Bilgi savunmasının cepheleri

Transkript

1 Bilgi savunmasının cepheleri Fatih Emiral Deloitte. Etkin ve güçlü kurumlar için bilgi varlıkları (halen bilançolarında bu adla görülmeseler de) büyük deerlere ulamı ve vazgeçilmez konuma gelmitir. Bu durumu reddetmek veya görmezden gelmek mümkün deildir. Deerli bir varlıa sahip olunduu ve bu varlıa yönelik tehditler de mevcut olduunda, ihtiyatlı ve mantıklı varlık sahibinin yapması gereken, bu varlıı deeri nispetinde savunmasıdır. Yani yapılacak savunma, yatırımının miktarı beklenen kayıp miktarına eit veya daha az olmalıdır. Peki bilgi varlıklarımızı hangi cephelerde ve nasıl savunmalıyız? Eer bilgi varlıımız etrafına geçilmez bir duvar örmek suretiyle korunabilseydi, çok basit bir çözüme kavumu olurduk. Ancak bu pek olası bir strateji deildir çünkü pek çok varlıın aksine, "bilginin deeri doru kiilerle ve doru amaçlar için paylaıldıkça ortaya çıkar ve artar". Bu durumda hat savunması yapılsa bile belli durumlarda geçie izin vermek, bilginin doası nedeniyle gereklidir. Bilgi, merkezi depolarda, yedek depolarında, istemciler ve sunucularda bulunduu gibi, istemci sunucu arasındaki veya sunucular arasındaki iletiim hatlarında yol alır, kaıt üzerine dökülür ve hatta kiilerin belleklerinde yer alır. Sonuç olarak hat ve alan savunmalarını bir arada kullanmak en doru çözümdür. Çok kritik durumlarda, bire bir savunma dahi gerekebilir. Önemli olan bu savunma yöntemlerinin ortaya konması ve dengeli biçimde uygulanması, yani savunma yatırımlarının gerekli yerlere dengeli biçimde yapılmasıdır. Bilgi savunmasında kolektif olarak kullanılması gereken bu yöntemler aaıdaki gibidir; Güvenlik organizasyonu Bilgi savunmasında, bilgiyi bilgi sahibinin istei dorultusunda kullanan ve bilgiden yarar gören herkes bir nefer olmalıdır. Ancak güvenlik organizasyonu daha aktif görevler üstlenmek üzere gereklidir. Böyle bir organizasyonun varlıı, bilgiye yönelen tehditlere karı proaktif önlemler uygulanmasına imkan tanıyacaktır. Bilgi güvenlii organizasyonu; sürekli olarak tehditlerin belirlenmesi, risklerin analiz edilmesi, risklere karı önlemlerin uygun olanlarının seçilmesi ve uygulanmasından sorumludur. Bu tür organizasyonların henüz pek görülmedii kurumlarımızda gözden kaçan zafiyetlerin doması, kontrollerin dengeli uygulanamaması ve saldırılara zamanında müdahale edilememesi son derece olasıdır. Kullanıcı ve BT çözümleri üretenlerin bilgi güvenlii bilinci Kullanıcı tarafından ilenmek ve kullanılmak üzere üretilen ve saklanan bilgi, en nihayet kullanıcının fiziksel olarak elleri üzerinde veya hafızasında bulunacaktır. Kullanıcılar, bilgi sahipleri tarafından kendilerine verilen çeitli türlerde bilgi eriim anahtarlarını da taımaktadır. Kullanıcılara bilgiye eriim araçları ve eritikleri bilgiyi neden ve nasıl korumaları gerektii anlatılmalıdır. Kurum tarafından koyulan güvenli eriim ve kullanım kurallarına uymamanın somut ve etkili yaptırımları kullanıcılara iletilmelidir. Bu iletiim kullanıcı profil ve kültürüne göre ekillendirilmeli, hedefine ulaabilmesi için, kullanıcının samimi i birliini kazanmayı amaçlamalıdır. Güvenlik sistemlerinin mevcut bilgi sistemlerine sonradan eklenmesinin maliyeti, tasarım aamasında sisteme dahil edilmelerinden çok daha yüksek olmaktadır. Ayrıca güvenlik açıı olan bilgi sistemlerinin üretimi, hem tespit maliyetini hem de (tespit ve düzeltme çabası olması kaydıyla) belli bir süre boyunca kurumun riskini artırmaktadır. Bu nedenle kurum yönetimi, fonksiyonel ihtiyaçlara odaklanmı ve zaman baskısı altında çalıan BT uzmanlarının güvenlik kontrollerini tasarım aamasında, gerekiyorsa kontrol uzmanları ile birlikte belirlemeleri ve tasarımlarına eklemelerine önem vermeli ve bunun için imkan salamalıdır.

