CISA artık Türkçe..

ISACA İstanbul tarafında CISA Sınavının Türkçeleştirilmesi amacıyla bir süredir çalışmalar devam ediyordu. Toplantılarda ve çalışmalarda gönüllerden geçen ve sınavın Türkçeleştirilmesine yönelik çalışmaların meyvesini aldığımıza yönelik maili bugün Kaya Hocam bizlerle paylaştı.

Hedef Haziran 2015 sınavından itibaren CISA sınavının Türkçe sunulması ve kamu kesimi başta olmak üzere sektörde anadilimizde de sertifikasyonun sağlanması. Malumunuz son dönemlerde BDDK, SPK, KGK bünyelerinde gerçekleştirilen çeşitli çalışmalar ve taslak tebliğler Bilgi Teknolojileri Denetimi'nin ve doğal olarak sertifikasyonun önemini günden güne artırmakta. Bilgi Teknolojileri fonksiyonlarına yönelik denetim ve yönetişim farkındalığı her geçen gün artmaktadır.

Elbette CISA'nın Türkçeleştirilmesi önemli aşamaların kat edilmesi ve ISACA International nazarında ülkemizin BT Denetim ve Yönetişim alanının gelişmekte olduğunu, kaliteli bir ivme ile gelişmeye devam edildiğinin anlatmak ve doğru temasların sağlanması ile oldu. Bu noktada ISACA'nın belirlediği bazı çalışmalar yetkililer ile paylaşıldı ve CISA Sınavının Türkçe sunulmasına yönelik gereken olurlar alındı.

Bu noktada sektörün anadilimizdeki sertifikasyon ile de gelişecek olmasını önemsiyor ve Türkçe olması münasebetiyle kamu kesimi tarafından da yüksek bir kabul ile karşılanacağını düşünüyorum.

Bu noktada başta CISA'nın Türkçeleştirilmesine yönelik dokümantasyonda önemli rolü olan sayın Kaya Kazmirci, Yekta Bahadıroğlu ve başkanımız Mustafa Gülmüş özelinde bütün ISACA Ailesine ve emeği geçen herkese teşekkür etmek isterim.

Sektörün gelişmesine yönelik önemli adımlar atıldıkça içerisinde olmanın ayrı bir keyif olduğunu belirtmek istiyorum.

ISACA İstanbul komitelerinde çeşitli görevlerde yer alarak sizler de bu keyfi yakinen yaşamak isterseniz ISACA İstanbul'un kapıları sizlere sonuna kadar açık olacaktır.

Oracle Veritabanı Denetim Rehberi II

Önceki yazımda Oracle ürüne yönelik denetim esnasında denetçiler açısından üzerinde durulan ve ağırlıkla teknik konuları içeren başlıkları sıralamış ve bu başlıklardan erişim ve yetkilendirme üzerinde detayı ile durmuştum.

Anımsamak adına başlıkları tekrar sıralamak gerekirse;

1.       Erişim ve Yetkilendirme

2.       Güvenlik Süreçleri ve İzleme

3.       Yedekleme ve Yedekten Dönme

4.       Şifreleme

5.       Güvenilir İlişkiler (Trusted Relationships)

6.       Ağ Güvenliği

Bu yazı kapsamında güvenlik süreçleri ve izleme ile yedekleme ve yedekten dönme faaliyetleri detaylandırılarak, Oracle Veritabanı Denetim Rehberi isimli blog serisine devam edilecektir.

Yazılar oluşturulurken ISACA’nın Security, Audit and Control Features Oracle Database, 3rd Edition (Dec 2009) isimli rehberinden faydalanılmıştır.

Güvenlik Süreçleri ve İzleme:

Veritabanı üzerinde tanımlı olan kullanıcılar iş sorumlulukları ile uyumlu olacak şekilde ve ihtiyaçları kadar bilgiye ulaşabilecek şekilde yetkilendirilmelidirler.

Genel ve özel amaçlı kullanıcılar için yeterli erişim haklarının verilmesi ve alınmasına yönelik süreçlerin tasarlandığından emin olunmalıdır.

1)   Kullanıcılara veritabanına erişim yetkisinin verilmesi ve yetkinin alınması sürecini inceleyebilirsiniz. İlk kullanıcının tanımlanması ve işten ayrılan kullanıcıların yetkilerinin alınması sistematik bir şekilde işletilmelidir.

2)   Aşağıdaki komutu alarak veritabanında tanımlı kullanıcı listesini edinebilirsiniz:

a.    SELECT * FROM DBA_USERS;

3)   Aşağıdaki komut yardımı ile sistemde tanımlı olan rollerin listesini edinebilirsiniz, rollerin uygulama seviyesinde tanımlanan güvenlik seviyelerine ya da iş süreç sahipleri tarafından tanımlanan Görevler Ayrılığı ihtiyaçlarına uygun tasarlanması durumunu irdeleyebilirsiniz;

a.    SELECT * FROM DBA_ROLES;

4)   Veritabanında yer alan kullanıcıların atanmış rolleri ile birlikte listesini aşağıdaki komutu çalıştırarak edinebilirsiniz;

a.    SELECT * FROM USER_ROLE_PRIVS;

5)   Belirlediğiniz bir örneklem üzerinde denetim dönemi içerisinde tanımlanan kullanıcıların ve/veya hali hazırda sistemde tanımlı olan kullanıcıların rollerinin ilgili iş/sistem sahibi tarafından onaylanma ve tanımlanan rollerin iş sorumlulukları ile uyumlu olması durumunun inceleyebilirsiniz.

