BT Denetim En İyi Uygulamalara Global Bir Bakış Araştırması

ISACA ve Protiviti tarafından yapılan BT Denetimi En İyi Uygulamalara Global Bir Bakış Araştırması Dünya genelinde BT Denetimi özelindeki iyi uygulamarı ortaya koyuyor ve bu alanda faaliyet gösteren bizlere kendi organizasyonlarımızda yürütülen faaliyetleri de değerlendirme imkanı sunuyor. Rapora aşağıdaki bağlantıdan erişebilirsiniz.

http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/a-global-look-at-it-audit-best-practices.aspx

Global düzeyde faaliyet gösteren multinational şirketlerden KOBİ'lere kadar geniş yelpazede yaklaşık 1300 şirketin BT Denetim fonksiyonlarının araştırıldığı araştırma demografik verileri aşağıdaki gibidir;

• BT Denetim Yöneticisi %31, denetçi %21
• Finansal hizmetler %29, Devlet/Eğitim/Kar amacı gütmeyen %16
• 1-5 milyar dolar aralığında gelire sahip firmalar %24
• Borsaya kote %38, özel %36, devlet %18, kar amacı gütmeyen %8
• Organizasyonların yönetim ofisleri lokasyonu Kuzey Amerika %48, Avrupa %26
• BT denetim yönetim ofisleri lokasyonu Kuzey Amerika %48, Avrupa %24

Araştırma kapsamında temelde 5 sonuca ulaşılıyor;

1. Siber güvenlik ve kişisel verilerin korunması temel endişeler. Bu iki alan BT yönetim tarafındaki gündemdeki konular ve BT denetim faaliyetlerini de etkileyeceği düşünülüyor. BT Denetim fonksiyonları planlamalarını yaparlarken kurum içerisinde bu iki alandaki faaliyetleri göz önünde bulundurabilirler sonucu buradan çıkarılabilir.
2. Şirketler BT denetim iş gücü ve kaynak konusunda zorlayıcı unsurlar ile karşı karşıya kalıyorlar. Bu çıkarımı dış kaynaklar özelinde de düşünebilirsiniz.
3. Denetim komiteleri, BT Denetim fonksiyonları ile daha etkileşimli hale geliyorlar. Eskiye göre daha fazla organizasyon BT denetim fonksiyonunda yönetici pozisyonlarını tanımlıyor. Son üç yılda Denetim komitesi toplantılarında BT Denetim fonksiyonlarının temsil edilmesi tamı tamına iki kat artmış olarak görünüyor.
4. BT denetim özelindeki risk değerlendirmeleri yeterli sıklıkta yapılmıyor. Teknoloji doğası gereği hızlı değişim ve dönüşüme maruz iken BT Denetim fonksiyonları tarafından yeterli sıklıkta BT risk değerlendirmesi yapılmıyor. Hatta araştırma sonuçlarına göre BT risk değerlendirmesi hiç gerçekleştirmemiş organizasyonlar mevcut. BT risk değerlendirmesini yapılmasının yanı sıra bu risklerin çeyrekler bazında gözden geçirilmesi ve güncellenmesi öneriliyor.
5. Organizasyonların büyük çoğunluğu BT denetim raporlarından elde edebileceği faydayı etmiyor. Bir çoğu ise BT Denetim ekibi çalışmalarını raporlama yapısına yeteri kadar adapte edemiyor.

Aynı araştırmada teknoloji tarafını zorlayıcı (challenging) trendler belirlenmiş. 2014 yılı için BT güvenlik ve kişisel verilerin korunması/siber güvenlik, kaynak-personel istihdamı - yetenekler konusunda yaşanan zorlayıcı unsurlar, yeni teknolojiler ve altyapı değişiklikleri, yasal gereksinimlere uyum, bütçeleme ve maliyetlerin kontolü ilk 5'te yer alıyor. Diğer hususları raporda detayları ile birlikte bulabilirsiniz.

Raporun içerisinde cevap bulabileceğiniz aşağıdaki sorular ise görsel materyaller ile beslenmiş şekilde rapordaki yerini alıyor.