2 Kimlik yönetimi Bilginin saklandıı ortam ve bilgiye eriim platformlarının artması, çok sayıda kullanıcı bilgisinin saklanmasını, dolayısı ile kullanıcılar tarafından çok sayıda kullanıcı kodu ve ifrenin hatırlanmasını zorunlu kılmıtır. Farklı ve çok sayıda giri kontrol noktasının olması, kullanıcıların kolay ifre seçmesine, ifrelerini yazmasına, farklı platformlarda farklı ifre kriterlerinin uygulanmasına, ie balayan, görevi deien, iten ayrılan personel için operasyon yükünün artmasına veya ihmal ihtimalinin yükselmesine neden olmaktadır. Bu sorunu bertaraf etmek için, kimlik yönetimini tek noktaya toplayan standartlar ve araçlar gelitirilmitir. Uygulama güvenlii ve bütünlüü Uygulamalar ve dier raporlama araçları, bilgi üretimi ve kullanımı için en önemli araçlardır. Bu araçlar i süreçlerine uygun olarak tasarlanmakta, farklı kullanıcı profilleri için farklı ihtiyaçları yerine getiren modülleri barındırmaktadırlar. Uygulamalar, alt yapı güvenlik kontrolleri tarafından genellikle güvenilir varsayılır. Bu nedenle uygulamaların yetersiz kullanıcı tanıma ve eriim hakkı atama imkanlarının olması, uygulamalara eriim haklarının yeterli detayda tanımlanamaması, güvenlik kayıtlarının yeterince veya hiç tutulmaması, uygulama gelitirme ve deiim yönetiminde gerekli kontrollerin uygulanmaması gibi zafiyetler mevcutsa, uygulama araçları iç ve dı bilgi hırsızları ve saldırganlar için sonuna kadar açık kapılar haline gelebilirler. Uygulama kontrol alt yapılarındaki açıklar sadece teknik nedenlerden kaynaklanmaz. Kullanıcı haklarını tanımlama konusundaki prosedürel eksiklikler veya kurumun i süreçlerinde rollerin ayrımı ilkelerinin uygulanmaması da kurumun uygulamalar aracılıı ile zarara uratılmasına yol açabilir. nternet uygulamaları, kurum bilgi kaynaklarına açılan kapıyı daha geni kitlelere ulatırdıklarından, bu uygulamaların çalıtıı platformlara özgü ve genel uygulama zafiyetlerine özellikle dikkat edilmeli ve gerekli kontroller yapılmalıdır. Tüm uygulama gelitirme personelinin çalıtıı platformlarla ilgili güvenlik konularında bilgi sahibi olması gerekmekte, ancak nternet uygulaması gelitiren personelin bu konuda çok daha yetkin olması büyük önem taımaktadır. Veri kalitesi Kalite maliyeti bilindii gibi alım, üretim ve satı sonrası aamalarda oluan test, kontrol, üretim kaybı, pazar kaybı ve garanti maliyeti gibi kalemlerden oluur. Bilginin de üretilmesi için kaynak harcanır ve sonunda müteriler tarafından kullanılır. Dolayısı ile bilgi de bir kalite maliyetine sahiptir. Veri kalitesindeki zafiyet dorudan bilgiye karı bir tehdit gibi görünmese de gerçekte yeterli bilginin olumasını engelleyerek, bilginin potansiyel deerini düürür. Veritabanı güvenlii Günümüz veritabanı yönetim sistemleri, ayarlanabilir pek çok güvenlik parametresini bünyelerinde barındırmaktadır. Ancak tüm bilgi sistemleri gibi, kutudan çıktıı durumda veya yetersiz konfigürasyon ile kullanılan veritabanı yönetim sistemleri saldırılara açıktır. Veritabanları da tüm sistem yazılımları gibi, kefedilmi veya kefedilmeyi bekleyen açıkları barındırmaktadırlar. Bilginin büyük zamanını geçirdii ve topluca ulaılabildii bu ortamların korunması son derece önemlidir. Veritabanı güvenliinde en kritik önlemlerden biri, veriye sadece uygulamalar aracılıı ile eriime izin verilmesidir. Tüm uygulamalar için olduu gibi, hem BT personeli hem de son kullanıcılar için veritabanına dorudan ulaan uygulamaların (utility'ler) kurulumları, BT ve güvenlik yönetiminin