6)   Kullanıcılara atanmış olan roller ile kabul edilmiş rol taleplerini karşılaştırıp, rollerin düzenli atanma durumunu inceleyebilirisiniz.

7)   DBA_SYS_PRIVS, ROLE_PRIVS, ROLE_ROLE_PRIVS ve ROLE_TAB_PRIVS viewlarını görüntüleyerek, rollerin ve ayrıcalıkların (privs) kullanıcılara grup halinde atandığından emin olabilirsiniz. Burada atamaların iş gereksinimleri ile uyumlu olması önemlidir. Yönetsel bağlamda önerilen ayrıcalıkların roller üzerinden atanmasıdır. Kullanıcılara direkt olarak atanan ayrıcalıklara biraz daha dikkat etmeniz gerekebilir.

8)   Denetim dönemi içerisinde işten ayrılan personelin listesini İnsan Kaynaklarınden edinip, veritabanı üzerinde silinen ya da pasif hale getirilen kullanıcıların listesi ile karşılaştırıp, gerektiği zamanlarda hesapların kullanılamayacak duruma getirildiğinden emin olabilirsiniz.

9)   Aşağıdaki komut yardımı ile kullanıcıların DBA_SOURCE view’ı üzerinde erişim yetkilerinin olmadığını doğrulayabilirsiniz. dba_source subprogramların yani paket, procedure, fonksiyon, trigger gibi objelerin scriptlerinin tutulduğu data dictionary viewıdır. Yönetsel durumlar haricinde kullanıcılar tarafından görülmesi önerilen bir view olmadığını söyleyebilirim.

a.    SELECT * FROM DBA_TAB_PRIVS WHERE TABLE_NAME = 'ALL_SOURCE';

10)INSERT, UPDATE ve DELETE ayrıcalığına sahip rolleri ve kullanıcıları kontrol edebilirsiniz. Bu ayrıcalıkların ilgili rol ve/veya kişilere verilmesine yönelik olarak iş ihtiyaçlarını değerlendirebilirsiniz.

11)DBA gibi yüksek yetkili kullanıcı rollerine sahip kullanıcı hesaplarını belirleyip, iş ihtiyaçları ile değerlendirmesini yapabilirsiniz.

12)Rollerin WITH ADMIN OPTION opsiyonu ile sadece iş gereksinimleri açısından çok gerekli olduğu durumlar için oluşturulduğundan emin olabilirsiniz. Bunun için aşağıdaki komutu çalıştırıp, WITH ADMIN option ile oluşturulduğunu gözlemleyebilirsiniz. WITH ADMIN opsiyonu ile bojelere yönelik değil, sisteme yönelik ayrıcalıklar tanımlanabilmektedir. (CREATE TABLE,CREATE INDEX,CREATE SESSION)

a.    SELECT * FROM DBA_ROLE_PRIVS WHERE ADMIN_OPTION = 'YES';

13)PUBLIC hesaba herhangi bir ayrıcalık tanımlanıp, tanımlanmadığını aşağıdaki komutlar yardımı ile inceleyebilirsiniz;

a.    SELECT OWNER, TABLE_NAME, GRANTOR, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'PUBLIC' AND GRANTOR <> 'SYS' AND GRANTOR <> 'SYSTEM';

b.    SELECT GRANTED_ROLE FROM DBA_ROLE_PRIVS WHERE GRANTEE = 'PUBLIC';

14)Kullanıcılara ve rollere atanan ayrıcalıkları gözden geçirebilirsiniz. DBA ile gruba değil de direkt kullanıcılara atanan ayrıcalıkları tartışabilirsiniz.

a.    SELECT * FROM DBA_TAB_PRIVS;

b.    SELECT * FROM DBA_SYS_PRIVS;

15)SYS ve SYSTEM’in SYSTEM tablosunde yer alan bütün objelere sahip olması durumundan emin olabilirsiniz.

16)Data Dictionary’e erişime yönelik güvenlik önlemlerini gözden geçirebilirsiniz. Aşağıdaki sorgu ile O7_DICTIONARY_ACCESSIBILITY ayarını inceleyebilirsiniz.

a.    SELECT NAME, VALUE FROM V$PARAMETER WHERE NAME = 'O7_DICTIONARY_ACCESSIBILITY';

Eğer ki bu değer TRUE olarak set edilmiş ise SELECT ANY TABLE ayrıcalığına sahip kullanıcıları gözden geçiriniz. Çünkü bu tabloda yer alan bütün kullanıcılar Data Dictionary’de yer alan bütün bilgiyi görebilmektedirler. “Sistem kataloğu (system catalogue)” olarakta bilinen “Data Dictionary” ,veritabanında tutulan her türlü objenin metadata’sının (veri hakkında verinin) tutuldugu yerdir. Aynı zamanda DBMS hakkında bilgilerde burada tutulmaktadır. Peki bu metadata(veri hakkında veri) ile kastedilen nedir? Bir tablomuz olduğunu düşünerek özetlemek gerekirse bir tablonun “data dictionary” de tutulan metadata’sı içerisinde adı, ne zaman oluşturulduğu, en son ne zaman ulaşıldığı, sahibi, izin bilgileri, datanın tutulduğu yer hakkında fiziksel bilgiler gibi bilgiler tutulmaktadır.

