Bilişim Güvenliği ile ilgili temel kontrol listesi örneği

Geneli itibari ile Bilişim Güvenliği ile ilgili bir kontrol listesi yer alıyor aşağıda. Kendi kontrol listesini oluşturmak isteyen profesyoneller için genel hatları ile fikir verebileceğini düşündüğüm ve geliştirilebilir yanları olduğunu düşündüğüm liste aşağıdaki gibidir;

1- Güvenli bir altyapı

1.1 Veri Merkezleri

• Güvenli erişim (access)
• Güvenli Üçüncü Parti Yönetimi
• Giriş Logları, video kayıtları ve giriş saatleri de dahil olmak üzere
• Redundancy
• Doğal afetlerden kaçınma (deprem bölgelerine göre konum tercihi, fırtına güzergahlarında yer alma ya da sele maruz kalabilecek havzalarda yer alma)

1.2 Network - Ağ

• Güçlü bir çevresel kontrol
•  Firewall
•  Demilitarized zone (DMZ)
• Yetkinlendirilmemiş erişimi önlemek için Network Access Control (NAC) mekanizmasını zorlayın.( www.cisco.com/en/US/netsol/ns466/networking_solutions_package.html) 
• Network altyapısının güvenliğine yönelik kontroller
• Yönetilen Switch ve Routerlar
• Sadece yetkinlendirilmiş personellerin erişim sağlayabildiğinden emin olun.

1.3 Sunucular ve Domain

• Dual-factor authentication (Çift Faktörlü Kimlik Doğrulama) 
• Yanlış uyarıları azaltmak
• IT için olan response time artırılmalı
• Doğru konfigürasyondan emin ol
• Değişiklik Yönetimi

1.4 Veritabanları ve Uygulamalar

• Erişim haklarını gerektiği kadarı ile sınırlayın
• Operasyon ile geliştirmeyi ayırın.
• Geliştiricilerin canlı ortama erişimini ve canlı ortamda değişiklik yapmasını tamamen engelleyin

1.5 Bilgisayarlar

• Gerekmesi durumunda kilitleyin
• Öncesinde white list içerisinde tanımladığınız uygulamaların çalışmasına izin verin
• Whitelist haricinde bir uygulamanın yüklenemediği ve çalıştıırılamadığından emin olun. (Kullanıcılarda local admin yetkisi olmamalı.)
• • Antivirüs ve zararlı yazılım(malware) tarama yazılımları kullanın.

1.6 Güvenilir Taşınabilir Cihazlar (Telefon, Tablet gibi)

• Mümkünse kurum varlıklarından farklı bir ağ üzerinde yer almalarını sağlayın.
• Gerçekten gerekmedikçe kurumsal uygulamalara erişimlerine izin vermeyin, erişim gerçekleştiren cihaz sayısını gerekse bile minimumda tutmaya özen gösterin.

2- Altyapının Yönetilmesi

2.1 Planlama

• Değerlerine göre varlıkları önceliklendiriniz (En değerli varlığı öncelikli korumalısınız.)
• Felaket kurtarma
• İş Sürekliliği Planlama (BCP)

2.2 İzleme

• Penetrasyon testleri (Alanında uzman, dış firmalar tarafından yapılması en iyi yoludur)
• İzinsiz Giriş Tespit (Intrusion detection)
• Özel yetenek ve bilgi gerektiren güvenlik fonksiyonları için hizmet alımı gerçekleştirebilirsiniz. Bünyenizde bu tarz yapıları kurmak maliyetli olabilir.