kontrolünde, sadece ihtiyaç olması durumunda yapılmalıdır. Veritabanı profilleri için kullanılan ifreler kaba tahmin yöntemlerine dayanıklı karmaıklık ve uzunlukta olmalı, düzenli veri yedekleri alınmalıdır. letiim güvenlii letiim giri noktaları, fiziksel savunma hattından sonraki (veya önceki) ilk savunma noktalarıdır. letiim güvenliinde sadece balantı noktalarındaki fiziksel ve mantıksal kontroller yeterli deildir, iletiim hatlarının fiziksel güvenlii de önemlidir. letiim güvenliinin salanması kurum dıı iletiimde olduu gibi, kurum içinde kritik alanlarda da gerekli olabilir. Günümüzde kablosuz iletiim teknolojisi de kullanılmaya balandıından, fiziksel sınırlar önemini yitirebilmekte, bilgi aının fiziksel güvenliini anlamsız kılabilmektedir. letiim güvenliinde gizlilik, bütünlük ve eriilebilirlilik kriterlerinin hepsi tehdit edilebileceinden, tüm kriterlerin yerine getirilmesi için gerekli kontrollerin uygulanması gereklidir. Gizlilik ve bütünlük ihtiyacı için kullanım alanına göre asimetrik veya simetrik ifreleme çözümleri uygulanmalı, sınır noktalarında sadece ihtiyaç

3 duyulan protokoller için ve mümkünse istenen noktalardan gelen giri ve çıkı taleplerine izin verilmelidir. Eriilebilirlie yönelik ve dier tehditlerin hızlı algılanabilmesi için, kritik sunucular ve iletiim hatları üzerindeki iletiim paketlerini dinleyen saldırı tespit sistemleri kullanılmalı, güvenlik cihazlarının kayıtları izlenmelidir. letiim güvenliinde kullanılan giri kontrol araçlarının, kritik sunucu ve dı dünyaya açılan sunucuların belirlenmi açıkları kapanmı güncel versiyonlarının kullanılması hayati önem taımaktadır. çerideki bilgi kaynaklarının bulunduu platformlara ilikin dıarıya bilgi sızdırılmaması için gerekli kontrollerin uygulanması, dıarıya bilgi veren veya gereksiz bilgisayar servislerinin kapatılması da saldırganların muhtemel saldırılar için ihtiyaç duyacakları bilgiye ulamalarını zorlatıracaktır. Zayıflık denetimi Kurumlar bilgi sistemleri alt yapılarında, çeitli üretici firmalar tarafından üretilmi sistem ve bilgi aı yazılımlarını kullanmak zorundadırlar. Bu yazılımlar uygulama, veri ve iletiim platformlarını ve kurum sistemleri için alt yapı hizmetini saladıklarından, bu sistemlere giri bilgiye açılan kapı olabilir. Dünyanın her yerinde sistem yazılımlarının açıklarını kefetmek için uraan pek çok kii bulunmaktadır. Bu kiiler iyi veya kötü niyetlerle buldukları açıkları, nternet üzerinden tüm dünya ile paylamaktadır. Yaklaık olarak günde 20 sistem açıının nternet üzerinden açıklandıı tahmin edilmektedir. Bilgi teknolojileri saldırılarının çok önemli bir bölümü, açıklanmı ve bilinen zayıflıklar kullanılarak gerçekletirilmektedir. Bu nedenle kurumların bilgi sistemlerini saldırganlardan korumak için, kullanmakta oldukları sistemler ile ilgili açıkları yakından takip etmeleri, üretici firmalar tarafından gelitirilen çözümleri bir an önce uygulamaları çok önemlidir. Virüs koruması Virüs uygulamaları baka uygulamalara kendilerini ekleyerek, bu uygulamalar aracılıı ile veya dorudan kendilerini bilgi aı üzerindeki dier sistemlere kopyalayarak çoalırlar. Bu nedenle hem bilgi aı hem de dosya dolaımı (özellikle e-postalar aracılıı ile) kontrol edilmelidir. Çeitli platformlar için gelitirilmi anti-virüs yazılımları bulunmaktadır. En etkili yaklaım; tüm bilgisayarlarda anti-virüs yazılımlarının bulunması, virüs imzalarının güncellenmesi, bilgi aı giri noktasında, e-posta sunucusu üzerinde ve kiisel bilgisayarlar üzerinde amaca