17)GRANT opsiyonu ile atanan bütün ayrıcalıkları aşağıdaki sorguyu çalıştırarak inceleyebilir, DBA ile gerekliliğini tartışabilirsiniz. GRANT opsiyonu ile obje ayrıcalıkları tanımlanabilmektedir ve yetkiyi sadece imtiyaz sahibi kişi iptal edebilmektedir. Yetki tanımlama Cascade (kademeli) bir yapıya sahiptir demek doğru olacaktır.

a.    SELECT * FROM DBA_TAB_PRIVS WHERE GRANTABLE = 'YES'

Yedekleme ve Yedekten Dönme: Denetim kapsamında periyodik aralıklar ile test edilen bir yedekleme ve yedekten dönme stratejisinin varlığı irdelenir.

1)     Oracle Veritabanı Uygulamasının Servis Seviye Anlaşmasını edinebilirsiniz. (SLA) Veritabanı impelentasyon ve sistemlerin işletimi içerde bir ekip tarafından yönetiliyor ise Operasyonel Seviye Anlaşmasını edinebilirsiniz. (OLA)

2)     Servis seviye anlaşması içerisinde Oracle Veritabanı implamantasyonuna yönelik hükümlerin varlığı irdelenebilir.

3)     Oracle İş Sürekliliği Planı ya da veritabanını ilgilendiren geri dönüş tanımlarını içeren planı edinebilirsiniz.

4)     İş Sürekliliği Planının Oracle veritabanı ile alakalı yedekleme ve yedekten dönme süreçlerini içerme durumu irdelenebilir.

5)     DBA ile yedekleme ve yedekten dönme stratejisi görüşülebilir. DBA ile yaptığınız görüşmede stratejinin düzenli gözden geçirilme durumunu inceleyebilirsiniz. En son gerçekleştirilen testlerin dokümantasyonunu inceleyebilirsiniz.

6)     init<SID>.ora dosyasının bir kopyasını edinebilirsiniz.

7)     LOG_ARCHIVE_START parametresini gözden geçirebilirsiniz. “True” olarak set edilmiş ise ARCHOVELOG mode aktif edilmiştir. LOG_ARCHIVE_DEST ve LOG_ARCHIVE_FORMAT parametrelerini log dosyalarının yeri ve formatı hakkında bilgi edinmek için inceleyebilirisiniz.

8)     DBA ile düzenli arşivleme dosyalarının canlı olmayan medyaya (offline) yedeklenmesi üzerine prosedürü konuşabilirsiniz. Offline medyanın korunması ve saklanmasına (retentation) yönelik prosedürlerin varlığını sorgulayabilirsiniz.

Oracle Veritabanı Denetim Rehberi I

Oracle ürüne yönelik denetim esnasında denetçiler açısından üzerinde durulan ve ağırlıkla teknik konuları içeren başlıklar aşağıdaki gibidir:

1.       Erişim ve Yetkilendirme

2.       Güvenlik Süreçleri ve İzleme

3.       Yedekleme ve Yedekten Dönme

4.       Şifreleme

5.       Güvenilir İlişkiler (Trusted Relationships)

6.       Ağ Güvenliği

Bu yazı kapsamında veri tabanı erişim ve yetkilendirmeye yönelik başlıklar, öneri olabilecek kontroller incelenecek, sonraki yazılar ile ise diğer maddeler değerlendirilmeye devam edilecektir.

Yazılar oluşturulurken ISACA’nın Security, Audit and Control Features Oracle Database, 3rd Edition (Dec 2009) isimli rehberinden faydalanılmıştır.

Türkçe bir kaynak olması ve faydalı olacağı düşüncesi ile İç Denetim Koordinasyon Kurulu tarafından hazırlanan ve Oracle Veritabanı denetimini 3 temel başlık altında inceleyen Kamu Bilgi Teknolojileri Rehberi ayrıca önerilmektedir. Rehber Oracle Veritabanı denetimini aşağıdaki başlıklarda detayı ile incelemektedir.

1.       Kullanıcı Hesap Yönetimi ve Parolalar

2.       Kritik Dosyalara Erişim

3.      Parola ve Güvenlik Parametreleri

Rehbere http://www.idkk.gov.tr/Sayfalar/HaberDetay.aspx?rid=61&lst=MansetListesi adresinden erişim sağlayabilirsiniz. 

Erişim ve Yetkilendirme: Hesaplara ve şifrelere yönelik uygun kontrollerin tasarlanması, işletilmesi, kontrollerin sürekli iyileştirilmesi, kontrollerin başarımının periyodik olarak izlenmesi önemlidir. Sistemde yer alan bütün kullanıcıların(iç, dış ve geçici kullanıcılar) ve kullanıcı hareketlerinin özgün olarak tanımlanabiliyor olması gerekmektedir.

1) DBA’lerin veri tabanına nasıl erişim sağladıkları önemli bir husustur. DBA’ler tarafından CONNECT INTERNAL opsiyonunun kullanılmadığından emin olunmalıdır. Çünkü Internal olarak gerçekleştirilen bağlantı ile sistemde en  yetkili kullanıcı olan SYS olarak tanınılmaktadır ve Internal bağlanma veri tabanının açılıp, kapatılması amacıyla tasarlanmış bağlantı opsiyonudur. Bunun yanı sıra her DBA’in kendine ait hesap ile sisteme log on olduğundan ve veri tabanını yönettiğinden emin olunmalıdır. Ortak hesaplar ile yapılan yönetimler her hangi bir inceleme ya da araştırma faaliyeti esnasında inkar edilebilirlik açısından problem yaratmaktadır.

