Bilgi güvenliği önlemlerinin doğrulanması için bir yöntem olarak Sızma testi

Şirket yönetimi bilgi güvenliği önlemlerine duyulan ihtiyacı görmediğinde, soruna gerçek bir çözüm olamayacak yetersiz fonlar ayırır. Yaygın bir uygulama olarak, özellikle ekonomik istikrarsızlık dönemlerinde, mevcut araçlarla güvenlik açıklarını düzeltmek istenir.

Kriz durumlarında rekabet savaşları artar, rakip şirketlerin faaliyetlerini istikrarsızlaştırmak için sert yöntemler kullanılır. Bu tehditlere ancak açık ve etkili bir bilgi güvenliği sistemi kurularak müdahale edilebilir.

Bilgi güvenliği önlemleri için fonların azaltılması ile artan tehdit sayısı arasındaki çelişki nasıl çözülür?

Müşteri şirketlerinden birinin liderliğinin önündeki profil biriminin bütçesini haklı göstermek için standartlara uygun olmayan sızma testi hizmetlerinden bahsedelim.

Veriler: Türkiye’nin çeşitli bölgelerinde hizmet vermekte olan ve toplam personel sayısı birkaç yüz kişi olan bir şirket.

Şirketin yeterli finansman alan çok sayıda çalışanı olan bir IT departmanı var. Ayrıca iki çalışandan oluşan bir bilgi güvenliği birimi de bulunmaktadır. Fakat o kadar çok Bilişim Güvenliği sorunu var ki, bunları iki kişi tarafından makul bir süre içinde çözmek mümkün değildir. Ayrıca, bilgi güvenliği ile ilgili yazılım ve teçhizat alımı için finansman arzulanan seviyede değildir.

Yapılanlar: IT Müdürünün bilgi güvenliği departmanı için ek ücret tahsis etmediğini ve bilgi güvenliği ile ilgili yazılım ve ekipman alımını mütevazı bir şekilde finanse ettiğini görülüyor, çünkü şimdi şirketin bilgi güvenliğini sağlamak için yatırım yapmanın neden gerekli olduğunu anlamıyor.

Sunulan hizmetler: Şirket yönetimine bilgi güvenliği önlemlerinin yetersiz fonlama uygulamasının nelere yol açabileceğini açıkça göstermektir.

Çözüm: Sızma testi (penetrasyon testi, pentest).

Kural olarak, istikrarı sağlamak için bilgi güvenliği sistemi kurulduktan sonra bir penetrasyon testi yapılır. Daha farklı durumlarda, önce bir denetim yapmak, bir sistem kurmak ve ancak daha sonra bir sızma testi yapmak daha mantıklı olacaktır. Ancak, hatırladığımız gibi, yönetim bilgi güvenliği ile ilgili faaliyetleri ciddi şekilde finanse etmeye hazır değildir. Bu nedenle, sızma testinin “kırmızı hücre” olarak kullanılmasına karar verildi.

Servis sağlayıcılara şirketin bilgi sistemi hakkında olası tüm veriler sağlandığında beyaz kutu sızma testi seçeneğini seçtik. Bu durumda, pentestin amaçları:

  • şirketin ağından bilgi çalma yeteneğini tanımlamak;
  • şirketi istikrarsızlaştırabilecek kaynaklar bulmak.

Sızma Testi / Pentest, bilgi güvenliği alanında en hızlı büyüyen alanlardan biridir. Hem kanunlar hem de firmaların iş ve itibar kayıpları standartlar (KVKK, GDPR, BDDK, TSE, PCI DSS, ISO 27001) dahilinde yapılan sızma testlerini zorunlu hale getirmektedir.

Penetrasyon testi sonucu ve sonuçların nasıl kullanılacağı bir sonraki makalemizde okuyabilirsiniz.