• Organizasyon içerisinde tasarlanmış bir BT denetim ekibi yöneticisi var mı? (Evet %45)
• BT denetim ekibi yöneticisi kime raporlama yapıyor? (Avrupada %70 Denetim Üst Yöneticisine ki bu bizdeki denetim komitesine denk gelebilir.)
• BT denetimi ekip yöneticisi denetim komitesi toplantılarına düzenli katılım sağlıyor mu? (Evet %55)
• Organizasyon içerisinde BT denetim fonksiyonu nasıl konuşlandırılmış durumda?
• İç denetim içerisinde ve ayrı bir fonksiyon değil. BT denetçisi ayrımı yok.
• İç denetim içerisinde ve ayrı bir fonksiyon olarak
• Organizasyon içerisinde ayrıca bir denetim fonksiyonu olarak
• BT denetim fonksiyonu kurum içerisinde hiç yok. (100 Milyon dolardan az yıllık kazancı olan organizasyonlar için % 11; Avrupa'da %4)
• BT denetim yetkinliklerinin artırmak ve desteklemek için dış kaynak kullanılıyor mu? ( Avrupada %52)
• Dış destek alınan BT denetim kaynak zamanının toplam kaynak içerisindeki oranı nedir? (100 Milyon dolardan az yıllık kazancı olan organizasyonlar için %75'den fazla %8, hiç kullanmayan %11)
• Organizasyonların dış kaynak kullanımındaki temel nedeni nedir?
• İçeride gereken yeteneklerin geliştirilmesi zor. (Avrupa %21)
• Çeşitli kaynaklardan istifade edilmek istenmesi yaklaşımı (Avrupa %11)
• Kurum dışı farklı bakış açısının önemsenmesi (Avrupa %17)
• Kaynakların yetersizliği (Avrupa %24)
• Kurum içi kaynakların kurum dışı deneyimlerden de faydalanmasının düşünülmesi (Avrupa %28)
•   BT denetim raporları sayısının toplam raporlar içerisindeki oranı nedir? (Yüzde 20'den fazla %32, yüzde 5'den az %22)
• Organizasyonunuz BT denetim risk değerlendirmesi gerçekleştiriyor mu? ( Hayır Avrupa için %10)
• BT denetim risk değerlendirmesine aşağıdaki paydaşların katılım durumunun değerlendirilmesi
• Denetim komitesi
• BT icra yönetimi
• İş süreç yöneticileri
• BT organizasyon temsilcileri
• İç denetim/BT denetim
• Risk Yönetimi
• BT denetim risk değerlendirmesinin hangi sıklıkla güncellendiği? (Avrupa çeyrek %27, yarı yıldan az sıklık %73)
• BT denetin risk değerlendirmesinde hangi çerçeve kullanılmaktadır)
• COBIT
• COSO
• ISO
• SOGP
• Kurumunuzun kurumsal risk yönetim programı mevcut ise BT denetim risk çerçevesi ile ilişki var mıdır? (Avrupa evet %42)
• BT denetim fonksiyonunun alanına aşağıdakilerden hangisi girmektedir?
• BT süreçlerini denetlemek (güvenlik, kişisel verilerin korunması gibi süreçler)
• BT  genel kontrollerini değerlendirmek
• Uygulama bazında denetimler gerçekleştirmek
• BT altyapısına yönelik denetimler gerçekleştirmek
• BT uyumunu test etmek
• Sosyal medya denetimleri
• SOX'a yönelik denetimler
• Tedarik denetimleri
• Önemli BT projelerine BT denetimi hangi aşamada dahil olmaktadır?
• Planlama (%30)
• Tasarım
• Test
• Uygulama (Implemantasyon)
• Uygulama sonrası
• Dahil olmazlar (%9)
• BT denetim fonksiyonu güvence, uyum ve danışmanlık faaliyetlerinde zamanlarını hangi oranlarda harcarlar? ( Avrupa'da ağırlıklı güvence ile harcarlarken, danışmanlık ve uyuma harcanan mesai biraz daha az.)
• BT denetim fonksiyonu COBIT çerçevesine göre bir değişim ve değerlendirme yaşadı mı? 
• BT denetime yönelik teknik yetenekler doğrultusunda aşağıdaki başlıkların öneminin değerlendirilmesi (Yüksek önem seviyesi atfedenlerin oranlarına göre yüksekten düşüğe sıralanmıştır.)
• Kontrol analizi
• Risk Analizi
• Süreç değerlendirmesi
• BT ile aynı dili konuşabilme
• Veri analizi
• Muhasebe/denetim
• Proje Yönetimi
• Danışmanlık
• BT denetime yönelik iş ve insan ilişkilerine yönelik yetenekler doğrultusunda aşağıdaki başlıkların öneminin değerlendirilmesi (Yüksek önem seviyesi atfedenlerin oranlarına göre yüksekten düşüğe sıralanmıştır.)
• İlişki geliştirme
• Rapor yazımı
• Stratejik düşünebilme
• Ekip oluşturma ve yönetme
• Çatışma yönetimi
• Müzakere
• İş tarafları ile aynı dili konuşabilme
• Liderlik
• BT denetimi iç denetim biriminde görevli tam zamanlı çalışan profesyoneller tarafından mı gerçekleştiriliyor? (100 Milyon dolardan az yıllık kazancı olan organizasyonlar için evet % 64)
• BT denetim planına almak istenen ama kaynak yetersizliğinden denetim gerçekleştirilemeyen alanlar mevcut mudur? ( 100 Milyon dolardan az yıllık kazancı olan organizasyonlar için Evet %43)
• Organizasyonunuz CISA sertifikalı denetçiye ihtiyaç duyuyor mu? (Avrupa Evet %65)
• Organizasyonunuz içerisinde CISA sertifikalı ya da alma düşüncesinde denetçi oranı nedir? (Avrupa yüzde 75'den fazla %58)
• Organizasyonunuzda başka hangi sertifikalar yer almaktadır?
• CRISC (Avrupa %16)
• CISM (Avrupa %18)
• CIA (Avrupa %19)
• CGEIT (Avrupa %6)
• CISSP (Avrupa %15)

Yukarıda temel düzeyde kendi organizasyonunuz açısından BT denetim fonksiyonunuzu değerlendirmenize yönelik faydalı olabileceği düşünülen bilgiler paylaşılmıştır. Bu paylaşım Avrupadaki firmalara yönelik bilgilerin ve Türkiyedeki çoğu firmanın girebileceği düşünülen aralıklarla ilgili istatistiklerin paylaşılması şeklinde olmuştur. Detaylar ve 2012 yılından bu yana değişen trendlere yönelik bilgiler için raporun kendisine bakmanız ve ilerleyen dönemler için ISACA web sitesini takip etmeniz önerilir.

ISACA İstanbul Chapter faaliyetleri ile ilgili bilgi almak için ise ISACA İstanbul web sitesine bir uğramanızı ve Linkedin grubuna üye olmanızı tavsiye ederim.

NIST tarafından hazırlanan Kritik Altyapı Siber Güvenliği Geliştirmeye yönelik Çerçeve

2000li yılların başlarında lamer araçları olarak tanımlanabilecek SchoolBus, Cain gibi programlar ile internet üzerinden fırtına estiren ergenler büyüdüler ve doğal olarak eskisinden çok daha yetenekli ve tehlikeliler. Bir de buna ek olarak internet üzerinden gerek saldırı amaçlı araçlara, gerek eğitici belgelere erişim o derece kolaylaştı ki bilgisayardan biraz anlayan ve sabır gösterebilen herkes yeteneklerini geliştirebilecek durumda.