2)Aşağıdaki komut yardımı ile sistem kullanıcılarının listesini alıp, listede DBA’lerin ayrı hesaplara sahip olma durumunu kontrol edebilirsiniz.

Select * FROM DBA_USERS;

3) Default Profile için gerçekleştirilmiş ayarları aşağıdaki komut ile alıp, inceleyebilirsiniz.

SELECT * FROM DBA_PROFILES;

4) Kullanıcı listesinde generik ve ortak kullanıma konu olabilecek kullanıcıları tespit edebilirsiniz. Uygulamalar tarafından kullanıcıları tespit edip, sadece uygulama tarafından kullanıldığının nasıl sağlandığını dinleyebilirsiniz.

5) Hesaplara atanmış olan profilleri inceleyip, uygun olmayan profil-kullanıcı atamalarını tespit edebilirsiniz.

6) DBA’ler tarafından sisteme kayıt edilen kullanıcıların ilk şifrelerinin nasıl dağıtıldığını dinleyebilir, belirlenmiş ortak şifrenin ya da kolay tahmin edilebilir bir şifrenin ilk dağıtımda kullanılmadığından emin olabilirsiniz.

7) Şifre değiştirme frekansı, şifre uzunluğu, eski şifrenin kullanımı gibi şifre yönetimine yönelik özelliklerin kullanıcılara sağlanan bilginin hassasiyetine göre politikalar ile belirlendiğinden emin olabilirsiniz. Kullanıcı profillerine göre farklı tanımlamalar yapılabilir. (Kullanıcı, yönetici, teknik personel, sistem yöneticisi gibi)

8) Aşağıda sıralanan şifre kontrolleri ve kaynak limitlerinin tahsisine yönelik olarak profil ayarlarını inceleyebilirsiniz.

· COMPOSITE_LIMIT

· SESSIONS_PER_USER

· CPU_PER_SESSION

· CPU_PER_CALL

· LOGICAL_READS_PER_SESSION

· LOGICAL_READS_PER_CALL

· IDLE_TIME

· PRIVATE_SGA

· CONNECT_TIME

· FAILED_LOGIN_ATTEMPTS

· PASSWORD_LIFE_TIME

· PASSWORD_REUSE_TIME

· PASSWORD_REUSE_MAX

· PASSWORD_VERIFY_FUNCTION

· PASSWORD_LOCK_TIME

· PASSWORD_GRACE_TIME

 9) DBA ve Güvenlik Yöneticisi ile acil durumlar için veritabanına erişime yönelik süreci konuşup, acil durumlar için erişime yönelik prosedürlerin tasarlandığından, vuku bulan acil erişimlerin dokümante edilmesine ve gerekli erişim sağlandıktan sonra erişimin yok edilmesine yönelik süreçlerin tasarlanmasından emin olabilirsiniz.

10) init<SID>.ora içerisinde REMOTE_OS_AUTHENT parametresini kontrol edip, OS Security’nin kullanılır olduğundan emin olabilirsiniz. REMOTE_OS_AUTHENT “false” olarak ayarlandığından emin olabilirsiniz. Bu parametre FALSE ise uzaktan password file dosyası olmadan sysdba ile bağlanamazsın anlamına gelmektedir. Parametre “true” ayarlandıysa buna olan ihtiyacı değerlendirmelisiniz.

11) Eğer OS Authentication kullanılıyor ise init<SID>.ora içerisindeki OS_AUTHENT_PREFIX parametresini kontrol etmelisiniz. Aşağıdaki komutu kullanarak password file dosyası ile bağlanma yetkisine sahip olan kullanıcıları listeleyebilirsiniz. Listeledikten sonra DBA ile bu şekilde erişime ihtiyaç duyulmasının nedenini tartışabilir, ihtiyaç ve riskliliğe göre değerlendirme yapabilirsiniz.

SELECT * FROM V$PWFILE_USERS;

12) Hizmet tedarik edilen firmalar, danışmanlar gibi dış paydaşlara yönelik erişim sağlanması ve erişim yetkilerinin sonlandırılmasına yönelik prosedür ve işleyişleri tartışabilir. Erişim sağlanmasının sadece iş ihtiyacı için gerektiği kadar, iş sorumluluklarına uygun verilmesi ve uygun zaman içerisinde yok edilmesine yönelik işleyişi değerlendirebilirsiniz.

Sonraki yazılarımda diğer alt başlıklara değiniyor olacağım. Faydalı olması dileğiyle.

Siber Güvenlik alanında yeni bir soluk; karşınızda ISACA tarafından sunulan Cybersecurity Nexus

Cybersecurity Nexus, ISACA tarafından hazırlanan yeni bir güvenlik bilgi (knowledge) paylaşım platformu ve bilgi güvenliğine yönelik profesyonel bir programdır.

CSX profesyoneller için sunduğu eğitim ve sertifika programları gibi çeşitli materyaller ile bilgi güvenliğinin geleceğinin şekillenmesine yardımcı olmaktadır. ISACA’nın global düzeyde kabul edilmiş uzmanlığı ile CSX siber güvenlik profesyonellerine organizasyonlarını ve organizasyon varlıklarını daha güvenli tutabilmeleri için imkan sunmaktadır.

