CISA sınavı Türkçe sunulacak ama??

Öncesinde gerek ISACA İstanbul mail listelerinde, gerek sosyal medya araçları üzerinden CISA sınavlarının Haziran 2015'ten itibaren Türkçe olacağı duyurulmuştu. Bu noktada aldığım maillerde sorulan sorulardan fikir sahibi olduğum genel kaygılar üzerine sınavın Türkçe uygulanması noktasında bazı hususlara açıklık getirmeyi bu yazı vasıtasıyla isterim.

Öncelikle sınavın Türkçe sunulması noktasında ISACA İstanbul tarafında yaşanan süreci paylaşmanın yerinde olacağı kanısındayım. ISACA İstanbul tarafında sınavın Türkçe sunulması kararının ISACA tarafından alınması noktasında ciddi emekler sarfedildiğini söylemek doğru olacaktır. Gerek ISACA İstanbul yönetim temsilcileri tarafından yapılan görüşmeler, gerek sınavın Türkçe olarak sunulması dahilinde kabul görmesi noktasında ISACA'ya bir perspektif sunmak adına gerçekleştirilen başarılı sunumlar neticesinde CISA'nın Türkiyedeki sektörel gelişmeler göz önünde bulundurularak Türkçe dil seçeneği ile sunulmasının yerinde olacağı kararı çıkmıştır. Bu aşamadan sonra Haziran 2015 sınavının Türkçe dil seçeneği ile sunulmasına yönelik olarak hazırlıklar ISACA tarafından yürütülmüştür.

Peki ya sınavı Türkçe olarak almak adaylar için avantaj mıdır, yoksa dezavantaj mıdır sorusunu masaya yatırmak gerekebilir. Tabii öncesinde bir kaç hususu paylaştıktan sonra.

Öncelikle sınav tamamiyle Türkçe olarak sunulmayacak, Türkçe dil seçeneği ile sunulacaktır. Yani katılımcıların sınava kayıt olurken seçtikleri dil opsiyonları arasında Türkçe dil seçeneği de yer alacaktır. Türkçe dil seçeneğini tercih edenler sınavı tamamiyle Türkçe göreceklerdir.  Soruların İngilizce versiyonları Türkçe dil seçeneğini seçen CISA adayları tarafından görülmeyecektir. Bu noktada sınav sorularının Türkçeye çeviri kalitesi ile ilgili kaygılar oluşabilir. Bu kaygıların yersiz olduğunu sürece baştan sona hakim birisi olarak gönül rahatlığı ile söyleyebilirim.

Süreçten biraz bahsetmek gerekirse;

Birinci aşamada ISACA web sitesi üzerinde sunulan CISA sözlüğünde yer alan terimlerin Türkçe karşılıklarını içeren CISA Türkçe Terminoloji Listesi; öncelikle ISACA İstanbul Çeviri Komitesi tarafından yürütülen COBIT 5 rehberleri çeviri çalışmaları esnasında oluşturulan sözlük içeriğinden, sözlük içeriğinde mevcut değilse alanında uzman kişiler tarafından belirlenmiş, oluşan liste ISACA İstanbul ve ISACA Ankara Chapterlar'da görevli, gönüllü ve BT denetim, yönetişim ve uyum konularında çalışan uzmanlar tarafından ayrıca gözden geçirilmesi suretiyle oluşturulmuştur. Oluşturulan CISA Terminoloji listesi Türkçe çeviride kullanılmak üzere ISACA yetkilileri ile paylaşılmıştır.

Sonrasında sınav içerikleri ISACA tarafından belirlenen, İngilizce-Türkçe hakimiyeti yüksek profesyoneller tarafından CISA Terminoloji Listesi de kullanılarak Türkçeye çevirilmiştir. Çeviri işleminden sonra ise alanında uzman IT denetçileri tarafından sınav içeriği sınav alınıyormuşcasına tekrar gözden geçirilmiş, açıklık kazandırılmasının uygun düşünüldüğü noktalarda terimlerin ve tamlamaların İngilizcesi de ayrıca paylaşılmıştır. Sınav içeriğinde dilimize oturmuş Türkçe karşılığı olsa dahi açıklık sağlamak adına terimlerin İngilizce karşılıkları da paylaşılmıştır. (Merak etmeyin, kimse firewall için ateş duvarı gibi bir çeviri ile karşılaşmayacak.) Burada amaç İngilizce kaynaklardan çalışan adayların zorluk çekmelerini ve ikilemde kalmalarını engellemektir. Sınavı alacak adaylar sınavın Türkçe çevirisi arkasındaki hassasiyeti eminim fark edeceklerdir.

Sınava Türkçe kaynaklardan hazırlanmak isteyebilecek adaylar için sınava hazırlık sürecinin temel kaynağı olan CISA Review Manual'ın Türkçeye çevirilmesi çalışmaları devam etmektedir. Şu aşamada söyleyebileceğim İngilizce CISA Review Manual ile hazırlansa dahi bir adayın yabancılık çekmeden Türkçe sınav içeriği ile de rahatlıkla başarıya ulaşabileceğidir.

CISA sınavında başarıya ulaşmanın önemli bir yolu olarak da ISACA İstanbul tarafından, Lostar Bilgi Güvenliği işbirliğiyle organize edilen, sektörün duayenleri Kaya Kazmirci ve Murat Lostar tarafından verilen CISA Hızlandırma Kurslarını önerebilirim. Bu sene Haziran ayı sınavı için olan 25 Mayıs haftası yapılacak. Detaylı bilgileri  esra.gokalan@lostar.com.tr adresinden Esra Hanımdan alabilirsiniz. ISACA İstanbul web sitesinden de Eğitim sayfasında da bulabilirsiniz.

Bilgi Teknolojileri Yönetişim ve Denetim alanında gerek kamu, gerek özel sektör tarafındaki gelişmelere baktığımız zaman CISA sertifikasına sahip olmanın profesyoneller açısından farklılık yaratacağı açıktır. Taslak ve yürürlüğe girme arefesinde olan tebliğlerde CISA belgesine sahip denetçilerin çalışma gerçekleştirmelerinin direkt refere edilmesi, büyük holding ve çeşitli sektörlerdeki kuruluşlarda BT denetim fonksiyonuna verilen önemin ivmelenerek artması bahsi geçen sertifikanın önemini daha da artırmaktadır. Bu noktada kamu tarafında da yüksek derecede kabul gören CISA sertifikasının Türkçe dil seçeneği ile sunulmasının önemi bu alanda daha çok yetkin ve yeterli personele ihtiyaç olacağı düşüncesiyle ortadadır.