Ülkeler arasında siber savaş olarak tabir edilen ve siber saldırılara sahne olan savaşlar o kadar arttı ki Amerikan Ordusunun, Avrupalı bazı devletlerin, İran ve Çin gibi ülkelerin Siber Orduları olduğu sıkça konuşulur oldu. Her ne kadar bu Orduların savunma amacı ile kurulduğu söylense de aktif eylemler gerçekleştirdikleri de bir gerçek. İran nükleer araştırmalarını engellemeye yönelik olan Stuxnet en bilindik örneklerden birisi. Hatırlarsınız belki zamanın Bilim, Sanayi ve Teknoloji Bakanı Nihat Ergün devlet kontrolünde hacker yetiştirileceğine dair açıklamalarda bulunmuştu. (Haberin detayları için tıklayınız). Devlet destekli orduların yanı sıra underground forum sitelerinde bir araya gelen bilgisayar korsanlarında oluşan, lidersiz ve anonim olan siber ordular da siber savaşların bir başka ve güçlü olabileceğini düşündüğüm aktör.

Başka bir deyişle aktörlerin devletler, bilgisayar konusunda yetenekli bireyler, politik gruplar, underground forumlardan beslenen meraklı gençler olduğu çetin bir savaş alanından bahsediliyor Siber alemde.

Peki kurumunuz bu savaşta hedef olabilir mi? Kurumunuzun ya da şirketinizin doğasının ya da mahiyetinin inanın bana hiç önemi yok. Elbette kasıtlı saldırı alan, direkt hedef olan kurumlar var. Bunun yanında uzantısının tr ya da son dönemlerde gözde olduğu için söylüyorum .il uzantılı olması web sitenizin saldırı alması için yeterli olabiliyor. Planlı hedefseniz şayet öncelikli olarak korsanlar net üzerinden sizinle ilgili toplayabildikleri kadar bilgi topluyorlar, iç ağlarınızın ip aralıklarını belirleyip, ağa erişim sağlamaya çalışıyorlar. Buldukları tek bir açık kapı dahi çalışanlarınız kadar bilgiye, belgeye ulaşmalarına ve sistemler üzerinde ayrıcalık elde etmelerine sebep olabiliyor.

Son dönemlerde bütün Dünyada olduğu gibi Türkiyede de önem verilen konulardan birisi siber güvenlik. Ulaştırma Bakanlığı, Başbakanlık özelinde çeşitli çalışmalar mevcut. Kamu özelinde oluşturulmuş çalışma grupları senaryolar üzerinde ve hazır takımlar oluşturma yönünde çalışmalar mevcut. Çünkü siber güvenlik çeşitli paydaşlardan oluşan büyük bir zincir ve saldırı altındaki kurumun tek başına savunma yapabileceği ve çözüm üretebileceği kadar basit bir konu değil.

Bilgi Teknolojileri alanındaki önemli başlıklardan birisi olan Siber Güvenliğe yönelik NIST (National Institute of Standart and Technology) tarafından hazırlanmış olan orjinal adı Framework for Improving Critical Infrastructure Cybersecurity olan çerçeveyi kurumların Siber Güvenlik açısından hazırlıkları aşamasında öneririm. Çerçeveye http://www.nist.gov/cyberframework/ adresinden ulaşabilirsiniz.

Çerçeve temelde 5 fonksiyona odaklanmaktadır. Orjinalleri Identify, Protect, Detect, Respond ve Recover olan bu fonksiyonlar Tanımlama, Koruma, Tespit etme, Yanıtlama ve Geri Kazanma olarak tanımlanmış, her fonksiyon altında ise kontrol kategorileri yer almaktadır.

Tanımlama fonksiyonu altında varlık yönetimi, İş Ortamı, Yönetişim, Risk Değerlendirme ve Risk Yönetim Stratejisi kategorileri yer almaktadır. Tanımlama aşamasında altyapısal manada Siber Güvenliğe konu varlıkların belirlenmesi ve yönetilmesi, kurum iş ortamının yapısının tanımlanması ve iyice tanınması, risklerin yönetilmesine yönelik yaklaşımın belirlenmesi ele alınmaktadır.

Koruma fonksiyonu altında ise erişim kontrol, farkındalık ve eğitim, veri güvenliği, Bilgi koruma süreç ve prosedürleri, bakım ve korumaya yönelik teknoloji kategorileri yer almaktadır. Koruma aşamasında kurum içi erişim kontrolleri ile güvenliğin sağlanması, kurum içi farkındalığın sağlanmasına yönelik eğitim ve farkındalık programlarının sağlanması, bilginin korunmasına yönelik süreç ve süreci açıklayan prosedürlerin oluşturulması, gerekli bakım faaliyetlerinin takip edilmesi ve korumaya yönelik teknolojinin yakın takibi ele alınmaktadır.

Tespit Etme fonksiyonu altında rutin dışı olaylar ve olay yönetimi, güvenlik sürekliliğinin izlenmesi ve tespit süreci kategorileri yer almaktadır. Tespit etme aşamasında siber güvenliğe konu anomilelerin tespit ve takip edilmesi, olayların yönetilmesi, güvenliğin sürekliliğin sağlanmasına yönelik izleme fonksiyonunun oluşturulması ve tespit etme süreçlerinin oluşturulması ele alınmaktadır.