CSX ile liderler ve siber güvenlik uzmanları doğası gereği son derece hızlı değişen bilgi güvenliği sektöründe bilgiye, araçlara, rehberlere ve bağlantılara rahatlıkla erişim sağlayabileceklerdir.

Cybersecurity Nexus’a yönelik bazı sorular ve cevapları aşağıda bulabilirsiniz;

1.     ISACA tarafından siber güvenliğe ilişkin yapılan tanım nasıldır?

Siber güvenlik, günümüz koşullarında sürekli iletişim halinde olan bilgi sistemleri tarafından işlenen, saklanan ve iletilen bilgi varlıklarını bu varlıklara yönelik tehditleri adresleyerek korumaya ilişkin bir kavramdır.

2.     Cybersecurity Nexus nedir?

Cybersecurity Nexus, siber güvenlik profesyonelleri için kariyerlerinin her seviyesinde siber güvenlik kaynakları sağlayan, ISACA tarafından geliştirilmiş bir programdır. Programın Cybersecurity Nexus olarak anılmasının sebebi bilgi güvenliği profesyonellerinin eğitim, sertifikasyon, rehberlik, kariyer geliştirme ve topluluk olarak ihtiyaç duyacağı bilgilere merkezi bir alandan sunuluyor olmasıdır.

3.     ISACA Cybersecurity Nexus’u neden oluşturdu?

Dünya genelinde bilgi güvenliği alanında beceri seviyesi yüksek profesyonel anlamında sıkıntı yaşanmaktadır. The Enterprise Strategy Group tarafından yapılan bir araştırmaya göre kurumların yüzde 83’ü bilgi varlıklarının tam olarak korunmasına yönelik yeterli beceri seviyesine sahip profesyonel çalışana sahip olmadıklarını tespit etmiştir. ISACA Cybersecurity Nexus aracılığı ile gereksinim duyulan beceri krizine yönelik denetim, kontrol ve yönetişim alanında 45 yıldan fazla süredir edindiği tecrübe ile çözüm sunmaktadır.  

4.     Cybersecurity Necus kaynaklarına nasıl erişim sağlayabilirim?

http://www.isaca.org/cyber ziyaret edebilirsiniz.

5.     Cybersecurity Nexustan faydalanmak için maliyet nedir?

Yeni sertifikalar, konferanslara kayıt ve basılı yayınlar gibi unsurlar için belirli bedeller olmakla birlikte bir çok ISACA siber güvenlik kaynağı, Knowledge Center’da yer alan Siber güvenlik topluluğunda yer alanlar da dahil olmak üzere bilgi güvenliği ile alakalı makaleler ve seminerler ücretsiz olarak sunulmaktadır.

6.     Cybersecurity Nexus kaynaklarına erişim sağlayabilmek için ISACA üyesi olmak gerekli midir?

Hayır. Bunun yanında ISACA üyeleri sertifikalar, sertifikasyon, çalıştay, eğitim ve konferanslara kayıt ve basılı yayınlarda indirimlerden faydalanabilmektedirler.

7.     Cybersucirty Fundamentals Certificate nedir?

Cybersucirty Fundamentals Certificate kariyerini siber güvenlik üzerine kurmak isteyen yeni mezunlara yönelik bilgiye dayalı tasarlanmış bir sertifikadır. Sertifikayı elde etmek için adayların sınavı geçmeleri gerekmektedir. İlk sınav Eylül 2014 içerisinde Barselona’da yapılacak olan EuroCACS/ISRM konferansında gerçekleştirilecektir. Daha sonrasında ise online sınav yapılabilecektir. Sertifika National Institute of Standards and Technology (NIST) National Institute of Cybersecurity Education (NICE) and with the Skills Framework for the Information Age (SFIA) ile uyumlu olarak tasarlanmıştır. Sınavda dört alana yönelik sorular olacaktır; 1)sibergüvenlik mimarisi ilkeleri, 2)Networkler, sistemler, uygulamalar ve veriye yönelik sibergüvenlik, 3)Güvenlik Olaylarına müdahale, 4)Gelişen teknolojileri siber güvenliğe yönelik kullanma

8.     ISACA Cybersecurity Nexus programı ile yeni bir siber güvenlik sertifikası mı oluşturmaktadır?

Evet. ISACA hali hazırda güvenlik yönetimine yönelik CISM sertifikası sunmaktadır. Geliştirilmekte olan yeni sertifika uygulayıcı düzeyinde sunulacaktır. İlk sınav Haziran 2015’de yapılacaktır.

9.     ISACA üzerinden hangi siber güvenlik eğitimleri sunulmaktadır?

ISACA, 2014 yılı için EuroCACS/ISRM ve Güney America CACS çalıştaylarını sunmaktadır. Daha fazlası ise geliştirilmektedir.

10.   Siber güvenlik için hiç COBIT ile alakalı kaynak mevcut mudur?

Evet. “Transforming Cybersecurity Using COBIT 5” isimli rehber, COBIT 5 çerçevesi ve bileşenleri siber güvenliğe yönelik faaliyetleri sistematik olarak ele alınmasına yönelik yönlendirmeyi içermektedir.

Daha detaylı sorularınız olursa cevaplar için news@isaca.org mail adresini kullanabilirsiniz.