Konuya ilişkin sormak istedikleriniz için bana hayrican.duygun@isaca-istanbul.org adresinden ulaşabilirsiniz. Gelecek sorular ile birlikte yazının içeriğini de birlikte zenginleştirebiliriz diye düşünüyorum.

Öncesinden CISA'yı aldıktan sonra kaleme aldığım tecrübeleri ve hazırlanma ile ilgili tüyoları içeren blog yazıma buradan ulaşabilirsiniz.

ISACA İstanbulda gönüllü olarak çalışın ve sektördeki diğer profesyoneller ile tanışın.

ISACA aşağıdaki linkteki haber ile Bilgi Teknolojileri Yönetişim, Denetim, Risk ve Uyum alanında faaliyet gösteren profesyonelleri kendilerine en yakın ISACA Chapter'ında gönüllü olarak çalışmaya davet ediyor. http://www.isaca.org/About-ISACA/Volunteering/Pages/Local-Chapter.aspx
Ben de bu yazı vasıtasıyla bire bir olmasa bile yazı içeriğindeki genel fikri Türkçe olarak paylaşmaya çalışacağım.

ISACA'da gönüllü olarak görev almak hem kişisel olarak kendinize hem de kariyerinize yatırım olarak değerlendirilmektedir. Bilgi ve yeteneklerinizi yerel ISACA Chapterınız aracılığı ile paylaşmak tecrübenizi artırmanın yanısıra liderlik yeteneklerinizi de geliştirecektir.

Bir ISACA üyesi olarak ortak hedefler ve ortak konulara ilgi duyan bir topluluğun üyesi olmanın yanı sıra ISACA yerel chapterlarında gönüllü katılım sağlayarak kişisel network anlamında çok değerli ilişkiler geliştirebilme, bildiklerinizi paylaşabilme ve iş hayatınız ile ilgili yeni fırsatlar yaratabilme olanağına sahip olabilirsiniz.

Dünyanın dört bir yanında 200'den fazla ISACA Chapterı gönüllülük esası ile paylaşmanın zenginliğini sunmaktadır. Yukarıdaki linkte yer alan yazı ile de ISACA üyelerini yerel chapterda gönüllü çalışmaya davet etmektedir.

Gönüllülük anlamında bir seferlik alınabilecek görevlerin yanısıra çalışma gruplarına aktif katılım, organizasyonlarda görev almaktan ISACA'nın Uluslararası Komitelerinde görev almaya kadar geniş bir gönüllük yelpazesi mevcuttur. Gönüllülük anlamında rollerin yerel chapterlara göre değişkenlik göstermesi sebebiyle gönüllülüğün ilk adımı olarak yerel chapter ile irtibat kurulması önerilmektedir.

ISACA İstanbul tarafından gerçekleştirilenleri takip etmek isterseniz ve hatta gerçekleştirilen faaliyetler içerisinde daha aktif görev almayı isterseniz http://www.isaca-istanbul.org/tr/ adresinde yer alan iletişim bilgilerinden Chapterda görev alan gönüllüler ile iletişim kurabilirsiniz.

ISACA İstanbul komiteleri http://www.isaca-istanbul.org/tr/committees adresinde yer almaktadır. Bu çalışma gruplarındaki ilgili gönüllülere gerek Linkedin, gerek ise Chapter üzerinden ulaşabilirsiniz.

Peki ISACA İstanbul tarafından neler gerçekleştirilmektedir?

• ISACA İstanbul, ISACA tarafından sağlanan CISA, CISM gibi sertifikasyonlar sürecinde yönlendirici rol oynamakta, sunulan hazırlık kursları ile yeteneklerini belgelemek isteyen profesyonellere katkı sağlamaktadır.  
• Çeviri komitesi çalışmaları aracılığı ile COBIT belgeleri Türkçeye kazandırılmakta, komite çalışmalarına katılım sağlayan gönüllülerle birlikte sektöre anadilimizde kaynak kazandırmanın keyfi paylaşılmaktadır.
• Aylık gerçekleştirilen söyleşiler ile üyeler bir araya getirilmekte, aynı sektörde yer alan profesyonellerin benzeri konulara yönelik bakış açısı ve tecrübelerini paylaşma imkanları sunulmaktadır.
• Gerçekleştirilen günlük eğitim etkinlikleri ile üyelerin ve gönüllülerin daha teknik konularda becerilerini geliştirmeleri konusunda olanaklar sunulmaktadır.
• Yıllık gerçekleştirilen Bilgi Teknolojileri Yönetişim ve Denetim Konferansları sağlanan geniş katılım ile çeşitli sektörlerden, çeşitli rollere sahip profesyoneller bir araya getirilmekte ve etkinliklerde sektöre ilişkin son gelişmeler, güncel konular ve yasal mevzuat ve uygulamalar anlamında yenilikler katılımcılar ile paylaşılmakta, hem ISACA üyeleri hem de kamu kesimi temsilcilerinin katılımı ile eşsiz bir network imkanı sunulmaktadır. Bu yıl 6.sı gerçekleştirilecek olan etkinlikle ilgili detay bilgileri www.btyd.org.tr adresinden edinebilirsiniz.
• Gerek ISACA tarafında, gerek Türkiyede yer alan kamu otoriteleri tarafındaki son gelişmeler, güncel mevzuat değişiklikleri üyeler ile paylaşılmakta, mevzuat değişiklikleri esnasında taslak çalışmalarına katkı sağlanmasına yönelik gerekli ilişkiler yönetilmektedir.
• Üyelerimizin rol aldığı kurumlarda insan kaynakları ihtiyaçlarına yönelik doğru ve yetkin insan kaynağı tedariğine yönelik olarak iş ilanları üyeler ile paylaşılmakta, üyelerimize yeni iş imkanları konusunda bilgilendirmeler yapılmaktadır.
• ISACA İstanbul CISA sertifikasyon sınavının Türkçe olarak gerçekleştirilmesine yönelik gerekli hazırlıkları gerçekleştirmiştir. Haziran ayından itibaren sınav Türkçe olarak sunulacaktır.

Sizler de çalışma gruplarında yer alarak bu faaliyetlerin içerisinde aktif olarak rol almanın keyfiniz yaşayabilirsiniz.