Yanıtlama fonksiyonu altında yanıtlama planlama, iletişim, analiz, azaltma (mitigation) ve iyileştirme kategorileri yer almaktadır. Yanıtlamaya yönelik planlama yapılması, yanıtlama esnasında paydaşların tam uyumlu çalışabilmesine yönelik iletişimin sağlanması, analiz, azaltma ve iyileştirme kategorileri detayı ile ele alınmaktadır.

Geri Kazanma fonksiyonu altında ise geri kazanma planlama, geri kazanma iyileştirme ve iletişim yer almaktadır. Geri kazanıma yönelik planlama, alınan dersler ile iyileşmenin sağlanması ve edinimlerin paylaşılmasına yönelik olarak iletişimin sağlanması kategorileri ele alınmaktadır.

Toplamda 98 adet kontrolün yer aldığı çerçevenin excel formatındaki listesine buradan ulaşabilirsiniz.

Bu liste içerisinde kategori bazında tanımlanmış kontrol listeleri ile çerçevenin detaylarına hakim olunması memkündür. Bir örnek vermek gerekirse tanımlama fonksiyonuna yönelik olarak varlık yönetimi kategorisine yönelik kontroller ile  kurum içerisinde kullanılan donanımsal ve yazılımsal varlıkların envanter kaydı şeklinde takip edilmesi, organizasyon içi iletişim ve data akışlarının dokümante edilmesi, lokasyon dışı sistemlerin kataloglanması, envanterlenen varlıkların kritiklik seviyelerine ve değerlerine göre önceliklendirilmesi, siber güvenliğe yönelik rol ve sorumlulukların belirlenmesi (hizmet alınan destek firmaları da dahil olmak üzere) gibi hususlar önerilmektedir.

Kurum içerisinde Siber Güvenliğe yönelik bir yaklaşım geliştirmek ve bütünün parçası olma noktasında hazır olmak isteyen kurumlara yön çizme noktasında faydalı olacağına inandığım bu çerçeve NİST tarafından tamamiyle ücretsiz ola

CISA artık Türkçe..

ISACA İstanbul tarafında CISA Sınavının Türkçeleştirilmesi amacıyla bir süredir çalışmalar devam ediyordu. Toplantılarda ve çalışmalarda gönüllerden geçen ve sınavın Türkçeleştirilmesine yönelik çalışmaların meyvesini aldığımıza yönelik maili bugün Kaya Hocam bizlerle paylaştı.

Hedef Haziran 2015 sınavından itibaren CISA sınavının Türkçe sunulması ve kamu kesimi başta olmak üzere sektörde anadilimizde de sertifikasyonun sağlanması. Malumunuz son dönemlerde BDDK, SPK, KGK bünyelerinde gerçekleştirilen çeşitli çalışmalar ve taslak tebliğler Bilgi Teknolojileri Denetimi'nin ve doğal olarak sertifikasyonun önemini günden güne artırmakta. Bilgi Teknolojileri fonksiyonlarına yönelik denetim ve yönetişim farkındalığı her geçen gün artmaktadır.

Elbette CISA'nın Türkçeleştirilmesi önemli aşamaların kat edilmesi ve ISACA International nazarında ülkemizin BT Denetim ve Yönetişim alanının gelişmekte olduğunu, kaliteli bir ivme ile gelişmeye devam edildiğinin anlatmak ve doğru temasların sağlanması ile oldu. Bu noktada ISACA'nın belirlediği bazı çalışmalar yetkililer ile paylaşıldı ve CISA Sınavının Türkçe sunulmasına yönelik gereken olurlar alındı.

Bu noktada sektörün anadilimizdeki sertifikasyon ile de gelişecek olmasını önemsiyor ve Türkçe olması münasebetiyle kamu kesimi tarafından da yüksek bir kabul ile karşılanacağını düşünüyorum.

Bu noktada başta CISA'nın Türkçeleştirilmesine yönelik dokümantasyonda önemli rolü olan sayın Kaya Kazmirci, Yekta Bahadıroğlu ve başkanımız Mustafa Gülmüş özelinde bütün ISACA Ailesine ve emeği geçen herkese teşekkür etmek isterim.

Sektörün gelişmesine yönelik önemli adımlar atıldıkça içerisinde olmanın ayrı bir keyif olduğunu belirtmek istiyorum.

ISACA İstanbul komitelerinde çeşitli görevlerde yer alarak sizler de bu keyfi yakinen yaşamak isterseniz ISACA İstanbul'un kapıları sizlere sonuna kadar açık olacaktır.

Oracle Veritabanı Denetim Rehberi II

Önceki yazımda Oracle ürüne yönelik denetim esnasında denetçiler açısından üzerinde durulan ve ağırlıkla teknik konuları içeren başlıkları sıralamış ve bu başlıklardan erişim ve yetkilendirme üzerinde detayı ile durmuştum.

Anımsamak adına başlıkları tekrar sıralamak gerekirse;

1.       Erişim ve Yetkilendirme

2.       Güvenlik Süreçleri ve İzleme

3.       Yedekleme ve Yedekten Dönme

4.       Şifreleme

5.       Güvenilir İlişkiler (Trusted Relationships)

6.       Ağ Güvenliği

Bu yazı kapsamında güvenlik süreçleri ve izleme ile yedekleme ve yedekten dönme faaliyetleri detaylandırılarak, Oracle Veritabanı Denetim Rehberi isimli blog serisine devam edilecektir.

Yazılar oluşturulurken ISACA’nın Security, Audit and Control Features Oracle Database, 3rd Edition (Dec 2009) isimli rehberinden faydalanılmıştır.

Güvenlik Süreçleri ve İzleme:

Veritabanı üzerinde tanımlı olan kullanıcılar iş sorumlulukları ile uyumlu olacak şekilde ve ihtiyaçları kadar bilgiye ulaşabilecek şekilde yetkilendirilmelidirler.