Bilgi Teknolojileri Denetimi Açısından Donanımlara Yönelik Denetim

Bilgi Teknolojileri denetçileri tarafından donanım ve donanım güvenliği üzerine gerçekleştirilen denetim faaliyetlerinin temel hedefi Bilgi Sistemleri Varlıklarının kaybolması, zarar görmesi ve her hangi bir sebeple iş süreç sahiplerine hizmet sağlayabilmesine engel oluşturacak durumlara karşı koruma sağlanmasına yönelik gerekli güvencenin verilmesidir. Donanım varlıkları çeşitli güvenlik tehditlerine karşı fiziksel korunma gerektirebilmektedir. Donanım varlıklarının çevresel bir zarara sebep olmadıklarından ya da çevresel bir zarardan etkilenmediklerinden emin olunması önemlidir. Kontroller ile yetkisiz veri erişimleri, yetkisiz ekipman çıkarılması ve yok edilmesi riskleri düşürülmektedir. Kontrollerin kapsamı güç sağlanması ve iletişim gibi destekleyici unsurların dahi güvence altına alınması şeklinde genişleyebilir.

Denetçi temelde aşağıdaki 4 hedef üzerine odaklanabilir;

1.       Varlıkların etkin ve etkili kullanımı

2.       Varlıkların korunması

3.       Varlıkların yetkiler dahilinde erişilebilirliği

4.       Donanımın bütünlüğüne yönelik bakım

Varlık Sınıflandırılması ve Kontrol

BT Denetçisi, organizasyon tarafından kullanılan çeşitli varlıklara ve bu varlıkların konum bilgilerine ilişkin fikir sahibi olmak adına Varlık Envanteri üzerinde inceleme yaparak denetime başlayabilir.

Envanter kayıtları varlıklara ilişkin hard-disk numarası, ana kart numarası ve konum bilgisi gibi detayları içermektedir. Her varlığa bir sahiplik ataması yapılmalıdır. Denetlenen organizasyonun işletilen bir varlık sınıflandırma rehberi olmalıdır. Varlık sınıflandırma, çok çeşitli olan varlıkların yönetilmesine ilişkin spesifik süreçlerin işletilmesine ve varlıkların korunmasına rehberlik etmektedir. Varlık ve bilgilerin ele alınması ve etiketlenmesi tanımlanmış sınıflandırma şemasına uygun yapılmalıdır.

Donanımlar böylelikle operasyonlara yönelik kritiklik seviyeleri ve iş açısından olan önceliklerine göre kategorize edilmektedirler. Burada önemli nokta varlığın mali değerinin kritiklik için kriter olamayacağıdır.  Kritikliğe karar vermenin yolu varlığın eksikliğinde hangi iş fonksiyonların etkileneceği, normal duruma dönülmesinin ne kadar süre alacağı ve iş fonksiyonlarının doğasının bu süreye tahammül durumunun değerlendirilmesinden geçmektedir. Kritik varlıkların kontrolleri üzerinde denetçi tarafından özellikle durulmalıdır.

Fiziksel Ekipman Yerleştirimi ve Korunması

Ekipman yerleştirim ve korunması, çevresel tehdit ve felaketlerden korunmayı ve yetkisiz erişimin kontrol altına alınmasını sağlamaktadır. Bir denetçi aşağıdaki sekiz hususu göz önünde bulundurmalıdır;

1.      Ekipman yerleşimi teknik çalışma alanlarına erişimi zorlaştırmalıdır. Örneğin sıcaklığı kontrol eden termostat ve sistem odasındaki klimalara sistem kaynaklarına erişim ihtiyacı olmayan personel sistem odalarına giriş sağlamadan kontrol sağlamalıdırlar.

2.      Hassas verileri barındıran varlıkların konum ve düzeni yetkisiz erişim ve yetki dışında takip riskini azaltacak şekilde olmalıdır.

3.      Özel korunma ihtiyacı olan varlıklar standart varlık koruma prosedürlerini kolay işletebilmek adına izole edilmelidir. Özel sıcaklık ve nem düzeyi gerektiren sunucu odası izole edilmeli ve özel alana özgü kontroller tesis edilmelidir (ısı, nem ölçüm ve takibi gibi.)

4.      Hırsızlık, yangın, patlama, duman, su, toz, deprem, kimyasal madde, elektrik ve elektromanyetik parazit ve benzeri tehditlerden kaynaklanabilecek kayıplar yeterli kontroller ile minimize edilmelidir.

5.       İlgili alanlarda yeme, içme, sigara içmek yasaklanmalı; ihlaller cezai yaptırıma bağlanmalıdır.

6.      Varlıklar üzerinde potansiyel etkiye sahip olabilecek çevresel değişiklikler erken uyarı sistemini içerecek şekilde yakından izlenmelidir.

7.      Komşu binalardan kaynaklanabilecek felaket etkileri, çatıdan gelebilecek su sızması gibi riskler değerlendirilmelidir.

8.      Komşu yerleşkelerden olabilecek erişim olasılığı değerlendirilmelidir. Örneğin, bankalara erişim için yan binalardan kazılan tünel örnekleri filmlerde çok işlenmektedir. Ağ bağlantıları için kullanılan varlıklar kolay erişime imkan sağlıyorsa, datanın kesimi riski mevcuttur.