BT Denetim En İyi Uygulamalara Global Bir Bakış Araştırması

ISACA ve Protiviti tarafından yapılan BT Denetimi En İyi Uygulamalara Global Bir Bakış Araştırması Dünya genelinde BT Denetimi özelindeki iyi uygulamarı ortaya koyuyor ve bu alanda faaliyet gösteren bizlere kendi organizasyonlarımızda yürütülen faaliyetleri de değerlendirme imkanı sunuyor. Rapora aşağıdaki bağlantıdan erişebilirsiniz.

http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/a-global-look-at-it-audit-best-practices.aspx

Global düzeyde faaliyet gösteren multinational şirketlerden KOBİ'lere kadar geniş yelpazede yaklaşık 1300 şirketin BT Denetim fonksiyonlarının araştırıldığı araştırma demografik verileri aşağıdaki gibidir;

• BT Denetim Yöneticisi %31, denetçi %21
• Finansal hizmetler %29, Devlet/Eğitim/Kar amacı gütmeyen %16
• 1-5 milyar dolar aralığında gelire sahip firmalar %24
• Borsaya kote %38, özel %36, devlet %18, kar amacı gütmeyen %8
• Organizasyonların yönetim ofisleri lokasyonu Kuzey Amerika %48, Avrupa %26
• BT denetim yönetim ofisleri lokasyonu Kuzey Amerika %48, Avrupa %24

Araştırma kapsamında temelde 5 sonuca ulaşılıyor;

1. Siber güvenlik ve kişisel verilerin korunması temel endişeler. Bu iki alan BT yönetim tarafındaki gündemdeki konular ve BT denetim faaliyetlerini de etkileyeceği düşünülüyor. BT Denetim fonksiyonları planlamalarını yaparlarken kurum içerisinde bu iki alandaki faaliyetleri göz önünde bulundurabilirler sonucu buradan çıkarılabilir.
2. Şirketler BT denetim iş gücü ve kaynak konusunda zorlayıcı unsurlar ile karşı karşıya kalıyorlar. Bu çıkarımı dış kaynaklar özelinde de düşünebilirsiniz.
3. Denetim komiteleri, BT Denetim fonksiyonları ile daha etkileşimli hale geliyorlar. Eskiye göre daha fazla organizasyon BT denetim fonksiyonunda yönetici pozisyonlarını tanımlıyor. Son üç yılda Denetim komitesi toplantılarında BT Denetim fonksiyonlarının temsil edilmesi tamı tamına iki kat artmış olarak görünüyor.
4. BT denetim özelindeki risk değerlendirmeleri yeterli sıklıkta yapılmıyor. Teknoloji doğası gereği hızlı değişim ve dönüşüme maruz iken BT Denetim fonksiyonları tarafından yeterli sıklıkta BT risk değerlendirmesi yapılmıyor. Hatta araştırma sonuçlarına göre BT risk değerlendirmesi hiç gerçekleştirmemiş organizasyonlar mevcut. BT risk değerlendirmesini yapılmasının yanı sıra bu risklerin çeyrekler bazında gözden geçirilmesi ve güncellenmesi öneriliyor.
5. Organizasyonların büyük çoğunluğu BT denetim raporlarından elde edebileceği faydayı etmiyor. Bir çoğu ise BT Denetim ekibi çalışmalarını raporlama yapısına yeteri kadar adapte edemiyor.

Aynı araştırmada teknoloji tarafını zorlayıcı (challenging) trendler belirlenmiş. 2014 yılı için BT güvenlik ve kişisel verilerin korunması/siber güvenlik, kaynak-personel istihdamı - yetenekler konusunda yaşanan zorlayıcı unsurlar, yeni teknolojiler ve altyapı değişiklikleri, yasal gereksinimlere uyum, bütçeleme ve maliyetlerin kontolü ilk 5'te yer alıyor. Diğer hususları raporda detayları ile birlikte bulabilirsiniz.

Raporun içerisinde cevap bulabileceğiniz aşağıdaki sorular ise görsel materyaller ile beslenmiş şekilde rapordaki yerini alıyor.

