Sızma testi için ne zaman para harcanmamalı?
Sızma testi sonuçları farklı amaçlar için kullanılabilir. Özellikle, bilgi güvenliği önlemlerinin maliyetlerini gerekçelendirmek için bir yöntem olarak . Bununla birlikte, bu hizmetin temel amacı, mevcut koruma mekanizmalarının etkinliğini değerlendirmek ve hedeflenen bir hacker saldırısının sonuçlarını göstermektir.
Verimlilik, elde edilen sonuçların yararlılığının harcanan kaynaklara (kısaca fiyat/performans)oranıyla ölçülüyorsa, sızma testi için harcanan paranın boşa gittiğini ne zaman düşünebiliriz?
- Şirket tavsiye edilen koruyucu önlemleri hiç uygulamazsa veya çok az uygulanırsa.
Savunma mekanizmalarının yokluğunda, sızma testinin temel faydası kaybolur: Değerlendirilecek hiçbir şey yoktur. Bu durumda, mevcut güvenlik tehditleri uluslararası standartları kullanarak belirlemek daha karlı olacaktır. Bu durumda, mevcut durumunu değerlendirmek ve modernizasyonu için öneriler almak için bilgi güvenliği denetimi yapılmalıdır .
- Sızma testi, bir bütün olarak bilgi güvenliği stratejisi dikkate alınmadan, tamamen teknik bir görev (yasada olması gereken test hizmetleri) olarak algılandığında.
Bu yaklaşımla, tehdit uygulama riskleri değerlendirilmez ve bir sızma testi gerçekleştirmenin maliyetinin algılanan değerinden yüksek olup olmadığını yönetimin anlaması zordur.
Ayrıca bu şekilde çifte para harcama sorunu ortaya çıkabilir. BT uzmanları bir tür koruma önlemi (örneğin, erişim kontrolü, ağ trafiğini filtreleme, antivirüs koruması, vb.) uyguladığında, yalnızca ekipman ayarları ve hizmetin çalışabilirliğini sağlama amacı doğrultusunda ve kabul edilmeyen dünya uygulamaları tarafından yönlendirildiğinde gerçekleşir. Sonuç olarak, bilgi güvenliği alanında koruma sistemi rastgele oluşturulur. Deneyimli bir saldırgan, herhangi bir koruyucu önlemin olmamasından kolayca yararlanacak ve bir hack işlemi gerçekleştirecektir. Telafi edici koruyucu önlemlerin alınması zaman alacaktır ve tekrar tekrar sızma testi yapılmasını gerektirecektir (sonuçta iki defa para harcanacak). Bu tür telafi edici önlemlerin getirilmesinin, bir pentest maliyetinden birkaç kat daha düşük olduğu da eklenmelidir.
Bu durumda, alınan koruyucu önlemlerin yeterliliğini, kabul edilen güvenlik standartlarına uygunluğunu kontrol edecek, tehditlerin sonuçlarını raporlayacak, eksikliklerin nasıl giderileceğine dair tavsiyelerde bulunacak ve bilgi güvenliğinde süreç yaklaşımını anlatacak bir bilgi güvenliği uzmanı yardımıyla küçük bir denetim yapmak daha etkili olacaktır.
Sonuç
Bu nedenlerle, sızma testi, şirketin kritik hizmetler sunması durumunda en etkili yöntemdir, uluslararası standartlar (KVKK, GDPR, BDDK, TSE, PCI DSS, ISO 27001) tarafından önerilen önlemler pratikte incelenir ve uygulanır, bilgi güvenliğinde bir süreç yaklaşımı uygulanır (birkaç PDCA döngüsü geçilmiştir.). Bu durumda, bir sızma testi, standart kaynaklardan elde edilemeyen değerli, oldukça özelleşmiş bilgiler elde etme, bilgi güvenliği gelişiminin diğer vektörünü belirleme, uygulanan koruyucu önlemlerin kalitesini değerlendirme ve bunlardaki belirli boşlukları (geleneksel bir otomatik güvenlik açığı tarayıcısı tarafından tespit edilemeyen) ortaya çıkarma fırsatı sağlayabilir. Uluslararası uygulamalara uygun olarak gerçekleştirilmesi gereken bilgi güvenliği risk değerlendirmesi, test sonuçlarının beklenen değerinin belirlenmesine yardımcı olacak ve böylece maliyetleri gerekçelendirecektir.