özel uygun modüllerinin bulunması, anti-virüs uygulamalarının dosya kopyalama ve çalıtırma sırasında virüs kontrolü yapması, virüs tespiti üzerine sistem yöneticisini uyaracak biçimde ayarlanmı olması, BT yönetimi tarafından onay verilmeyen uygulamaların kurulumuna izin verilmemesi, uygulama kurulumunun BT kontrolünde olması, "worm" saldırılarını belirlemek için saldırı tespit ve koruma duvarı kullanılması, virüs tespiti durumunda virüs bulamı sistemlerin bilgi aından izole edilmesi için gerekli prosedürlerin oluturulması, mümkünse farklı katmanlarda farklı firmaların ürettii anti-virüs yazılımlarının kullanılmasıdır. Günlük tutma, izleme ve raporlama Bilgi sistemlerine yönelik saldırılar genellikle kullanılan sistemlerin zayıflıklarından faydalanmak amacı ile saldırı öncesinde sistemlerin tanımlanmasını gerektirir. Bilgi sistemleri parametreleri ayarlanabilir kayıt özellikleri ile kendilerine yapılan talepleri, üzerlerinde gerçekletirilen ilemleri kaydedebilir. Bilgi güvenliine yönelik gelitirilmi araçların kayıt yetenekleri daha da üstündür. Bu imkanlar sayesinde saldırı öncesi ve saldırı sırasında gerçekletirilen faaliyetler kaydedilebilir. Kayıtlar saldırının geliini haber verebilir veya baarılı saldırı sonrasında suç aratırmasında büyük fayda salar. Bu konuda kritik nokta, kayıtların tutulmasından daha çok, düzenli ve mümkünse otomatik olarak analiz edilmesidir. Aksi takdirde, sistem kaynaı ve disk kaybından baka bir ie yaramazlar. Fiziksel güvenlik Medeniyetimiz ne kadar gelimi olursa olsun, tüm tehditler karmaık yöntemlerle ve bilgi aları üzerinden gelmeyecektir. Bilgiye yönelik fiziksel tehditler, en az mantıksal tehditler kadar önemlidir. Fiziksel tehditler arasında çalınma, zarar verme, yetersiz ortamlar nedeniyle bilgi sistemlerinin zarar görmesi ve dolayısı ile bilgi teknolojileri hizmetlerinin kesintiye uraması, donanım arızası ve bilginin sistemlerin yaydıı manyetik dalgaların dinlenmesi suretiyle çalınması sayılabilir. Fiziksel tehditlere karı uygulanacak en etkili savunma yöntemleri olarak; periyodik fiziksel risk analizi, kritik donanımın periyodik bakımı, kritik bilgi sistemlerinin bulunduu bölgelere sadece görevi gerektiren ve yönetim tarafından izin verilmi kiilerin giri çıkıına izin verilmesi, kritik bölgelerin izlenmesi, giri-çıkıların kayıt altına alınması, kritik donanımın yangın,

4 su, nem, toz, ısı, elektrik kesintisi, manyetik alan ve statik elektrie karı yeterli önlemlerin alındıı ortamlarda saklanması sayılabilir. süreklilii ve felaket kurtarma Fiziksel güvenlikle yakından ilgisi bulunan bu alan, kesintilere karı i süreçleri ve teknik alt yapı konusunda yapılacak planlama, eitim ve testleri kapsar. Özellikle büyük ve karmaık i süreçlerine sahip kurumların bilgi teknolojileri baımlılıı artmı, bu durum BT hizmetlerinin kesintisini daha kritik öneme kavuturmutur. süreklilii ve felaket kurtarma planlaması kritik i süreçlerinin analizini, süreçlerin baımlı bulunduu fonksiyonların ve teknolojik alt yapının tespitini, i süreçlerinin maksimum kesinti dayanma sürelerinin tespitini, hedeflenen kurtarma sürelerinin tespitini, kesinti durumunda uranılacak zararın boyutuna ve kurtarma zaman hedefine göre gerekli devamlılık ve kurtarma yatırımlarının seçilmesini, etkin bir planlama, eitim, iletiim ve test döngüsünün uygulanmasını ve kesintiye karı hazırlıklı kalınmasını, kesinti durumunda kritik süreçlerin kabul edilebilir süre ve seviyede devam ettirilebilmesi için gerekli prosedürlerin