Genel ve özel amaçlı kullanıcılar için yeterli erişim haklarının verilmesi ve alınmasına yönelik süreçlerin tasarlandığından emin olunmalıdır.

1)   Kullanıcılara veritabanına erişim yetkisinin verilmesi ve yetkinin alınması sürecini inceleyebilirsiniz. İlk kullanıcının tanımlanması ve işten ayrılan kullanıcıların yetkilerinin alınması sistematik bir şekilde işletilmelidir.

2)   Aşağıdaki komutu alarak veritabanında tanımlı kullanıcı listesini edinebilirsiniz:

a.    SELECT * FROM DBA_USERS;

3)   Aşağıdaki komut yardımı ile sistemde tanımlı olan rollerin listesini edinebilirsiniz, rollerin uygulama seviyesinde tanımlanan güvenlik seviyelerine ya da iş süreç sahipleri tarafından tanımlanan Görevler Ayrılığı ihtiyaçlarına uygun tasarlanması durumunu irdeleyebilirsiniz;

a.    SELECT * FROM DBA_ROLES;

4)   Veritabanında yer alan kullanıcıların atanmış rolleri ile birlikte listesini aşağıdaki komutu çalıştırarak edinebilirsiniz;

a.    SELECT * FROM USER_ROLE_PRIVS;

5)   Belirlediğiniz bir örneklem üzerinde denetim dönemi içerisinde tanımlanan kullanıcıların ve/veya hali hazırda sistemde tanımlı olan kullanıcıların rollerinin ilgili iş/sistem sahibi tarafından onaylanma ve tanımlanan rollerin iş sorumlulukları ile uyumlu olması durumunun inceleyebilirsiniz.

6)   Kullanıcılara atanmış olan roller ile kabul edilmiş rol taleplerini karşılaştırıp, rollerin düzenli atanma durumunu inceleyebilirisiniz.

7)   DBA_SYS_PRIVS, ROLE_PRIVS, ROLE_ROLE_PRIVS ve ROLE_TAB_PRIVS viewlarını görüntüleyerek, rollerin ve ayrıcalıkların (privs) kullanıcılara grup halinde atandığından emin olabilirsiniz. Burada atamaların iş gereksinimleri ile uyumlu olması önemlidir. Yönetsel bağlamda önerilen ayrıcalıkların roller üzerinden atanmasıdır. Kullanıcılara direkt olarak atanan ayrıcalıklara biraz daha dikkat etmeniz gerekebilir.

8)   Denetim dönemi içerisinde işten ayrılan personelin listesini İnsan Kaynaklarınden edinip, veritabanı üzerinde silinen ya da pasif hale getirilen kullanıcıların listesi ile karşılaştırıp, gerektiği zamanlarda hesapların kullanılamayacak duruma getirildiğinden emin olabilirsiniz.

9)   Aşağıdaki komut yardımı ile kullanıcıların DBA_SOURCE view’ı üzerinde erişim yetkilerinin olmadığını doğrulayabilirsiniz. dba_source subprogramların yani paket, procedure, fonksiyon, trigger gibi objelerin scriptlerinin tutulduğu data dictionary viewıdır. Yönetsel durumlar haricinde kullanıcılar tarafından görülmesi önerilen bir view olmadığını söyleyebilirim.

a.    SELECT * FROM DBA_TAB_PRIVS WHERE TABLE_NAME = 'ALL_SOURCE';

10)INSERT, UPDATE ve DELETE ayrıcalığına sahip rolleri ve kullanıcıları kontrol edebilirsiniz. Bu ayrıcalıkların ilgili rol ve/veya kişilere verilmesine yönelik olarak iş ihtiyaçlarını değerlendirebilirsiniz.

11)DBA gibi yüksek yetkili kullanıcı rollerine sahip kullanıcı hesaplarını belirleyip, iş ihtiyaçları ile değerlendirmesini yapabilirsiniz.

12)Rollerin WITH ADMIN OPTION opsiyonu ile sadece iş gereksinimleri açısından çok gerekli olduğu durumlar için oluşturulduğundan emin olabilirsiniz. Bunun için aşağıdaki komutu çalıştırıp, WITH ADMIN option ile oluşturulduğunu gözlemleyebilirsiniz. WITH ADMIN opsiyonu ile bojelere yönelik değil, sisteme yönelik ayrıcalıklar tanımlanabilmektedir. (CREATE TABLE,CREATE INDEX,CREATE SESSION)

a.    SELECT * FROM DBA_ROLE_PRIVS WHERE ADMIN_OPTION = 'YES';

13)PUBLIC hesaba herhangi bir ayrıcalık tanımlanıp, tanımlanmadığını aşağıdaki komutlar yardımı ile inceleyebilirsiniz;

a.    SELECT OWNER, TABLE_NAME, GRANTOR, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'PUBLIC' AND GRANTOR <> 'SYS' AND GRANTOR <> 'SYSTEM';

b.    SELECT GRANTED_ROLE FROM DBA_ROLE_PRIVS WHERE GRANTEE = 'PUBLIC';

14)Kullanıcılara ve rollere atanan ayrıcalıkları gözden geçirebilirsiniz. DBA ile gruba değil de direkt kullanıcılara atanan ayrıcalıkları tartışabilirsiniz.

a.    SELECT * FROM DBA_TAB_PRIVS;

b.    SELECT * FROM DBA_SYS_PRIVS;

15)SYS ve SYSTEM’in SYSTEM tablosunde yer alan bütün objelere sahip olması durumundan emin olabilirsiniz.

