Editörler Prof. Dr. Şeref Sağıroğlu Prof. Dr. Mustafa Alkan Sağıroğlu / Alkan grafik
Yüklə 3,91 Mb. Pdf görüntüsü
|
- Bu səhifədəki naviqasiya:
- BÖLÜM 12 Dr. Ahmet EFE Siber Güvenlik Denetimi
- SİBER GÜVENLİK DENETİMİ
|
BÖLÜM
12 Dr. Ahmet EFE Siber Güvenlik Denetimi 349 SİBER GÜVENLİK DENETİMİ B T kontrollerindeki yatırımlara devam etmek, organizasyonla- rı gittikçe daha karmaşık ve yaygın olarak kullanılan saldırı yöntemlerinden korumak için sürekli olarak gerekli hale gel- miştir. Sadece kurumsal stratejiler kapsamında değil, siber güvenlik ulusal stratejileri giderek daha karmaşık hale geldiği için buralarda konulan hedef ve faaliyetlerin de denetim birimleri tarafından de- netlenmesi artık bir ihtiyaç haline gelmiştir. Kasıtlı saldırılar, ihlal- ler ve olaylar zarar verici sonuçlara neden olabilir. Bu kısım, genel bir çerçeve ve stratejinin bir parçası olarak uygulanan bu kontroller üzerindeki denetim değerlendirmelerine olan ihtiyacın altını çiz- mekte ve yönetim gözden geçirmesi, risk değerlendirmeleri ile siber güvenlik kontrollerinin BT denetimlerinde ihtiyaç duyulan mütea- kip güvence ve danışmanlık faaliyetlerine odaklanmaktadır. Siber güvenlik ile ilgili zafiyet, risk ve tehditlerin denetimlerde dikkate alınabilmesi için gerekli olan yaklaşım biçimi ve teknikler hakkında temel bilgiler sağlanmaktadır. Ayrıca COBIT-5 çerçevesi kapsamın- da siber güvenlik denetimlerinin nasıl yapılması gerektiğine dair de bir altyapı sağlamaktadır. 12.1. Giriş Siber güvenlik, günümüzde büyük veri ihlallerinden kaynaklanan suiistimaller, tazminat ve yasal cezalar nedeniyle günümüzde birçok kuruluşun yönetim kurullarından büyük ilgi görmektedir. Kamu kurum ve kuruluşları da ulusal stratejiler kapsamında giderek ar- tan bir oranla siber güvenlik yatırımlarına yönlendirilmektedir. Yönetim ve şirket kurullarının üst düzey yöneticileri bazı ihlallere karşı gerekli önlemlerin alınmamış olması nedeniyle pozisyonlarını kaybettiler. Buna benzer durumlardan dolayı organizasyonlar siber güvenlik önlemleri kapsamında değerli kaynaklar harcayıp müş- D R . A H M E T E F E 350 terilerini ve paydaşlarını bir bütün olarak memnun etmeye çalış- tılar. Organizasyonlar, ihlallerin oluşmasını engellemeye çalıştıkça altyapı harcamaları da arttı. Çünkü önleyici kontroller her zaman çok daha fazla maliyet oluşturmaktadır. Olay tespiti ve müdahale mekanizmalarındaki güvenlik teknolojisi yatırımları, olay meydana geldiğinde hasarı ve yükümlülüğü sınırlamak için tırmanmaktadır. Altyapıyı ve savunma mekanizmalarını geliştirmek için yapılan bu faaliyetler, saldırılardan korunma ve saldırılara karşı sorumlu olan- lara yapılan yatırımlarda memnuniyetle karşılanabilmektedir. Bu kapsamda ülkemizin 2016-2019 Ulusal Siber Güvenlik Stratejisin- de çok önemli hedefler ve faaliyetler bulunmaktadır. Ancak bunlar herhangi bir siber güvenlik programının sadece bir bileşenini temsil etmektedir. Sorulması gereken temel sorular şu şekildedir: • Bir sonraki güvenlik bileşenine yatırım yapmak için en uygun yer neresi ve ne zamandır? • Doğru miktar ayrılabilmekte midir? • Ele alınmayan risk alanları var mıdır? • Mevcut altyapı yeterli midir? • Bugün kullandığımız yatırımlar akıllıca mı kullanılmakta mıdır? • Rakipler ve saldırganlar buna nasıl yaklaşmaktadır? • Siber güvenlik stratejileri ve politikalarında belirtilen hedef ve faaliyetler etkin bir şekilde gerçekleştirilmekte midir? • Siber güvenlik hedefleri ve faaliyetlerinde ortak çalışması gere- ken veya bilgi paylaşması gereken birimler arasında etkin koor- dinasyon yapılabilmekte midir? Buna benzer soruların sayısı arttırılabilir. Ancak bu sorulara bekle- nebilecek cevaplar aşağıdaverilmiştir. 1) Mevcut ve ortaya çıkan riskleri, tahsis edilen kaynakları ve so- nuçları organizasyona göre değişen yönetim ve yönetişim süreç- leriyle birlikte değerlendirmek 2) Bilgi varlıklarını korumak için mevcut veya planlanmış olan gü- venlik kontrollerini denetlenmek. Resmi süreçler olmadan, aracın veya önlemin BT mimarisiyle uy- gun olduğu yeri anlamadan uygun olmayan program veya araçla- rın satın alınması riski her zaman vardır. S İ B E R G Ü V E N L İ K D E N E T İ M İ 351 - Önerilen her hangi bir araç veya güvenlik seti, mevcut maliyet setinin ötesinde siber güvenlik yeteneklerini mevcut araç setinin kabiliyetlerinin ötesinde yeterince geliştirebilecek mi? - Kurumun sahip olduğu risk temelinde, para başka bir yerde daha iyi harcanmış olabilir mi? - Mevcut araçların kabiliyetleri yeterince uygulandıktan sonra mı yeni araçlar satın alındı yoksa mevcut sistemle uyumu dikkate alınmadan alındı ve şimdi de raf mı? Bu sorular, denetim ekibi tarafından bir kurum için riskleri değer- lendirmek ve siber güvenlik kontrollerini denetlemek için bir mik- tar rehberlik sağlayacaktır. Yüklə 3,91 Mb. Dostları ilə paylaş:
|