hazırlanmasını, kesinti sırasında biriken bilgi ve ilerin bilgi sistemleri ayaa kaldırıldıktan sonra sistem ile senkronizasyonunu, souk, ılık veya sıcak kurtarma merkezlerinin oluturulmasını içerir. Gizlilik Ülkemizde henüz bireysel veya dier kritik bilgilerin gizliliinin korunmasına yönelik batıdaki nitelik ve çoklukta düzenlemeler bulunmamakla birlikte, bazı ülkelerde birey ile ilikilendirilebilir salık, finansal ve dier bilgilerin gizlilik içinde saklanması, bu tür bilgilerin aktarımı sırasında güvenlik zincirinin kırılmaması kurumlar için zorunluluktur. Bu nedenle benzer düzenlemelere tabi kurumların kritik bilgilere eriim, kullanım ve bilginin aktarımı sırasında mahremiyet kontrollerini titizlikle uygulaması, kurumun müteri güveni, itibar ve para kaybetmemesi açısından son derece önemlidir. Bilgi teknolojileri denetimi Bilgi teknolojileri denetimi savunma cephelerinin tümünün yukarıdan görülmesi ve savunma gücü hakkında baımsız güvence salanması açılarından son derece önemli bir yönetim fonksiyonudur. BT denetimi kurum içinde bilgi savunma komuta görevini üstlenen yönetim birimine ve kurumun hedeflerine ulama baarısı için nihai sorumluluu taıyan yönetime son derece önemli bilgiler salar. Bilgi güvenlii yönetimi Tüm bu savunma yöntemlerinin ötesinde ve öncesinde teknik bir yöntem olmaması nedeniyle teknik personel tarafından itibar görmeyebilecek bir savunma yöntemi vardır ki, aslında tüm savunma çabalarına bu yön verir. Bu yöntem savunma çabalarını yönlendirecek, bilginin korunmasından fayda görecek ve bilginin korunması konusunda sorumluluk sahibi taraflara yön veren bilgi güvenlii politika, standart ve prosedürleridir. Bilgi güvenlii politikası, savunma çabalarını bir orkestra efi gibi yönlendirir, bir baka deyile, savunma kuvvetleri komutanının ortaya koyduu stratejidir. Standartlar, sürekli bir geliim içinde olan bilgi teknolojileri alt yapısındaki genileme ve yeni parçaların alt yapıya eklenmesinin önceden belirlenmi ve güvenlii onaylanmı olan ekillerde gerçekletirilmesi için bilgi teknolojileri uzmanlarına yön gösterirler. Prosedürler ise bilgi ileme, eriim haklarının tanımlanması, deitirilmesi ve kaldırılması, yedeklerin alınması, rutin kontroller ve izleme gibi güvenlikle ilgili tüm operasyonel adımları tanımlar ve her bir operasyonun önceden belirlenmi biçimde yürümesi için yol gösterir. BT iletiimi olan i ortakları, kurum dıından eriim noktaları Son derece önemli bir savunma alanı da güvenilen dı eriim alanlarıdır. Dorudan kontrol dıında bulunan bu alanlardaki savunma gücünün yeterlilii hakkında üphe duymak son derece doaldır. Bu nedenle, kontrol derecesine balı olarak bu alanlara güvenilmez gözüyle bakmakta ve iletiim noktalarında sıkı kontroller uygulamakta fayda vardır. Bu varsayımın alternatifi, i ortakları ile yukarıda sayılan dier cephelerde ortak savunma yapmak veya i ortaının savunma gücü hakkında baımsız ve objektif güvence (denetim) salamaktır. Kurum dıından gelip de kurum bilgi aına balanması gereken kiilerin, kurum bilgi güvenlii politika ve prosedürlerine uyumu salanmalıdır.

5 Deloitte. Bilgi savunmasındaki temel cepheler yukarıda da belirtildii gibi içeride, sınırda, sınır dıında ve hatta bilgi kullanıcılarının zihinlerinde bulunmaktadır. Bu kadar çok cephesi olan bir savunma sisteminin yönetimi çok karmaık olabilir. Bu nedenle yine yukarıda belirtilen bilgi güvenlii yönetim, kontrol, izleme ve güvence mekanizmaları da son derece önemlidir. AGUSTOS 2004, ACTIVELINE