SİBER GÜVENLİK DANIŞMANLIĞI

Kurumlar içerisinde her ne kadar uzman personel bulunsa da güvenlik tasarımı ve denetimi her zaman bir üçüncü göz gerektiren konulardır. En iyi tasarlanmış ve işletilen sistemlerde bile kurum dışından gelen Güvenlik Uzmanlarının denetim ve önerileri pek çok kritik durumda hayat kurtaran önem taşımaktadır.

  1. Güvenlik Risk Yönetimi
  2. Güvenlik Uyum Denetimi, Süreç Analizi: ISO 27001
  3. Güvenlik Analizi, Sızma Testleri
    • Altyapı
    • Network
    • Uygulama
  4. Güvenlik Mimarisi Tasarımı, Planlaması
  5. Güvenlik İzleme ve Loglama
  6. Güvenlik Altyapısı Kurulumu

A. GÜVENLİK RİSK YÖNETİMİ

Güvenlikte en önemli konu, güvenlik açığı oluşturabilecek maddelerin önceden tespit edilip önlenmesidir. Çünkü güvenlik diğer Bilişim konularının çok ötesinde zamana hassas bir konudur. Güvenlik riski taşıyan konu ve bileşenlerin, proaktif metodlarla izlenip bu zaafiyetlerin ortadan kaldırılması gerekir. Güvenlikte maalesef sorun oluştuktan sonra giderme şansı yoktur. Bu sebeple riskin sürekli izlenip yönetilmesi gereken bir süreci vardır.

B. GÜVENLİK UYUM DENETİMİ, SÜREÇ ANALİZİ : ISO 27001

SO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi, bilgi güvenliği problemlerinin ele alınmasını, kurumun değerli varlıklarının tespit edilmesini ve bu varlıkların yönetilmesini destekleyen bir bilgi güvenliği yönetim sistemi standardıdır. ISO 27001 küçük, orta ve büyük ölçekli her sektördeki işletmelerin bilgi güvenliği varlıklarını yönetmelerine yardımcı olmaktadır. Ayrıca ISO 27001 belgelendirmeye tabi tutulması, düzenleyiciler tarafından düzenlemelere konu edilmesi nedeniyle popülerliği gittikçe artan bir standarttır.

İşletme ve kurumlarda bu standartta uyuma ilişkin süreçlerin belirlenmesi, gerekli eğitim ve dökumantasyonun hazırlanması, varsa yapılması gereken IT ve Güvenlik yatırımlarının tespit edilip planlanması ve sertifikasyona giden süreçte gerekli olan danışmanlık hizmetleri uzman kadrolarımızca yapılmaktadır.

C. GÜVENLİK ANALİZİ, SIZMA TESTLERİ

Artık yaygınlaşan adıyla pentest (sızma testi) Penetration test kavramının kısaltılmış ifadesidir. Test kapsamındaki sistem veya sistemlerin açıklarını tespit edebilmek amacıyla ele geçirmeye yönelik test aktiviteleridir.

Testi gerçekleştiren kişiler, belirli saldırgan profillerini simüle ederler. Tehdit olarak anonim, yani sistemlere herhangi bir yetkili erişim hakkı bulunmayan bir profil genellikle tüm pentestlerde kullanılır. Bazı durumlarda sistemlere kullanıcı olarak erişen müşteri ve/veya sistem yönetim haklarına sahip olmayan personel profilleri de testlerde kullanılır.

Pentest aktiviteleri bir ağ erişimi ile başlar, ancak pentest süreçleri içinde sistemlere adım atıldıkça sistemler üzerindeki saldırı aktiviteleri ile devam edebilir. Bazı durumlarda sistemlere düşük haklara sahip bir kullanıcının hakları ile erişim sağlanabilir. Bu durumda pentestçi (pentester) bu erişim sayesinde edindiği bilgileri veya sağladığı erişim sayesinde kullanabileceği bir lokal açıklığı (yani sadece sisteme erişildiğinde kullanılabilecek bir açıklığı) kullanarak haklarını yükseltmeyi hedefler. Çünkü hedef, her zaman sistemin tam olarak (yani yönetici hakları ile) ele geçirilmesidir.

Testler sonucunda tespit edilen güvenlik açıkları giderilme yöntemiyle beraber raporlanır. Testler “Altyapı, Network, Uygulama” sistem bileşenlerinin tamamına uygulanır.

D. GÜVENLİK MİMARİSİ TASARIMI, PLANLAMASI

Güvenlik tasarımının belirlenmesinde en önemli etken kurumun güvenlik politikalarının belirlenmesidir. Kurumun BT ihtiyaç analizi sürecinin akabinde kurum içi organizasyon ve görev dağılımına da bağlı olarak hem kurum içi hem de kurum dışı bileşenler için güvenlik politikaları belirlenir. BT ihtiyaçları doğrultusunda performans ve süreklilik ihtiyaçları da göz önünde bulundurularak; güncel teknoloji ürün ve yöntemleri kullanılarak güvenlik mimarisinin tasarım ve planlaması yapılır.

E. GÜVENLİK İZLEME VE LOGLAMA

Güvenlik, yaşayan ve özellikle proaktif olunması gereken bir süreçtir. Sürekli gözlenmesi ve loglanması gerekir. Bu işlemlerin yapılması ile birlikte, yapılma yöntemlerinin belirlenmesi de önemlidir. Cebeci Teknoloji uzmanları gerek bu yöntemlerin belirlenmesi gerekse operasyon süresince bu işlemlerin yerine getirilmesine destek vermektedir.