Bilgi Güvenliği

Bilgi Güvenliği ve Risk Yönetimi

Bilgi Güvenliği, genellikle Bilgi Teknolojileri güvenliği olarak bilinir. Bilgi Teknolojileri Güvenliği, Bilişim Sistemlerinde bulunan aktif cihazların güvenliğidir. Bilgi Güvenliği ise uçtan uca içerisinde birçok unsuru barındıran firmalar tarafından bir süreç olarak işletilmesi gereken önemli bir konudur.

Bilgi Güvenliğine sadece teknolojik açıdan bakmak yanlıştır. Bilgi güvenliğini sadece teknolojik açıdan değerlendirmek genellikle tam bir bilgi güvenli sağlamamakla beraber maliyetli bir yatırımdır.

Bilgi Teknolojileri ortamlarında teknolojik, çevre faktörleri, insan gibi birçok tehdit mevcuttur. Bilgi Güvenliğine yatırım yapılmadan, öncelikle muhtemel tehditlere göre firmanın risk değerlerinin tespit edilmesi ve ihtiyaca yönelik yatırımların yapılması gerekmektedir.

Bilgi Güvenliği firma yapısı ve stratejileri, teknoloji hizmetleri ve tasarımları, insan ve süreç yönetimi olarak bir bütün olarak incelenmeli ve tasarlanmalıdır.

Farkındalık yaratılmayan ortamlarda Bilgi Güvenliği yatırımlarından geri dönüş alınamadığı tespit edilmiştir.

Bilgi Güvenliği ve Risk Yönetimi ile Bilgi Güvenliğinizi Stratejik ve hedef odaklı olarak uçtan uça yönetebilirsiniz.

Neden Bilgi Güvenliği ve Risk Yönetimi
  • Firma Finansal ve Özel Bilgilerinin yetkisiz kişilerin eline geçmesini önlemek için,
  • Firma Prestijinin zedelenmesini önlemek ve Marka değerinin korunması için,
  • Firma Proje bilgilerinin ele geçirilmesinin önlemek için,
  • Felaket veya saldırı anında firma zararlarını en aza indirgemek için,
  • Güvenlik Farkındalığı olan çalışan profili oluşturmak için,
Bilgi Güvenliği ve Risk Yönetiminin Sağladıkları
  • Firma verilerini yetkisiz kişilerin eline geçmesini önler,
  • Güvenlik saldırılarına karşı hazırlıklı olmayı sağlar,
  • Felaket anında zararı azaltır,
  • Kullanıcı farkındalığı yaratarak daha güvenli bir firma profile oluşturmak için,

Bilgi Güvenliğinde Süreç

Bilgi Güvenliği belirli bir kapsamda bir veya birkaç hizmetin denetlenmesi ve iyileştirilmesi ile sağlanabilir. Bilgi Güvenliği ve Risk Yönetiminde ilk adım mevcut durumun değerlendirilmesidir. Mevcut Güvenlik Durumu ve Risk değerlendirilmesi yapıldıktan sonra gerekli Bilgi Güvenliği önlemleri alınıp sürecin uçtan uca yönetiliyor olması gerekiyor.

Bilgi Güvenliğinin diğer teknoloji çözümlerinden farklı olarak uçtan uca yönetilen sürekli değerlendirilen ve süreç olarak aktif devam eden bir konudur. Bilgi güvenliğini bir bütün olarak ele alan ve aşağıdaki süreçlerin hepsini tüm teknolojiler ile değerlendirip anlatan CISSP (Certified Information Systems Professional) eğitimi Güvenlik Yöneticileri için tasarlanmıştır.

CISSP eğitiminde bilgi güvenliği için gerekli olan tüm kontroller ve süreçler, risklerin hesaplanması gibi tüm konular ele alınmaktadır.

Bir birimin Bilgi Güvenliği Yöneticisi iseniz ve bilgi güvenliğinde hangi kontrolleri sağlamanız gerektiğini merak ediyorsanız ve ek olarak bilgi güvenliği ile ilgili teknik kavramları öğrenmek istiyorsanız CISSP (Certified Information Systems Professional) eğitimine katılmalısınız.

Bilgi Güvenliği Değerlendirme Hizmetleri

Zafiyet Taraması (Vulnerability Assesment): Zafiyet taraması Bilgi Sistemlerinin genel olarak bilinen standart tüm bilgi güvenliği tehlikelerine karşı taranıp sistemin Bilgil Güvenliği açısından genel görüntüsünü oluşturmayı hedeflemektedir. Bu rapor olabilecek tüm güvenlik unsurlarını tek tek tarayıp detaylı bir rapor görüntülemektedir.