16)Data Dictionary’e erişime yönelik güvenlik önlemlerini gözden geçirebilirsiniz. Aşağıdaki sorgu ile O7_DICTIONARY_ACCESSIBILITY ayarını inceleyebilirsiniz.

a.    SELECT NAME, VALUE FROM V$PARAMETER WHERE NAME = 'O7_DICTIONARY_ACCESSIBILITY';

Eğer ki bu değer TRUE olarak set edilmiş ise SELECT ANY TABLE ayrıcalığına sahip kullanıcıları gözden geçiriniz. Çünkü bu tabloda yer alan bütün kullanıcılar Data Dictionary’de yer alan bütün bilgiyi görebilmektedirler. “Sistem kataloğu (system catalogue)” olarakta bilinen “Data Dictionary” ,veritabanında tutulan her türlü objenin metadata’sının (veri hakkında verinin) tutuldugu yerdir. Aynı zamanda DBMS hakkında bilgilerde burada tutulmaktadır. Peki bu metadata(veri hakkında veri) ile kastedilen nedir? Bir tablomuz olduğunu düşünerek özetlemek gerekirse bir tablonun “data dictionary” de tutulan metadata’sı içerisinde adı, ne zaman oluşturulduğu, en son ne zaman ulaşıldığı, sahibi, izin bilgileri, datanın tutulduğu yer hakkında fiziksel bilgiler gibi bilgiler tutulmaktadır.

17)GRANT opsiyonu ile atanan bütün ayrıcalıkları aşağıdaki sorguyu çalıştırarak inceleyebilir, DBA ile gerekliliğini tartışabilirsiniz. GRANT opsiyonu ile obje ayrıcalıkları tanımlanabilmektedir ve yetkiyi sadece imtiyaz sahibi kişi iptal edebilmektedir. Yetki tanımlama Cascade (kademeli) bir yapıya sahiptir demek doğru olacaktır.

a.    SELECT * FROM DBA_TAB_PRIVS WHERE GRANTABLE = 'YES'

Yedekleme ve Yedekten Dönme: Denetim kapsamında periyodik aralıklar ile test edilen bir yedekleme ve yedekten dönme stratejisinin varlığı irdelenir.

1)     Oracle Veritabanı Uygulamasının Servis Seviye Anlaşmasını edinebilirsiniz. (SLA) Veritabanı impelentasyon ve sistemlerin işletimi içerde bir ekip tarafından yönetiliyor ise Operasyonel Seviye Anlaşmasını edinebilirsiniz. (OLA)

2)     Servis seviye anlaşması içerisinde Oracle Veritabanı implamantasyonuna yönelik hükümlerin varlığı irdelenebilir.

3)     Oracle İş Sürekliliği Planı ya da veritabanını ilgilendiren geri dönüş tanımlarını içeren planı edinebilirsiniz.

4)     İş Sürekliliği Planının Oracle veritabanı ile alakalı yedekleme ve yedekten dönme süreçlerini içerme durumu irdelenebilir.

5)     DBA ile yedekleme ve yedekten dönme stratejisi görüşülebilir. DBA ile yaptığınız görüşmede stratejinin düzenli gözden geçirilme durumunu inceleyebilirsiniz. En son gerçekleştirilen testlerin dokümantasyonunu inceleyebilirsiniz.

6)     init<SID>.ora dosyasının bir kopyasını edinebilirsiniz.

7)     LOG_ARCHIVE_START parametresini gözden geçirebilirsiniz. “True” olarak set edilmiş ise ARCHOVELOG mode aktif edilmiştir. LOG_ARCHIVE_DEST ve LOG_ARCHIVE_FORMAT parametrelerini log dosyalarının yeri ve formatı hakkında bilgi edinmek için inceleyebilirisiniz.

8)     DBA ile düzenli arşivleme dosyalarının canlı olmayan medyaya (offline) yedeklenmesi üzerine prosedürü konuşabilirsiniz. Offline medyanın korunması ve saklanmasına (retentation) yönelik prosedürlerin varlığını sorgulayabilirsiniz.

Oracle Veritabanı Denetim Rehberi I

Oracle ürüne yönelik denetim esnasında denetçiler açısından üzerinde durulan ve ağırlıkla teknik konuları içeren başlıklar aşağıdaki gibidir:

1.       Erişim ve Yetkilendirme

2.       Güvenlik Süreçleri ve İzleme

3.       Yedekleme ve Yedekten Dönme

4.       Şifreleme

5.       Güvenilir İlişkiler (Trusted Relationships)

6.       Ağ Güvenliği

Bu yazı kapsamında veri tabanı erişim ve yetkilendirmeye yönelik başlıklar, öneri olabilecek kontroller incelenecek, sonraki yazılar ile ise diğer maddeler değerlendirilmeye devam edilecektir.

Yazılar oluşturulurken ISACA’nın Security, Audit and Control Features Oracle Database, 3rd Edition (Dec 2009) isimli rehberinden faydalanılmıştır.

Türkçe bir kaynak olması ve faydalı olacağı düşüncesi ile İç Denetim Koordinasyon Kurulu tarafından hazırlanan ve Oracle Veritabanı denetimini 3 temel başlık altında inceleyen Kamu Bilgi Teknolojileri Rehberi ayrıca önerilmektedir. Rehber Oracle Veritabanı denetimini aşağıdaki başlıklarda detayı ile incelemektedir.

1.       Kullanıcı Hesap Yönetimi ve Parolalar

2.       Kritik Dosyalara Erişim

3.      Parola ve Güvenlik Parametreleri

Rehbere http://www.idkk.gov.tr/Sayfalar/HaberDetay.aspx?rid=61&lst=MansetListesi adresinden erişim sağlayabilirsiniz. 

Erişim ve Yetkilendirme: Hesaplara ve şifrelere yönelik uygun kontrollerin tasarlanması, işletilmesi, kontrollerin sürekli iyileştirilmesi, kontrollerin başarımının periyodik olarak izlenmesi önemlidir. Sistemde yer alan bütün kullanıcıların(iç, dış ve geçici kullanıcılar) ve kullanıcı hareketlerinin özgün olarak tanımlanabiliyor olması gerekmektedir.

