişilebilirlik ne kadar önemlidir?
- Verdiğiniz kararlar firmanın iş ihtiyaçlarına ve ekonomik durumuna uygunmu?
Başarılı bir güvenlik bilinci eğitim programının anahtar elementleri nelerdir? En Önemli Adım:
- Bilgisayar kullanan tüm çalışanları, yıllık, on-line, senaryo-tabanlı güvenlik bilinci self-test lere tabi tutun. Sorular yeterli sayıda olsun ve cevaplar dağıtılmasın. (YÜzlerce büyük ve orta ölçekli şirket işbirligi yaparak bir güvenlik bilinci self-test`i hazırladılar. Ayrıntılı bilgi için info at sans.org a konu başlığı olarak ‘Security Awareness Testing Program’ yazıp bir mesaj gönderin.)
- Ek Elementler:
- Bilinçlenme programını organize etmek ve yönetmek için bir haberleşme uzmanı kiralayın.
- Siteniz için bilgi güvenliğini temsil eden bir logo veya altyazı hazırlayın.
- Farklı formatlarda bilinçlenme mesajları sağlayın (eposta mesajları, web-tabanlı videolar ve canlı eğitim).
- Eğitim ve mesajlaşmayı yeni çalışan yönlendirme programının bir parçası olarak ve düzenli sürelerle sağlayın.
- Mesajlaşma/eğitimi farklı gruplara hedefleyin (mühendisler, yöneticiler, destek ekibi, sistem yöneticileri).
- Eğitimin bir parçası olarak sahte olaylar düzenleyip kullanıcıların ve destek ekibinin nasıl karşılık verdiğine bakın
- Kullanıcıların ve destek ekibinin bilgisayar tehditleri konusunda güncel olmalarını sağlayın. Firmadaki herkeze duyurular ve alarmlar yayınlayarak ve onları okumada cesaretlendirerek bunu sağlayabilirsiniz.
- Güvenlik Bilinçlenmesini ve eğitimleri bir kerelik bir olay olarak değil devam eden bir süreç olarak görün.
İyi bir güvenlik altyapısının anahtar elementleri nelerdir?
- Güvenlik altyapısı geliştirmenizi desteklemede ve işin yapılması için gerekli kaynakların sağlanmasında üst yönetimin tam sorumluluk alması.
- Bir güvenlik misyonu bildirimi ve bununla alakalı rehber niteliğindeki esaslar.
- Firmadaki herkeze ulaşan bir güvenlik bilinci programı.
- Firmadaki herkeze sağlanan, düzgün tanımlanmış, uygulanmış ve dokümente edilmiş güvenlik politikaları ve prosedürleri.
- İş ihtiyaçlarını anlama ve bu ihtiyaçları karşılamadaki işlemler.
- Ortamınızdaki riskleri anlama.
- Güvenlik altyapısı geliştirme için 3 veya 5 yıllık güvenlik yol haritası (Roadmap)
- Host ve ağ tabanlı güvenlik denetlemeleri araçları.
- Bütün işlemlerin yapılması için bu işlere dedike olmuş eğitimli güvenlik profesyonelleri. Her uzman için bireysel eğitim planları kimin hangi eğitim ve sertifikaya ihtiyacı olduğunu bulmanızı sağlar.
Pek çok siteye zarar vermeye devam eden belli başlı güvenlik problemleri nelerdir?
- Ağ ve Bilgi güvenliğine yeterli kaynak ve ekip ayırmayan siteler.
- Gerekli güvenlik önlemlerini almaya yetkisi olmayan veya üst yönetim desteği olmayan destek personeli.
- Bilinen güvenlik açıkları için gerektiği zaman yada hiç yama uygulamayan siteler.
- İçerdeki host`lara ağ erişimini kısıtlamayan yada monitor etmeyen (ör. IDS) siteler.
- Hala ‘security through obscurity’ (gizleme ile güvenlik) düşüncesine inanarak hareket eden siteler.
- Uzaktan erişimde yetersiz kimlik tanılaması ve yetkilendirme yapan siteler (ör. internet`ten şifrelenmemiş telnet erişimi).
- Ağlarına yeni cihazlar kurarken prosedür ve standartlara uymayan siteler.
- Host ve ağ tabanlı güvenlik denetimi ve IDS araçları kullanmayan siteler.
- Kötü amaçlı ek dosyalar bulundurabilecek mesajları filtrelemeyen siteler.
- Anti-virüs yazılımlarının pattern dosyalarını düzenli (çoğu firma için günlük) olarak güncellememeleri.
Kaynak: SANS Network Security Roadmap 2001
belgesi-321