• Organizasyon içerisinde tasarlanmış bir BT denetim ekibi yöneticisi var mı? (Evet %45)
• BT denetim ekibi yöneticisi kime raporlama yapıyor? (Avrupada %70 Denetim Üst Yöneticisine ki bu bizdeki denetim komitesine denk gelebilir.)
• BT denetimi ekip yöneticisi denetim komitesi toplantılarına düzenli katılım sağlıyor mu? (Evet %55)
• Organizasyon içerisinde BT denetim fonksiyonu nasıl konuşlandırılmış durumda?
• İç denetim içerisinde ve ayrı bir fonksiyon değil. BT denetçisi ayrımı yok.
• İç denetim içerisinde ve ayrı bir fonksiyon olarak
• Organizasyon içerisinde ayrıca bir denetim fonksiyonu olarak
• BT denetim fonksiyonu kurum içerisinde hiç yok. (100 Milyon dolardan az yıllık kazancı olan organizasyonlar için % 11; Avrupa'da %4)
• BT denetim yetkinliklerinin artırmak ve desteklemek için dış kaynak kullanılıyor mu? ( Avrupada %52)
• Dış destek alınan BT denetim kaynak zamanının toplam kaynak içerisindeki oranı nedir? (100 Milyon dolardan az yıllık kazancı olan organizasyonlar için %75'den fazla %8, hiç kullanmayan %11)
• Organizasyonların dış kaynak kullanımındaki temel nedeni nedir?
• İçeride gereken yeteneklerin geliştirilmesi zor. (Avrupa %21)
• Çeşitli kaynaklardan istifade edilmek istenmesi yaklaşımı (Avrupa %11)
• Kurum dışı farklı bakış açısının önemsenmesi (Avrupa %17)
• Kaynakların yetersizliği (Avrupa %24)
• Kurum içi kaynakların kurum dışı deneyimlerden de faydalanmasının düşünülmesi (Avrupa %28)
•   BT denetim raporları sayısının toplam raporlar içerisindeki oranı nedir? (Yüzde 20'den fazla %32, yüzde 5'den az %22)
• Organizasyonunuz BT denetim risk değerlendirmesi gerçekleştiriyor mu? ( Hayır Avrupa için %10)
• BT denetim risk değerlendirmesine aşağıdaki paydaşların katılım durumunun değerlendirilmesi
• Denetim komitesi
• BT icra yönetimi
• İş süreç yöneticileri
• BT organizasyon temsilcileri
• İç denetim/BT denetim
• Risk Yönetimi
• BT denetim risk değerlendirmesinin hangi sıklıkla güncellendiği? (Avrupa çeyrek %27, yarı yıldan az sıklık %73)
• BT denetin risk değerlendirmesinde hangi çerçeve kullanılmaktadır)
• COBIT
• COSO
• ISO
• SOGP
• Kurumunuzun kurumsal risk yönetim programı mevcut ise BT denetim risk çerçevesi ile ilişki var mıdır? (Avrupa evet %42)
• BT denetim fonksiyonunun alanına aşağıdakilerden hangisi girmektedir?
• BT süreçlerini denetlemek (güvenlik, kişisel verilerin korunması gibi süreçler)
• BT  genel kontrollerini değerlendirmek
• Uygulama bazında denetimler gerçekleştirmek
• BT altyapısına yönelik denetimler gerçekleştirmek
• BT uyumunu test etmek
• Sosyal medya denetimleri
• SOX'a yönelik denetimler
• Tedarik denetimleri
• Önemli BT projelerine BT denetimi hangi aşamada dahil olmaktadır?
• Planlama (%30)
• Tasarım
• Test
• Uygulama (Implemantasyon)
• Uygulama sonrası
• Dahil olmazlar (%9)
• BT denetim fonksiyonu güvence, uyum ve danışmanlık faaliyetlerinde zamanlarını hangi oranlarda harcarlar? ( Avrupa'da ağırlıklı güvence ile harcarlarken, danışmanlık ve uyuma harcanan mesai biraz daha az.)
• BT denetim fonksiyonu COBIT çerçevesine göre bir değişim ve değerlendirme yaşadı mı? 
• BT denetime yönelik teknik yetenekler doğrultusunda aşağıdaki başlıkların öneminin değerlendirilmesi (Yüksek önem seviyesi atfedenlerin oranlarına göre yüksekten düşüğe sıralanmıştır.)
• Kontrol analizi
• Risk Analizi
• Süreç değerlendirmesi
• BT ile aynı dili konuşabilme
• Veri analizi
• Muhasebe/denetim
• Proje Yönetimi
• Danışmanlık
• BT denetime yönelik iş ve insan ilişkilerine yönelik yetenekler doğrultusunda aşağıdaki başlıkların öneminin değerlendirilmesi (Yüksek önem seviyesi atfedenlerin oranlarına göre yüksekten düşüğe sıralanmıştır.)
• İlişki geliştirme
• Rapor yazımı
• Stratejik düşünebilme
• Ekip oluşturma ve yönetme
• Çatışma yönetimi
• Müzakere
• İş tarafları ile aynı dili konuşabilme
• Liderlik
• BT denetimi iç denetim biriminde görevli tam zamanlı çalışan profesyoneller tarafından mı gerçekleştiriliyor? (100 Milyon dolardan az yıllık kazancı olan organizasyonlar için evet % 64)
• BT denetim planına almak istenen ama kaynak yetersizliğinden denetim gerçekleştirilemeyen alanlar mevcut mudur? ( 100 Milyon dolardan az yıllık kazancı olan organizasyonlar için Evet %43)
• Organizasyonunuz CISA sertifikalı denetçiye ihtiyaç duyuyor mu? (Avrupa Evet %65)
• Organizasyonunuz içerisinde CISA sertifikalı ya da alma düşüncesinde denetçi oranı nedir? (Avrupa yüzde 75'den fazla %58)
• Organizasyonunuzda başka hangi sertifikalar yer almaktadır?
• CRISC (Avrupa %16)
• CISM (Avrupa %18)
• CIA (Avrupa %19)
• CGEIT (Avrupa %6)
• CISSP (Avrupa %15)

Yukarıda temel düzeyde kendi organizasyonunuz açısından BT denetim fonksiyonunuzu değerlendirmenize yönelik faydalı olabileceği düşünülen bilgiler paylaşılmıştır. Bu paylaşım Avrupadaki firmalara yönelik bilgilerin ve Türkiyedeki çoğu firmanın girebileceği düşünülen aralıklarla ilgili istatistiklerin paylaşılması şeklinde olmuştur. Detaylar ve 2012 yılından bu yana değişen trendlere yönelik bilgiler için raporun kendisine bakmanız ve ilerleyen dönemler için ISACA web sitesini takip etmeniz önerilir.

ISACA İstanbul Chapter faaliyetleri ile ilgili bilgi almak için ise ISACA İstanbul web sitesine bir uğramanızı ve Linkedin grubuna üye olmanızı tavsiye ederim.

NIST tarafından hazırlanan Kritik Altyapı Siber Güvenliği Geliştirmeye yönelik Çerçeve

2000li yılların başlarında lamer araçları olarak tanımlanabilecek SchoolBus, Cain gibi programlar ile internet üzerinden fırtına estiren ergenler büyüdüler ve doğal olarak eskisinden çok daha yetenekli ve tehlikeliler. Bir de buna ek olarak internet üzerinden gerek saldırı amaçlı araçlara, gerek eğitici belgelere erişim o derece kolaylaştı ki bilgisayardan biraz anlayan ve sabır gösterebilen herkes yeteneklerini geliştirebilecek durumda.

Ülkeler arasında siber savaş olarak tabir edilen ve siber saldırılara sahne olan savaşlar o kadar arttı ki Amerikan Ordusunun, Avrupalı bazı devletlerin, İran ve Çin gibi ülkelerin Siber Orduları olduğu sıkça konuşulur oldu. Her ne kadar bu Orduların savunma amacı ile kurulduğu söylense de aktif eylemler gerçekleştirdikleri de bir gerçek. İran nükleer araştırmalarını engellemeye yönelik olan Stuxnet en bilindik örneklerden birisi. Hatırlarsınız belki zamanın Bilim, Sanayi ve Teknoloji Bakanı Nihat Ergün devlet kontrolünde hacker yetiştirileceğine dair açıklamalarda bulunmuştu. (Haberin detayları için tıklayınız). Devlet destekli orduların yanı sıra underground forum sitelerinde bir araya gelen bilgisayar korsanlarında oluşan, lidersiz ve anonim olan siber ordular da siber savaşların bir başka ve güçlü olabileceğini düşündüğüm aktör.

Başka bir deyişle aktörlerin devletler, bilgisayar konusunda yetenekli bireyler, politik gruplar, underground forumlardan beslenen meraklı gençler olduğu çetin bir savaş alanından bahsediliyor Siber alemde.

Peki kurumunuz bu savaşta hedef olabilir mi? Kurumunuzun ya da şirketinizin doğasının ya da mahiyetinin inanın bana hiç önemi yok. Elbette kasıtlı saldırı alan, direkt hedef olan kurumlar var. Bunun yanında uzantısının tr ya da son dönemlerde gözde olduğu için söylüyorum .il uzantılı olması web sitenizin saldırı alması için yeterli olabiliyor. Planlı hedefseniz şayet öncelikli olarak korsanlar net üzerinden sizinle ilgili toplayabildikleri kadar bilgi topluyorlar, iç ağlarınızın ip aralıklarını belirleyip, ağa erişim sağlamaya çalışıyorlar. Buldukları tek bir açık kapı dahi çalışanlarınız kadar bilgiye, belgeye ulaşmalarına ve sistemler üzerinde ayrıcalık elde etmelerine sebep olabiliyor.

