Editörler Prof. Dr. Şeref Sağıroğlu Prof. Dr. Mustafa Alkan Sağıroğlu / Alkan grafik
Yüklə 3,91 Mb. Pdf görüntüsü
|
|
b) Uygulama Kontrolleri
İşlem ölçeğinde düşük olan kuruluşlar bile, ilk savunma hattı olarak gerekli olan kontrolleri sıklıkla uygulamışlardır, ancak söz konusu çerçevelerin dikkatli bir şekilde tanımlanması ve uygulanmasıyla uygulamayı planlamamış olabilir. Örneğin, bir güvenlik duvarı, an- tivirüs yazılımı, şifre oluşturma ve yedeklemeler hakkında sınırlı bir kullanıcı eğitimi almış olabilirler. Bu kontrollerin herbiri bilgi varlıklarını korumak için bir amaca hizmet eder. Bununla birlikte, aynı düşük olgunluktaki organizasyon, güvenlik duvarı kuralları- nın düzenli olarak güncellenmesini, antivirüs yazılımının tüm iş istasyonlarına yüklenmemesini veya en son imzaları içermemesini veya izinli son kullanıcıların güvenliklerini kaçırmasını sağlamaya yeterli dikkat göstermemiş olabilir. Bu nedenle, kontroller yürür- lükte gibi görünse bile, bu süreçlerin iyi tasarlandığından ve doğru bir şekilde yürütüldüğünden emin olmak için kuruluş düzenli ola- rak bağımsız denetimlerde bulunmalıdır. c) Kontrollerin Raf Ömrü Kontroller, tehdit ortamını dikkate alarak BT işletim altyapısını ko- rumak için uygulanmaktadır. Genelde bir kontrol tesis edildikten sonra gelişen teknoloji ve yenilikçi ortamda değişkenlik göstererek tehdit ve risk algı ve iştahına göre periyodik olarak gözden geçiril- memektedir. Bu bazı kurumlarda ciddi bir eksiklik olarak dikkate alınabilir. Bulut, mobil, nesnelerin interneti (IoT), büyük veri, güvenlik ana- litiği ve bilginin yeni yerini ele almak için yeni kontrol sınıflarına olan ihtiyaç gibi tehdit ortamları değiştikçe, kontroller de değişme- lidir. Bu kontroller üzerindeki denetimler de değişmek durumun- dadır. Çünkü geçmişte gerekli olmayan kontrolleri ele almak için yeni alanların denetlenmesi (yani, bir bulut uygulamasına yönelik yedekleme stratejisinin veya bir mobil cihazdaki şifre kontrollerinin denetlenmesi) gerekir. Önceki denetimlerde yönetim tarafından bir S İ B E R G Ü V E N L İ K D E N E T İ M İ 357 kez kabul edilen eksiklikler, yeni yasalar ve yönetmelikler veya veri miktarındaki büyümeye müteakip kurum için daha fazla riskin art- ması nedeniyle artık kabul edilemeyecektir. Yüklə 3,91 Mb. Dostları ilə paylaş:
|