1) DBA’lerin veri tabanına nasıl erişim sağladıkları önemli bir husustur. DBA’ler tarafından CONNECT INTERNAL opsiyonunun kullanılmadığından emin olunmalıdır. Çünkü Internal olarak gerçekleştirilen bağlantı ile sistemde en  yetkili kullanıcı olan SYS olarak tanınılmaktadır ve Internal bağlanma veri tabanının açılıp, kapatılması amacıyla tasarlanmış bağlantı opsiyonudur. Bunun yanı sıra her DBA’in kendine ait hesap ile sisteme log on olduğundan ve veri tabanını yönettiğinden emin olunmalıdır. Ortak hesaplar ile yapılan yönetimler her hangi bir inceleme ya da araştırma faaliyeti esnasında inkar edilebilirlik açısından problem yaratmaktadır.

2)Aşağıdaki komut yardımı ile sistem kullanıcılarının listesini alıp, listede DBA’lerin ayrı hesaplara sahip olma durumunu kontrol edebilirsiniz.

Select * FROM DBA_USERS;

3) Default Profile için gerçekleştirilmiş ayarları aşağıdaki komut ile alıp, inceleyebilirsiniz.

SELECT * FROM DBA_PROFILES;

4) Kullanıcı listesinde generik ve ortak kullanıma konu olabilecek kullanıcıları tespit edebilirsiniz. Uygulamalar tarafından kullanıcıları tespit edip, sadece uygulama tarafından kullanıldığının nasıl sağlandığını dinleyebilirsiniz.

5) Hesaplara atanmış olan profilleri inceleyip, uygun olmayan profil-kullanıcı atamalarını tespit edebilirsiniz.

6) DBA’ler tarafından sisteme kayıt edilen kullanıcıların ilk şifrelerinin nasıl dağıtıldığını dinleyebilir, belirlenmiş ortak şifrenin ya da kolay tahmin edilebilir bir şifrenin ilk dağıtımda kullanılmadığından emin olabilirsiniz.

7) Şifre değiştirme frekansı, şifre uzunluğu, eski şifrenin kullanımı gibi şifre yönetimine yönelik özelliklerin kullanıcılara sağlanan bilginin hassasiyetine göre politikalar ile belirlendiğinden emin olabilirsiniz. Kullanıcı profillerine göre farklı tanımlamalar yapılabilir. (Kullanıcı, yönetici, teknik personel, sistem yöneticisi gibi)

8) Aşağıda sıralanan şifre kontrolleri ve kaynak limitlerinin tahsisine yönelik olarak profil ayarlarını inceleyebilirsiniz.

· COMPOSITE_LIMIT

· SESSIONS_PER_USER

· CPU_PER_SESSION

· CPU_PER_CALL

· LOGICAL_READS_PER_SESSION

· LOGICAL_READS_PER_CALL

· IDLE_TIME

· PRIVATE_SGA

· CONNECT_TIME

· FAILED_LOGIN_ATTEMPTS

· PASSWORD_LIFE_TIME

· PASSWORD_REUSE_TIME

· PASSWORD_REUSE_MAX

· PASSWORD_VERIFY_FUNCTION

· PASSWORD_LOCK_TIME

· PASSWORD_GRACE_TIME

 9) DBA ve Güvenlik Yöneticisi ile acil durumlar için veritabanına erişime yönelik süreci konuşup, acil durumlar için erişime yönelik prosedürlerin tasarlandığından, vuku bulan acil erişimlerin dokümante edilmesine ve gerekli erişim sağlandıktan sonra erişimin yok edilmesine yönelik süreçlerin tasarlanmasından emin olabilirsiniz.

10) init<SID>.ora içerisinde REMOTE_OS_AUTHENT parametresini kontrol edip, OS Security’nin kullanılır olduğundan emin olabilirsiniz. REMOTE_OS_AUTHENT “false” olarak ayarlandığından emin olabilirsiniz. Bu parametre FALSE ise uzaktan password file dosyası olmadan sysdba ile bağlanamazsın anlamına gelmektedir. Parametre “true” ayarlandıysa buna olan ihtiyacı değerlendirmelisiniz.

11) Eğer OS Authentication kullanılıyor ise init<SID>.ora içerisindeki OS_AUTHENT_PREFIX parametresini kontrol etmelisiniz. Aşağıdaki komutu kullanarak password file dosyası ile bağlanma yetkisine sahip olan kullanıcıları listeleyebilirsiniz. Listeledikten sonra DBA ile bu şekilde erişime ihtiyaç duyulmasının nedenini tartışabilir, ihtiyaç ve riskliliğe göre değerlendirme yapabilirsiniz.

SELECT * FROM V$PWFILE_USERS;

12) Hizmet tedarik edilen firmalar, danışmanlar gibi dış paydaşlara yönelik erişim sağlanması ve erişim yetkilerinin sonlandırılmasına yönelik prosedür ve işleyişleri tartışabilir. Erişim sağlanmasının sadece iş ihtiyacı için gerektiği kadar, iş sorumluluklarına uygun verilmesi ve uygun zaman içerisinde yok edilmesine yönelik işleyişi değerlendirebilirsiniz.

Sonraki yazılarımda diğer alt başlıklara değiniyor olacağım. Faydalı olması dileğiyle.

Siber Güvenlik alanında yeni bir soluk; karşınızda ISACA tarafından sunulan Cybersecurity Nexus

Cybersecurity Nexus, ISACA tarafından hazırlanan yeni bir güvenlik bilgi (knowledge) paylaşım platformu ve bilgi güvenliğine yönelik profesyonel bir programdır.