Sızma Testi ve Zafiyet Taramaları için uluslararası kabul görmüş standartlar;

Kullanılan Framework’ler
  • ISSAF(Information Systems Security Assessment Framework)
  • NIST SP800-115
  • OSSTMM(The Open Source Security Testing Methodology Manual)
  • OWASP(Open Web Application Security Project)

Zafiyet taramalarında tespit edilen açıklar güvenlik uzmanları tarafından herhangi bir doğrulamaya tabi tutulmazlar. Bulunan zaaf sistemdeki gerçek bir açık veya sistemde olabilecek muhtemel açıkları tespit eder. Bu zaafın doğruluğu veya bu zaafla ele geçirilebilecek veriler Sızma testi ile doğrulanır.

Zafiyet taraması, sistemin genel güvenlik durumunu incelemek ve standart uyumluluk raporlarına uygunluğunu incelemek ve ayrıca Sızma testleri öncesi incelenecek alanların tespiti için gerçekleştirilir.

Sızma Testi (Penetration Test): Sızma testi otomatize veya manuel yöntemlerle tespit edilen zaafların değerlendirilmesi ve bu güvenlik zaafları sonrası sistemden ele geçirilebilecek bilgilerin gösterilmesini amaçlayan testtir. Sızma testi ile sistemdeki gerçek tehdit oluşturacak noktalar tespit edilip bu açıkların güvenli bir şekilde kapanması hedeflenmektedir.

1.1.1

Sızma testleri Hackerların çalışma modellerini referans alınarak gerçek organize bir saldırıyı simule eder. Sızma testi altyapıda kullanılan tüm teknoloji çözümlerini ve kullanılan ürünleri göz önünde bulundurarak uygulanmalıdır.

Zafiyet taraması ve sızma testi ile ilgili teknik detayları öğrenmek bir sızma testinin nasıl yapıldığını, hangi aşamaların uygulandığını teknik olarak hangi araç ve platformların kullanıldığını öğrenmek istiyorsanız CPTE - Certified Penetration Testing Engineer veya LPT - Licenced Penetration Tester eğitimlerine katılabilirsiniz. Bu eğitimlerde penetrasyon testleri ile ilgili tüm süreç ve araçlar anlatılmakta olup. Teknik olarak penetrasyon örnekleri incelenmektedir.

Ayrıca Penetrasyon süreçlerinizde tekliflendirme, süreç ve danışmanlığın nasıl ilerlendiğini, teknik olarak hangi konulara hakim olunması gerektiği ve penetrasyon öncesi, sırası ve sonrasında nelere dikkat edilmesi ile gerekli gibi konuları CPTC - Certified Penetration Testing Consultant veya ECSA – EC Council Certified Security Analyst eğitimlerinde öğrenebilirsiniz. Bu eğitimlerde yine penetrasyon ile ilgili teknik detay ve yöntemlere de değinirken ek olarak penetrasyon sürecini de uçtan uca ele almaktadır.

Sosyal Mühendislik

Sosyal Mühendislik Sızma testlerinin bir parçası olup farklı yöntemler ile firma çalışanlarının sistemlerine sızmayı veya onlardan hassa bilgi ele geçirmeyi hedefler. Bilge Adam Bilişim hizmetleri sosyal mühendislik testleri kullanıcıların sosyal mühendislik saldırılarına karşı tepkilerini ölçmek ve olabilecek muhtemel saldırılara karşı bilinçlendirmek için oluşturulmuş bir güvenlik testidir. Bu test ile hedeflenen kullanıcıların gelen sahte mail, telefon vs. gibi tehditlerde nasıl tepkiler verdiğini ölçmektir. Sosyal mühendislik ayrıca Help Desk, Çağrı merkezi gibi birimlerin bilgi verirken gerekli güvenlik kontrollerinin yapıp yapmadığını kontrol etmek için kullanılır.

Sosyal mühendislik, Phishing, Scamming ve birçok hacking yönteminin anlatıldığı CEH – Certified Ethical Hacker veya CPEH - Mile2 Certified Professional Ethical Hacker eğitimlerini alabilirsiniz. Bu eğitimlerde Sosyal mühendislik, bilgi toplama vs. gibi birçok hacking tekniğini öğrenebilirsiniz.