Güç Kaynakları

Düzenli olmayan güç tesisinden kaynaklanabilecek risklerden ekipmanları koruyabilecek bir sistem var olmalıdır.  Denetçi aşağıdaki 7 hususu değerlendirmelidir;

1.      Güç kaynağının sürekliliğinin sağlanması için yedek elektrik hattı, UPS ve jeneratörler gibi birden fazla kaynaktan beslenmeyi sağlayacak önlemlerin varlığı,

2.      Güç kesintisi anında alınacak aksiyonların tanımlandığı Acil Eylem Planı Varlığı ( Contigency Plan)

3.      UPSlerin ihtiyaç dahilinde gerekebilecek enerjiyi sağlamaya yönelik kapasiteye sahip olma durumlarının belirli aralıklarla kontrol edilmesi,

4.      Jeneratörlerin düzenli olarak test edilmesi,(Gerekebilecek akaryakıtın varlığına özellikle dikkat edilmesi gerekmektedir.  Akaryakıt seviyesi düzenli olarak takip edilmediği zaman, ihtiyaç durumu oluştuğunda yakıt yetersizliği iş kesintilerine sebebiyet verebilir)

5.      Gerekmesi durumunda acil güç kapatılması için güç şartellerine kolay erişim sağlanmalıdır. Acil durum güç kapama şartelinin acil durum çıkış güzergahı üzerinde tasarlanmaması en yaygın yapılan hatadır. Bu tasarım, acil durum tahliyesi durumunda önemli zaman tasarrufuna imkan sağlamaktadır.

6.      Yıldırıma yönelik güç ve iletişim hatlarına yönelik olarak binanın yeterli korumaya sahip olma durumu,

7.      Güç ve iletişim hatlarının korunmasına yönelik planların varlığı,

Kablolama Güvenliği

Denetim içerisinde güç ve iletişim hatlarının kesinti ve zarar görmeye karşı korunmasına yönelik önlemler değerlendirilmelidir. Aşağıdaki kontroller değerlendirilebilir;

1.      Güç ve veri iletim hatları eksiksiz korunmalıdır. Yer altında ve korunaklı olarak konuşlandırılmalıdır.

2.     Kötü niyetli fiziksel kesinti ve zararlara karşı network kabloları korunacak şekilde tasarlanmalıdır. Kamuya açık alanlardan kablo geçişlerine özellikle dikkat edilmelidir.

3.       Enerji ve data iletim hatlarının ayrı tutulması gerekmektedir.

4.      Korunaklı kabinler ve/veya kilitli odalar ile güvenlik tesis edilmelidir. Hassas ve kritik sistemler için alternatif kanalların tahsisi önerilmektedir.

Fiziksel Erişim ve Hizmet Kesintileri

Bilgi varlıkları üzerinde fiziksel kısıtlar ile tasarlanan kontroller en az dikkat çekici kontroller olmakla birlikte yetkisiz erişimleri engellemeye karşı en etkili olan kontrollerdir. Bilgi varlıklarının yetkisiz erişimler ve kesintilerden korunmasına yönelik 10 adımdan oluşan öneriler listesi aşağıdaki gibidir:

1.       Fiziksel alanlara karar verilirken coğrafi konum, enerji hatları, uçuş güzergahları, muhtemel terörist saldırıları gibi çok detaylı unsurlar göz önünde bulundurulmalıdır. Alan seçimine ilişkin çevredeki bütün binaların incelenmesi, geçmiş doğal ve afet olaylarına ilişkin bilgi alınması önemli olacaktır. Fiziksel alanlardaki varlıkların üreticilerinin ortam koşulları, nem seviyesi ve diğer çevresel değişkenlere ilişkin önerileri göz önünde bulundurulmalıdır. Unutulmamalıdır ki üretici önerilerinin göz ardı edilmesi garantinin boşa çıkmasına dahi neden olabilmektedir. Kurum yer tercihi esnasında en kötü senaryoları da göz önünde bulundurmalıdır.

2.       Yetkisiz erişimlere karşı birinci seviye kontroller için güvenlik parametreleri oluşturulmalıdır.

3.       Fiziksel erişimlerin yetkili personel ile sınırlandırıldığından ve kayıt altına alındığından emin olunmalıdır. Kişilerin görev tanımlarına uygun olacak şekilde gerektiği kadarı ile erişim izni verilmelidir (Kurum içi hiyerarşinin gözetilmesinden ziyade). Bir kurumun idari en yetkili amirinin bütün yetkilere sahip olması durumu maalesef yaygındır ve riskliliği artırmaktadır. Giriş çıkış izinlerinin erişim iznine konu alanın ve alan içerisindeki varlıkların hassasiyet durumlarına göre verilmesi gerektiği göz önünde bulundurulmalıdır.

4.      Bilgi varlıkları envanter bilgileri ve taşıma bilgilerine ilişkin uygun dokümantasyonun yapılması ve güncel olması sağlanmalıdır.

5.      Temiz, eksiksiz ve kesintisiz güç sağlanmalıdır.

6.      Acil durum tahliye rotalarını ve planları içerecek şekilde eksiksiz bir planlama ve yangın koruma sistemi kurulmalıdır.

7.       Potansiyel bozulmalara karşı sistemdeki zayıf halkaların tespiti için bütün diyagramlar değerlendirilmeli, gerektiği durumlarda uzman desteğine başvurulmalıdır.