Son dönemlerde bütün Dünyada olduğu gibi Türkiyede de önem verilen konulardan birisi siber güvenlik. Ulaştırma Bakanlığı, Başbakanlık özelinde çeşitli çalışmalar mevcut. Kamu özelinde oluşturulmuş çalışma grupları senaryolar üzerinde ve hazır takımlar oluşturma yönünde çalışmalar mevcut. Çünkü siber güvenlik çeşitli paydaşlardan oluşan büyük bir zincir ve saldırı altındaki kurumun tek başına savunma yapabileceği ve çözüm üretebileceği kadar basit bir konu değil.

Bilgi Teknolojileri alanındaki önemli başlıklardan birisi olan Siber Güvenliğe yönelik NIST (National Institute of Standart and Technology) tarafından hazırlanmış olan orjinal adı Framework for Improving Critical Infrastructure Cybersecurity olan çerçeveyi kurumların Siber Güvenlik açısından hazırlıkları aşamasında öneririm. Çerçeveye http://www.nist.gov/cyberframework/ adresinden ulaşabilirsiniz.

Çerçeve temelde 5 fonksiyona odaklanmaktadır. Orjinalleri Identify, Protect, Detect, Respond ve Recover olan bu fonksiyonlar Tanımlama, Koruma, Tespit etme, Yanıtlama ve Geri Kazanma olarak tanımlanmış, her fonksiyon altında ise kontrol kategorileri yer almaktadır.

Tanımlama fonksiyonu altında varlık yönetimi, İş Ortamı, Yönetişim, Risk Değerlendirme ve Risk Yönetim Stratejisi kategorileri yer almaktadır. Tanımlama aşamasında altyapısal manada Siber Güvenliğe konu varlıkların belirlenmesi ve yönetilmesi, kurum iş ortamının yapısının tanımlanması ve iyice tanınması, risklerin yönetilmesine yönelik yaklaşımın belirlenmesi ele alınmaktadır.

Koruma fonksiyonu altında ise erişim kontrol, farkındalık ve eğitim, veri güvenliği, Bilgi koruma süreç ve prosedürleri, bakım ve korumaya yönelik teknoloji kategorileri yer almaktadır. Koruma aşamasında kurum içi erişim kontrolleri ile güvenliğin sağlanması, kurum içi farkındalığın sağlanmasına yönelik eğitim ve farkındalık programlarının sağlanması, bilginin korunmasına yönelik süreç ve süreci açıklayan prosedürlerin oluşturulması, gerekli bakım faaliyetlerinin takip edilmesi ve korumaya yönelik teknolojinin yakın takibi ele alınmaktadır.

Tespit Etme fonksiyonu altında rutin dışı olaylar ve olay yönetimi, güvenlik sürekliliğinin izlenmesi ve tespit süreci kategorileri yer almaktadır. Tespit etme aşamasında siber güvenliğe konu anomilelerin tespit ve takip edilmesi, olayların yönetilmesi, güvenliğin sürekliliğin sağlanmasına yönelik izleme fonksiyonunun oluşturulması ve tespit etme süreçlerinin oluşturulması ele alınmaktadır.

Yanıtlama fonksiyonu altında yanıtlama planlama, iletişim, analiz, azaltma (mitigation) ve iyileştirme kategorileri yer almaktadır. Yanıtlamaya yönelik planlama yapılması, yanıtlama esnasında paydaşların tam uyumlu çalışabilmesine yönelik iletişimin sağlanması, analiz, azaltma ve iyileştirme kategorileri detayı ile ele alınmaktadır.

Geri Kazanma fonksiyonu altında ise geri kazanma planlama, geri kazanma iyileştirme ve iletişim yer almaktadır. Geri kazanıma yönelik planlama, alınan dersler ile iyileşmenin sağlanması ve edinimlerin paylaşılmasına yönelik olarak iletişimin sağlanması kategorileri ele alınmaktadır.

Toplamda 98 adet kontrolün yer aldığı çerçevenin excel formatındaki listesine buradan ulaşabilirsiniz.

Bu liste içerisinde kategori bazında tanımlanmış kontrol listeleri ile çerçevenin detaylarına hakim olunması memkündür. Bir örnek vermek gerekirse tanımlama fonksiyonuna yönelik olarak varlık yönetimi kategorisine yönelik kontroller ile  kurum içerisinde kullanılan donanımsal ve yazılımsal varlıkların envanter kaydı şeklinde takip edilmesi, organizasyon içi iletişim ve data akışlarının dokümante edilmesi, lokasyon dışı sistemlerin kataloglanması, envanterlenen varlıkların kritiklik seviyelerine ve değerlerine göre önceliklendirilmesi, siber güvenliğe yönelik rol ve sorumlulukların belirlenmesi (hizmet alınan destek firmaları da dahil olmak üzere) gibi hususlar önerilmektedir.

Kurum içerisinde Siber Güvenliğe yönelik bir yaklaşım geliştirmek ve bütünün parçası olma noktasında hazır olmak isteyen kurumlara yön çizme noktasında faydalı olacağına inandığım bu çerçeve NİST tarafından tamamiyle ücretsiz ola

CISA artık Türkçe..

ISACA İstanbul tarafında CISA Sınavının Türkçeleştirilmesi amacıyla bir süredir çalışmalar devam ediyordu. Toplantılarda ve çalışmalarda gönüllerden geçen ve sınavın Türkçeleştirilmesine yönelik çalışmaların meyvesini aldığımıza yönelik maili bugün Kaya Hocam bizlerle paylaştı.

Hedef Haziran 2015 sınavından itibaren CISA sınavının Türkçe sunulması ve kamu kesimi başta olmak üzere sektörde anadilimizde de sertifikasyonun sağlanması. Malumunuz son dönemlerde BDDK, SPK, KGK bünyelerinde gerçekleştirilen çeşitli çalışmalar ve taslak tebliğler Bilgi Teknolojileri Denetimi'nin ve doğal olarak sertifikasyonun önemini günden güne artırmakta. Bilgi Teknolojileri fonksiyonlarına yönelik denetim ve yönetişim farkındalığı her geçen gün artmaktadır.