Güvenlik Kontrolleri

Bilgi Sistemleri Yapılandırma Kontrolleri: Güvenlik kontrolleri sistemlerde herhangi bir test veya tarama yapılmadan sistem mimarisi ve yapılandırılmasını inceleyen kontrollerdir. Bu kontrollerde amaç sistem mimarisindeki güvenlik unsurlarının incelenmesi ve sistemin tavsiye edilen güncel uyumluluklara göre incelenmesidir. Bu controller sonrası sistemin tavsiye edilen yapılandırmalar ile güvenli hale getirilmesidir.

Bu kontroller aşağıdaki hizmet noktalarını içerir.
  • Sunucu Güvenlik Kontrolleri
  • Sanallaştırma Güvenlik Kontrolleri
  • Network Cihazları Güvenlik Kontrolleri
  • Firewall ve Router Güvenlik Kontrolleri
  • Remote Access (RAS, Dial-in, VPN) Yapılandırma Kontrolleri
  • Voice over IP Güvenlik Kontrolleri
  • DMZ veya Network Mimarı Tasarım incelenmesi

Bilgi Güvenliği Politika ve Prosedür Kontrolleri: Bilgi Güvenliği Politika ve Prosedür Kontrolleri Bilgi sistemleri ve hizmet verdiği son kullanıcılar için gerekli politikaları kontrol eder. Bilgi güvenliğinin firmalarda sağlanabilmesi için güvenlik etkisi olan sistemlerde değişim yönetimi, yetkilendirme yönetimi, veri yoketme gibi önemli süreçlerin belirli politikalara göre yapılması gerekir. Bu politikaların bulunması ve son kullanıcı veya teknik uzmanlar tarafından bilinmesi bilgi güvenliği açısından önemlidir.

Bilgi güvenliğindeki politika, prosedür ve süreçlerin tasarlanması en önemli aşamalardan bir tanesidir. Bu konuda bilgi güvenliği ile ilgili ISO 27001 ve COBIT Security gibi eğitimler bu süreçleri öğrenmek için önemli eğitimlerdir. Buna ek olarak firmanızda Bilgi Sistemleri veya Bilgi Güvenliği denetim süreçleri mevcut veya uygulamayı düşünüyor iseniz CISA – Certified Information Systems Auditor eğitmini alabilirsiniz.

Bilgi Güvenliği Farkındalığı: Bilgi Güvenliği farkındalık testleri kullanıcıların genel ve iç güvenlik prosedür ve politikalarından haberdar olup olmadığını amaçlayan farkındalık testidir. Bilgi güvenliği farkındalık testleri ayrıca kullanıcıların herhangi bir bilgi güvenliği açığında nasıl aksiyon aldıklarını ölçümleyen testtir. Bu test ile amaç kullanıcıların firma güvenlik prosedür ve politikalarından haberdar olup olmadığını ölçmektir. Kullanıcıların gizli bilgi bulunduran sistemlere nasıl eriştiğini, güvenli parolalar oluşturup oluşturmadığının incelenmesi bu testin amaçlarındandır.

Bilgi Güvenliği Uyumluluk Denetlemeleri: Bilgi Güvenliği uyumluluk denetlemeleri dünyaca kabul edilmiş belirli güvenlik ve hizmet yönetim modellerine göre firmanın uyumluluğunu denetleyen hizmettir.

  • PCI (Payment Card Industry Data Security Standard)
  • SOX (The Sarbanes-Oxley Act (SOX))
  • COBIT
  • ITIL
  • ISO27001

İlgili Eğitimler

Eğitim Kodu Eğitim
CPEH Certified Professional Ethical Hacker
CPTE Certified Penetration Testing Engineer
CDRE Certified Disaster Recovery Engineer
CDFE Certified Dijital Forensics Examiner
CWSE Certified Wireless Security Engineer
CIHE Certified Incident Handling Engineer
CSLO Certified Security Leadership Officer
CEH Certified Professional Ethical Hacker
LPT EC-Council Licenced Penetration Tester
CHFI EC-Council Computer Hacking Forensic Investigator
ECSA EC-Council Certified Security Analyst
ENSA EC-Council Network Security Administrator
ECIH EC-Council Certified Incident Handler
ECSS EC-Council Certified Security Specialist
- Network Forensics
- Malware Analysis
CISSP Certified Information Security Professional
CISM Certified Information Security Manager
CISA Certified Information Security Auditor

Paylaş :
Eğitim Takvimi | Twitter Eğitim Takvimi | Linkedin Eğitim Takvimi | Facebook