8.       Sigorta poliçesi kapsamının doğru belirlenebilmesi için bütün gereklilikler gözlemlenmelidir.

9.      Potansiyel tehditlere karşı inceleme yapılabilmesi için kritik alanlara varlıkların gönderiminden önce tutulduğu bir alan tasarlanmalıdır. Sistemlere erişim network üzerinden olduğu için network üzerinden paylaşımların kontrol edilebilmesi günden güne daha zorlaşmaktadır.

10.   Özellikle hassas alanlar başta olmak üzere ziyaretçilere eşlik edilmesine yönelik işleyişin tasarlanması ve uygulanması önem arz etmektedir.

Diğer Hususlar:

Diğer hususlar aşağıda ele alınmıştır;

1.       Donanım varlıklarına fiziksel olarak zorla erişim engellenmiş durumda mı? (Cihazların kurcalanması bağlamında düşünülebilir, BIOS pilinin sökülebilir olması risktir. Çünkü BIOS konsoluna girişimin parola ile sağlanması önemli bir kontroldür. BIOS üzerinden çalışabilir bir CD ya da bellek üzerinden çalıştırılabilecek çeşitli işletim sistemleri ile yüksek yetkilere erişmenin çeşitli ve bir kaç google araması ile öğrenilebilecek yolları vardır, risklidir.)

2.      Bilgisayar alanlarına (laboratuar, UPS veya jeneratör odaları) erişime yönelik anahtarların korunduğundan ve kopyalanma riskine karşı önlem alındığından emin olunması

3.      Laptop ve el terminalleri gibi taşınabilir cihazlar üzerinde verinin kopyalanması, depolama üniteleri ve bileşenlerinin sökülmesi gibi risklere karşı önlemler alınmış mı? Bu kontrollerin bireysel olarak da kullanıma sunulan kurum sahipliğindeki akıllı telefon, tablet gibi cihazlarda işletilmesi zor olabilir.

4.        Cihazların taşınması sadece yetkili personel tarafından gerçekleştirilmesi

Bilgi Sistemleri Tesisleri

BT denetçisi aşağıda sıralanan 3 alanda korumaya yönelik önlemlerin alındığından emin olmalıdır:

1.       Fiziksel varlıklar

a.       Yedekleme alanları da dahil bilgisayar odaları,

b.      Farklı lokasyonlardaki network ekipmanları da dahil olmak üzere hesaplama ekipmanları

c.       Taşınabilirler de dahil olmak üzere depolama medyaları

2.       Yazılı Varlıklar

a.       Geliştirmenin yapıldığı alanlar

b.      Program kodları

c.       El kitapları ve rehberler

3.       Lojistik

a.       Kurum dışı yedekleme depolama alan(lar)ı

b.      İletişim tesisleri

c.       Güç kaynakları

d.      İmha alanları

Çevresel Aygıtlar ve Depolama Aygıtları

Çevresel aygıtlar yazıcılar, ekranlar, projeksiyon cihazları gibi cihazlardır. Genellikle depolama alanları cihazların içerlerinde yer almakta birlikte çeşitli sistemlerde kullanmak için harici depolama aygıtları da kullanılmaktadır. Flash diskler, mikro SD kartlar, harici harddiskler bu kategoride sayılabilir. Cihazın taşınabilirliğinin kolaylığı ve büyüklüğü atfedilen riski direkt etkilemektedir. Bahsi geçen cihazların data aktarımı için kablosuz bağlantı özelliği barındırması ise riskliliği etkileyen bir başka unsurdur.

Çevresel Aygıtların Yönetimi

Yazıcılar, tarayıcılar, kart okuyucuları, USB modemler, flash diskler, network adaptörleri gibi cihazlar örnektir.  BT denetçisi aşağıdaki ölçütlerin kullanım durumunu değerlendirmektedir;

1.       Çevresel aygıtlar ihtiyaç duyulduğu ölçüde kullanılma durumu (need to use bases)

2.       Yetkisiz erişimlerden cihazın korunmasına yönelik önlemlerin alınma durumu

3.       Özel yetkilendirme ile kısıtlı flash disk kullanımına izin verilme durumu

4.       Belirli sayıda kullanıcı tarafından kullanılan çevresel aygıtların ana sunucu ya da diğer kritik varlıklara yakın konuşlandırmama durumu

Taşınabilir Bilgisayar Medyasının Yönetilmesi

Datanın gizliliği için belki de en az üzerinde durulan önemli bir konudur. Denetçi, taşınabilir medyaların sisteme tanımlanma ve sistem dışında bırakılma süreçlerini değerlendirmelidir.

1.       Yetkilendirilmeden hiçbir medya kullanılmamalıdır.

2.      Kurumdan uzaklaştırılacak tekrar kullanılabilir medyalar üzerinde yer alan datalar geri yükleme ve kurtarmayı engelleyici işlemler yapılarak silinmelidir.

3.      Depolama aygıtlarının sökülmesi onay süreci işletildikten sonra dokümante edilerek gerçekleştirilmelidir. Hassas öğelerin tanımlanması ve sökülmesi esnasında ekstra kontroller işletilmelidir.

4.       Bütün medyalar güvenli ortamlarda tutulmalıdır.

5.       Yedekler kurum dışında güvenli bir yerde de tutulmalıdır. (Şifrelenmesi önerilir.)

6.       Hassas sistemler başta olmak üzere güvenliği sağlanmış sistemlere erişim yetkilendirme ile olmalı ve erişimler kayıt altına alınmalıdır.