Elbette CISA'nın Türkçeleştirilmesi önemli aşamaların kat edilmesi ve ISACA International nazarında ülkemizin BT Denetim ve Yönetişim alanının gelişmekte olduğunu, kaliteli bir ivme ile gelişmeye devam edildiğinin anlatmak ve doğru temasların sağlanması ile oldu. Bu noktada ISACA'nın belirlediği bazı çalışmalar yetkililer ile paylaşıldı ve CISA Sınavının Türkçe sunulmasına yönelik gereken olurlar alındı.

Bu noktada sektörün anadilimizdeki sertifikasyon ile de gelişecek olmasını önemsiyor ve Türkçe olması münasebetiyle kamu kesimi tarafından da yüksek bir kabul ile karşılanacağını düşünüyorum.

Bu noktada başta CISA'nın Türkçeleştirilmesine yönelik dokümantasyonda önemli rolü olan sayın Kaya Kazmirci, Yekta Bahadıroğlu ve başkanımız Mustafa Gülmüş özelinde bütün ISACA Ailesine ve emeği geçen herkese teşekkür etmek isterim.

Sektörün gelişmesine yönelik önemli adımlar atıldıkça içerisinde olmanın ayrı bir keyif olduğunu belirtmek istiyorum.

ISACA İstanbul komitelerinde çeşitli görevlerde yer alarak sizler de bu keyfi yakinen yaşamak isterseniz ISACA İstanbul'un kapıları sizlere sonuna kadar açık olacaktır.

Oracle Veritabanı Denetim Rehberi II

Önceki yazımda Oracle ürüne yönelik denetim esnasında denetçiler açısından üzerinde durulan ve ağırlıkla teknik konuları içeren başlıkları sıralamış ve bu başlıklardan erişim ve yetkilendirme üzerinde detayı ile durmuştum.

Anımsamak adına başlıkları tekrar sıralamak gerekirse;

1.       Erişim ve Yetkilendirme

2.       Güvenlik Süreçleri ve İzleme

3.       Yedekleme ve Yedekten Dönme

4.       Şifreleme

5.       Güvenilir İlişkiler (Trusted Relationships)

6.       Ağ Güvenliği

Bu yazı kapsamında güvenlik süreçleri ve izleme ile yedekleme ve yedekten dönme faaliyetleri detaylandırılarak, Oracle Veritabanı Denetim Rehberi isimli blog serisine devam edilecektir.

Yazılar oluşturulurken ISACA’nın Security, Audit and Control Features Oracle Database, 3rd Edition (Dec 2009) isimli rehberinden faydalanılmıştır.

Güvenlik Süreçleri ve İzleme:

Veritabanı üzerinde tanımlı olan kullanıcılar iş sorumlulukları ile uyumlu olacak şekilde ve ihtiyaçları kadar bilgiye ulaşabilecek şekilde yetkilendirilmelidirler.

Genel ve özel amaçlı kullanıcılar için yeterli erişim haklarının verilmesi ve alınmasına yönelik süreçlerin tasarlandığından emin olunmalıdır.

1)   Kullanıcılara veritabanına erişim yetkisinin verilmesi ve yetkinin alınması sürecini inceleyebilirsiniz. İlk kullanıcının tanımlanması ve işten ayrılan kullanıcıların yetkilerinin alınması sistematik bir şekilde işletilmelidir.

2)   Aşağıdaki komutu alarak veritabanında tanımlı kullanıcı listesini edinebilirsiniz:

a.    SELECT * FROM DBA_USERS;

3)   Aşağıdaki komut yardımı ile sistemde tanımlı olan rollerin listesini edinebilirsiniz, rollerin uygulama seviyesinde tanımlanan güvenlik seviyelerine ya da iş süreç sahipleri tarafından tanımlanan Görevler Ayrılığı ihtiyaçlarına uygun tasarlanması durumunu irdeleyebilirsiniz;

a.    SELECT * FROM DBA_ROLES;

4)   Veritabanında yer alan kullanıcıların atanmış rolleri ile birlikte listesini aşağıdaki komutu çalıştırarak edinebilirsiniz;

a.    SELECT * FROM USER_ROLE_PRIVS;

5)   Belirlediğiniz bir örneklem üzerinde denetim dönemi içerisinde tanımlanan kullanıcıların ve/veya hali hazırda sistemde tanımlı olan kullanıcıların rollerinin ilgili iş/sistem sahibi tarafından onaylanma ve tanımlanan rollerin iş sorumlulukları ile uyumlu olması durumunun inceleyebilirsiniz.

6)   Kullanıcılara atanmış olan roller ile kabul edilmiş rol taleplerini karşılaştırıp, rollerin düzenli atanma durumunu inceleyebilirisiniz.

7)   DBA_SYS_PRIVS, ROLE_PRIVS, ROLE_ROLE_PRIVS ve ROLE_TAB_PRIVS viewlarını görüntüleyerek, rollerin ve ayrıcalıkların (privs) kullanıcılara grup halinde atandığından emin olabilirsiniz. Burada atamaların iş gereksinimleri ile uyumlu olması önemlidir. Yönetsel bağlamda önerilen ayrıcalıkların roller üzerinden atanmasıdır. Kullanıcılara direkt olarak atanan ayrıcalıklara biraz daha dikkat etmeniz gerekebilir.

8)   Denetim dönemi içerisinde işten ayrılan personelin listesini İnsan Kaynaklarınden edinip, veritabanı üzerinde silinen ya da pasif hale getirilen kullanıcıların listesi ile karşılaştırıp, gerektiği zamanlarda hesapların kullanılamayacak duruma getirildiğinden emin olabilirsiniz.

9)   Aşağıdaki komut yardımı ile kullanıcıların DBA_SOURCE view’ı üzerinde erişim yetkilerinin olmadığını doğrulayabilirsiniz. dba_source subprogramların yani paket, procedure, fonksiyon, trigger gibi objelerin scriptlerinin tutulduğu data dictionary viewıdır. Yönetsel durumlar haricinde kullanıcılar tarafından görülmesi önerilen bir view olmadığını söyleyebilirim.

a.    SELECT * FROM DBA_TAB_PRIVS WHERE TABLE_NAME = 'ALL_SOURCE';

10)INSERT, UPDATE ve DELETE ayrıcalığına sahip rolleri ve kullanıcıları kontrol edebilirsiniz. Bu ayrıcalıkların ilgili rol ve/veya kişilere verilmesine yönelik olarak iş ihtiyaçlarını değerlendirebilirsiniz.

11)DBA gibi yüksek yetkili kullanıcı rollerine sahip kullanıcı hesaplarını belirleyip, iş ihtiyaçları ile değerlendirmesini yapabilirsiniz.