CSX profesyoneller için sunduğu eğitim ve sertifika programları gibi çeşitli materyaller ile bilgi güvenliğinin geleceğinin şekillenmesine yardımcı olmaktadır. ISACA’nın global düzeyde kabul edilmiş uzmanlığı ile CSX siber güvenlik profesyonellerine organizasyonlarını ve organizasyon varlıklarını daha güvenli tutabilmeleri için imkan sunmaktadır.

CSX ile liderler ve siber güvenlik uzmanları doğası gereği son derece hızlı değişen bilgi güvenliği sektöründe bilgiye, araçlara, rehberlere ve bağlantılara rahatlıkla erişim sağlayabileceklerdir.

Cybersecurity Nexus’a yönelik bazı sorular ve cevapları aşağıda bulabilirsiniz;

1.     ISACA tarafından siber güvenliğe ilişkin yapılan tanım nasıldır?

Siber güvenlik, günümüz koşullarında sürekli iletişim halinde olan bilgi sistemleri tarafından işlenen, saklanan ve iletilen bilgi varlıklarını bu varlıklara yönelik tehditleri adresleyerek korumaya ilişkin bir kavramdır.

2.     Cybersecurity Nexus nedir?

Cybersecurity Nexus, siber güvenlik profesyonelleri için kariyerlerinin her seviyesinde siber güvenlik kaynakları sağlayan, ISACA tarafından geliştirilmiş bir programdır. Programın Cybersecurity Nexus olarak anılmasının sebebi bilgi güvenliği profesyonellerinin eğitim, sertifikasyon, rehberlik, kariyer geliştirme ve topluluk olarak ihtiyaç duyacağı bilgilere merkezi bir alandan sunuluyor olmasıdır.

3.     ISACA Cybersecurity Nexus’u neden oluşturdu?

Dünya genelinde bilgi güvenliği alanında beceri seviyesi yüksek profesyonel anlamında sıkıntı yaşanmaktadır. The Enterprise Strategy Group tarafından yapılan bir araştırmaya göre kurumların yüzde 83’ü bilgi varlıklarının tam olarak korunmasına yönelik yeterli beceri seviyesine sahip profesyonel çalışana sahip olmadıklarını tespit etmiştir. ISACA Cybersecurity Nexus aracılığı ile gereksinim duyulan beceri krizine yönelik denetim, kontrol ve yönetişim alanında 45 yıldan fazla süredir edindiği tecrübe ile çözüm sunmaktadır.  

4.     Cybersecurity Necus kaynaklarına nasıl erişim sağlayabilirim?

http://www.isaca.org/cyber ziyaret edebilirsiniz.

5.     Cybersecurity Nexustan faydalanmak için maliyet nedir?

Yeni sertifikalar, konferanslara kayıt ve basılı yayınlar gibi unsurlar için belirli bedeller olmakla birlikte bir çok ISACA siber güvenlik kaynağı, Knowledge Center’da yer alan Siber güvenlik topluluğunda yer alanlar da dahil olmak üzere bilgi güvenliği ile alakalı makaleler ve seminerler ücretsiz olarak sunulmaktadır.

6.     Cybersecurity Nexus kaynaklarına erişim sağlayabilmek için ISACA üyesi olmak gerekli midir?

Hayır. Bunun yanında ISACA üyeleri sertifikalar, sertifikasyon, çalıştay, eğitim ve konferanslara kayıt ve basılı yayınlarda indirimlerden faydalanabilmektedirler.

7.     Cybersucirty Fundamentals Certificate nedir?

Cybersucirty Fundamentals Certificate kariyerini siber güvenlik üzerine kurmak isteyen yeni mezunlara yönelik bilgiye dayalı tasarlanmış bir sertifikadır. Sertifikayı elde etmek için adayların sınavı geçmeleri gerekmektedir. İlk sınav Eylül 2014 içerisinde Barselona’da yapılacak olan EuroCACS/ISRM konferansında gerçekleştirilecektir. Daha sonrasında ise online sınav yapılabilecektir. Sertifika National Institute of Standards and Technology (NIST) National Institute of Cybersecurity Education (NICE) and with the Skills Framework for the Information Age (SFIA) ile uyumlu olarak tasarlanmıştır. Sınavda dört alana yönelik sorular olacaktır; 1)sibergüvenlik mimarisi ilkeleri, 2)Networkler, sistemler, uygulamalar ve veriye yönelik sibergüvenlik, 3)Güvenlik Olaylarına müdahale, 4)Gelişen teknolojileri siber güvenliğe yönelik kullanma

8.     ISACA Cybersecurity Nexus programı ile yeni bir siber güvenlik sertifikası mı oluşturmaktadır?

Evet. ISACA hali hazırda güvenlik yönetimine yönelik CISM sertifikası sunmaktadır. Geliştirilmekte olan yeni sertifika uygulayıcı düzeyinde sunulacaktır. İlk sınav Haziran 2015’de yapılacaktır.

9.     ISACA üzerinden hangi siber güvenlik eğitimleri sunulmaktadır?

ISACA, 2014 yılı için EuroCACS/ISRM ve Güney America CACS çalıştaylarını sunmaktadır. Daha fazlası ise geliştirilmektedir.

10.   Siber güvenlik için hiç COBIT ile alakalı kaynak mevcut mudur?

Evet. “Transforming Cybersecurity Using COBIT 5” isimli rehber, COBIT 5 çerçevesi ve bileşenleri siber güvenliğe yönelik faaliyetleri sistematik olarak ele alınmasına yönelik yönlendirmeyi içermektedir.

Daha detaylı sorularınız olursa cevaplar için news@isaca.org mail adresini kullanabilirsiniz.