12)Rollerin WITH ADMIN OPTION opsiyonu ile sadece iş gereksinimleri açısından çok gerekli olduğu durumlar için oluşturulduğundan emin olabilirsiniz. Bunun için aşağıdaki komutu çalıştırıp, WITH ADMIN option ile oluşturulduğunu gözlemleyebilirsiniz. WITH ADMIN opsiyonu ile bojelere yönelik değil, sisteme yönelik ayrıcalıklar tanımlanabilmektedir. (CREATE TABLE,CREATE INDEX,CREATE SESSION)

a.    SELECT * FROM DBA_ROLE_PRIVS WHERE ADMIN_OPTION = 'YES';

13)PUBLIC hesaba herhangi bir ayrıcalık tanımlanıp, tanımlanmadığını aşağıdaki komutlar yardımı ile inceleyebilirsiniz;

a.    SELECT OWNER, TABLE_NAME, GRANTOR, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'PUBLIC' AND GRANTOR <> 'SYS' AND GRANTOR <> 'SYSTEM';

b.    SELECT GRANTED_ROLE FROM DBA_ROLE_PRIVS WHERE GRANTEE = 'PUBLIC';

14)Kullanıcılara ve rollere atanan ayrıcalıkları gözden geçirebilirsiniz. DBA ile gruba değil de direkt kullanıcılara atanan ayrıcalıkları tartışabilirsiniz.

a.    SELECT * FROM DBA_TAB_PRIVS;

b.    SELECT * FROM DBA_SYS_PRIVS;

15)SYS ve SYSTEM’in SYSTEM tablosunde yer alan bütün objelere sahip olması durumundan emin olabilirsiniz.

16)Data Dictionary’e erişime yönelik güvenlik önlemlerini gözden geçirebilirsiniz. Aşağıdaki sorgu ile O7_DICTIONARY_ACCESSIBILITY ayarını inceleyebilirsiniz.

a.    SELECT NAME, VALUE FROM V$PARAMETER WHERE NAME = 'O7_DICTIONARY_ACCESSIBILITY';

Eğer ki bu değer TRUE olarak set edilmiş ise SELECT ANY TABLE ayrıcalığına sahip kullanıcıları gözden geçiriniz. Çünkü bu tabloda yer alan bütün kullanıcılar Data Dictionary’de yer alan bütün bilgiyi görebilmektedirler. “Sistem kataloğu (system catalogue)” olarakta bilinen “Data Dictionary” ,veritabanında tutulan her türlü objenin metadata’sının (veri hakkında verinin) tutuldugu yerdir. Aynı zamanda DBMS hakkında bilgilerde burada tutulmaktadır. Peki bu metadata(veri hakkında veri) ile kastedilen nedir? Bir tablomuz olduğunu düşünerek özetlemek gerekirse bir tablonun “data dictionary” de tutulan metadata’sı içerisinde adı, ne zaman oluşturulduğu, en son ne zaman ulaşıldığı, sahibi, izin bilgileri, datanın tutulduğu yer hakkında fiziksel bilgiler gibi bilgiler tutulmaktadır.

17)GRANT opsiyonu ile atanan bütün ayrıcalıkları aşağıdaki sorguyu çalıştırarak inceleyebilir, DBA ile gerekliliğini tartışabilirsiniz. GRANT opsiyonu ile obje ayrıcalıkları tanımlanabilmektedir ve yetkiyi sadece imtiyaz sahibi kişi iptal edebilmektedir. Yetki tanımlama Cascade (kademeli) bir yapıya sahiptir demek doğru olacaktır.

a.    SELECT * FROM DBA_TAB_PRIVS WHERE GRANTABLE = 'YES'

Yedekleme ve Yedekten Dönme: Denetim kapsamında periyodik aralıklar ile test edilen bir yedekleme ve yedekten dönme stratejisinin varlığı irdelenir.

1)     Oracle Veritabanı Uygulamasının Servis Seviye Anlaşmasını edinebilirsiniz. (SLA) Veritabanı impelentasyon ve sistemlerin işletimi içerde bir ekip tarafından yönetiliyor ise Operasyonel Seviye Anlaşmasını edinebilirsiniz. (OLA)

2)     Servis seviye anlaşması içerisinde Oracle Veritabanı implamantasyonuna yönelik hükümlerin varlığı irdelenebilir.

3)     Oracle İş Sürekliliği Planı ya da veritabanını ilgilendiren geri dönüş tanımlarını içeren planı edinebilirsiniz.

4)     İş Sürekliliği Planının Oracle veritabanı ile alakalı yedekleme ve yedekten dönme süreçlerini içerme durumu irdelenebilir.

5)     DBA ile yedekleme ve yedekten dönme stratejisi görüşülebilir. DBA ile yaptığınız görüşmede stratejinin düzenli gözden geçirilme durumunu inceleyebilirsiniz. En son gerçekleştirilen testlerin dokümantasyonunu inceleyebilirsiniz.

6)     init<SID>.ora dosyasının bir kopyasını edinebilirsiniz.

7)     LOG_ARCHIVE_START parametresini gözden geçirebilirsiniz. “True” olarak set edilmiş ise ARCHOVELOG mode aktif edilmiştir. LOG_ARCHIVE_DEST ve LOG_ARCHIVE_FORMAT parametrelerini log dosyalarının yeri ve formatı hakkında bilgi edinmek için inceleyebilirisiniz.

8)     DBA ile düzenli arşivleme dosyalarının canlı olmayan medyaya (offline) yedeklenmesi üzerine prosedürü konuşabilirsiniz. Offline medyanın korunması ve saklanmasına (retentation) yönelik prosedürlerin varlığını sorgulayabilirsiniz.

Oracle Veritabanı Denetim Rehberi I

Oracle ürüne yönelik denetim esnasında denetçiler açısından üzerinde durulan ve ağırlıkla teknik konuları içeren başlıklar aşağıdaki gibidir:

1.       Erişim ve Yetkilendirme

2.       Güvenlik Süreçleri ve İzleme

3.       Yedekleme ve Yedekten Dönme

4.       Şifreleme

5.       Güvenilir İlişkiler (Trusted Relationships)

6.       Ağ Güvenliği

Bu yazı kapsamında veri tabanı erişim ve yetkilendirmeye yönelik başlıklar, öneri olabilecek kontroller incelenecek, sonraki yazılar ile ise diğer maddeler değerlendirilmeye devam edilecektir.

Yazılar oluşturulurken ISACA’nın Security, Audit and Control Features Oracle Database, 3rd Edition (Dec 2009) isimli rehberinden faydalanılmıştır.

Türkçe bir kaynak olması ve faydalı olacağı düşüncesi ile İç Denetim Koordinasyon Kurulu tarafından hazırlanan ve Oracle Veritabanı denetimini 3 temel başlık altında inceleyen Kamu Bilgi Teknolojileri Rehberi ayrıca önerilmektedir. Rehber Oracle Veritabanı denetimini aşağıdaki başlıklarda detayı ile incelemektedir.

1.       Kullanıcı Hesap Yönetimi ve Parolalar

2.       Kritik Dosyalara Erişim

3.      Parola ve Güvenlik Parametreleri

Rehbere http://www.idkk.gov.tr/Sayfalar/HaberDetay.aspx?rid=61&lst=MansetListesi adresinden erişim sağlayabilirsiniz. 

Erişim ve Yetkilendirme: Hesaplara ve şifrelere yönelik uygun kontrollerin tasarlanması, işletilmesi, kontrollerin sürekli iyileştirilmesi, kontrollerin başarımının periyodik olarak izlenmesi önemlidir. Sistemde yer alan bütün kullanıcıların(iç, dış ve geçici kullanıcılar) ve kullanıcı hareketlerinin özgün olarak tanımlanabiliyor olması gerekmektedir.

1) DBA’lerin veri tabanına nasıl erişim sağladıkları önemli bir husustur. DBA’ler tarafından CONNECT INTERNAL opsiyonunun kullanılmadığından emin olunmalıdır. Çünkü Internal olarak gerçekleştirilen bağlantı ile sistemde en  yetkili kullanıcı olan SYS olarak tanınılmaktadır ve Internal bağlanma veri tabanının açılıp, kapatılması amacıyla tasarlanmış bağlantı opsiyonudur. Bunun yanı sıra her DBA’in kendine ait hesap ile sisteme log on olduğundan ve veri tabanını yönettiğinden emin olunmalıdır. Ortak hesaplar ile yapılan yönetimler her hangi bir inceleme ya da araştırma faaliyeti esnasında inkar edilebilirlik açısından problem yaratmaktadır.

2)Aşağıdaki komut yardımı ile sistem kullanıcılarının listesini alıp, listede DBA’lerin ayrı hesaplara sahip olma durumunu kontrol edebilirsiniz.

Select * FROM DBA_USERS;

3) Default Profile için gerçekleştirilmiş ayarları aşağıdaki komut ile alıp, inceleyebilirsiniz.

SELECT * FROM DBA_PROFILES;

4) Kullanıcı listesinde generik ve ortak kullanıma konu olabilecek kullanıcıları tespit edebilirsiniz. Uygulamalar tarafından kullanıcıları tespit edip, sadece uygulama tarafından kullanıldığının nasıl sağlandığını dinleyebilirsiniz.

5) Hesaplara atanmış olan profilleri inceleyip, uygun olmayan profil-kullanıcı atamalarını tespit edebilirsiniz.

6) DBA’ler tarafından sisteme kayıt edilen kullanıcıların ilk şifrelerinin nasıl dağıtıldığını dinleyebilir, belirlenmiş ortak şifrenin ya da kolay tahmin edilebilir bir şifrenin ilk dağıtımda kullanılmadığından emin olabilirsiniz.

7) Şifre değiştirme frekansı, şifre uzunluğu, eski şifrenin kullanımı gibi şifre yönetimine yönelik özelliklerin kullanıcılara sağlanan bilginin hassasiyetine göre politikalar ile belirlendiğinden emin olabilirsiniz. Kullanıcı profillerine göre farklı tanımlamalar yapılabilir. (Kullanıcı, yönetici, teknik personel, sistem yöneticisi gibi)

8) Aşağıda sıralanan şifre kontrolleri ve kaynak limitlerinin tahsisine yönelik olarak profil ayarlarını inceleyebilirsiniz.

· COMPOSITE_LIMIT

· SESSIONS_PER_USER

· CPU_PER_SESSION

· CPU_PER_CALL

· LOGICAL_READS_PER_SESSION

· LOGICAL_READS_PER_CALL

· IDLE_TIME

· PRIVATE_SGA

· CONNECT_TIME

· FAILED_LOGIN_ATTEMPTS

· PASSWORD_LIFE_TIME

· PASSWORD_REUSE_TIME

· PASSWORD_REUSE_MAX

· PASSWORD_VERIFY_FUNCTION

· PASSWORD_LOCK_TIME

· PASSWORD_GRACE_TIME

 9) DBA ve Güvenlik Yöneticisi ile acil durumlar için veritabanına erişime yönelik süreci konuşup, acil durumlar için erişime yönelik prosedürlerin tasarlandığından, vuku bulan acil erişimlerin dokümante edilmesine ve gerekli erişim sağlandıktan sonra erişimin yok edilmesine yönelik süreçlerin tasarlanmasından emin olabilirsiniz.

10) init<SID>.ora içerisinde REMOTE_OS_AUTHENT parametresini kontrol edip, OS Security’nin kullanılır olduğundan emin olabilirsiniz. REMOTE_OS_AUTHENT “false” olarak ayarlandığından emin olabilirsiniz. Bu parametre FALSE ise uzaktan password file dosyası olmadan sysdba ile bağlanamazsın anlamına gelmektedir. Parametre “true” ayarlandıysa buna olan ihtiyacı değerlendirmelisiniz.

11) Eğer OS Authentication kullanılıyor ise init<SID>.ora içerisindeki OS_AUTHENT_PREFIX parametresini kontrol etmelisiniz. Aşağıdaki komutu kullanarak password file dosyası ile bağlanma yetkisine sahip olan kullanıcıları listeleyebilirsiniz. Listeledikten sonra DBA ile bu şekilde erişime ihtiyaç duyulmasının nedenini tartışabilir, ihtiyaç ve riskliliğe göre değerlendirme yapabilirsiniz.

SELECT * FROM V$PWFILE_USERS;

12) Hizmet tedarik edilen firmalar, danışmanlar gibi dış paydaşlara yönelik erişim sağlanması ve erişim yetkilerinin sonlandırılmasına yönelik prosedür ve işleyişleri tartışabilir. Erişim sağlanmasının sadece iş ihtiyacı için gerektiği kadar, iş sorumluluklarına uygun verilmesi ve uygun zaman içerisinde yok edilmesine yönelik işleyişi değerlendirebilirsiniz.

Sonraki yazılarımda diğer alt başlıklara değiniyor olacağım. Faydalı olması dileğiyle.