Temel Kurum Güvenliği İçin Seçilmiş COBIT 5 Süreçleri

Orijinal Makale Yazarı: Fredric Greene, CISSP 

COBIT 51 çerçevesinden seçilmiş süreçler, bir organizasyonda kurum güvenliğinin etkinliğini geliştirebilir. Bu çalışmadaki amaç, bir kurum içindeki güvenliğin sağlanması için gereken teknik süreçler, kontroller ve araçlarla beraber bir güvenlik stratejisi geliştirmektir. Bu yaklaşım, kurumun önemli kaynaklarını çok çeşitli tehditlere ve saldırı türlerine karşı savunmak için uygulanan risk bazlı bir stratejidir.2

Bu stratejinin risk bileşeni, ana risk faktörlerini belirlemek, listelemek, analiz etmek, yönetmek ve cevap vermek için iyi düşünülmüş tutarlı bir yaklaşımı içerir. Bu risk yaklaşımının kullanımıyla, ağlar, uç noktalar ve verileri kötü amaçlı yazılım ve diğer tehditlere karşı savunmak üzere güvenlik çalışmaları etkin bir şekilde odaklanılabilir.

Bu yaklaşımın temelindeki varsayım, BT yönetişim, organizasyon yapısı, politikalar ve kalifiye IK yeteneklerin çoğunun yerinde olmasıdır.

Şu anda, tehdit manzarası oldukça korkutucudur. Yakın zamanda bankalar, devlet daireleri ve perakendeciler dahil olmak üzere, bir çok yüksek profilli organizasyon suistimal ve saldırının kurbanı oldular. Bu organizasyonların, kendilerini savunabilmeleri için yeterli kaynaklara sahip olmalarına rağmen, yine de kurban olmaları daha da göz korkutucudur. Küçük ve orta ölçekli iş yerleri (KOBİ’ler) ve global ekonomideki diğer sektörlerin güvenlik vaziyetleri, bu tür saldırlar tarafından tehdit edilebilir durumundadır.

Tehditlere siber-suç (ör., sahtekarlık, hırsızlık, BT kaynaklarına zarar verilmesi, şantaj, zorbalık), sosyal veya politik bilgisayar sistemlerinin çökertilmesi (hacktivism), ve ulusal veya ticari amaçlı gelişmiş kalıcı tehditler (APT’ler) dahildir. Bu tehditlerin kaynağı: bir gündemi olan yabancı devletler, organize suç şebekeleri, bilgisayar korsanları ve organizasyon içindeki çalışanlar veya danışmanlarından oluşabilir.

GÜVENLİK GELİŞTİRME STRATEJİSİ

Kurum güvenliğini hızlı bir şekilde geliştirebilmek için nasıl bir strateji uygulamalıdır ve hangi belirli adımları atabilir?

COBIT 5, kurum güvenliği için en iyi uygulamalar konusunda rehberlik sağlar. Göz önünde bulundurulacak en iyi uygulamaları içeren diğer kaynaklarına şunlar dahildir: ISO 27001 (bilgi güvenliği),3 ISO 27032 (siber-güvenlik rehberi),4 ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) SP 800-53 (tavsiye edilen güvenlik kontrolleri),5 Kritik Altyapı Siber-Güvenliğinin Geliştirilmesi için NIST Çerçevesi6 ve SANS Kritik Güvenlik Kontrolleri7 (ilk 20).

COBIT 5, kurum BT’sinin etkin yönetişim ve yönetimi (GEIT) için, yedi gerçekleştiriciden oluşan bir seti içerir. Bu 7 gerçekleştiricinin bir tanesi süreçtir. Bu yazı, COBIT 5’in 37 sürecinden, üç ana güvenlik sürecine odaklanır:

  • APO12 Riski Yönet
  • APO13 Güvenliği Yönet
  • DSS05 Güvenlik hizmetlerini yönet

APO12 RİSKİ YÖNET

Bu, Uyumlu Hale Getir, Planla ve Organize Et (APO) süreci, tüm güvenlik kontrolleri grubu için ön-şarttır ve bilgi güvenliği konusunda yayınlanan hemen hemen tüm çerçeve veya standartlar tarafından referans alınır. Bir risk değerlendirme süreci, bir organizasyonun “en değerli varlıklarını” belirlemek ve en kritik, hassas, tehdit alan ve savunmasız alanlara odaklanması için gereklidir.

Riski yönet sürecini oluşturan belirli uygulamalar aşağıda verilmektedir. Veriler, riskin anlaşılmasını desteklemek amacıyla ilgili tüm kaynaklardan (ör., sistemler, uygulamalar, ağlar, veritabanları) birden fazla kategori halinde (ör., erişim, konfigürasyonlar) toplanmalı (APO12.01); bu veriler, farklı tehdit olasılıklarının hesaplanması ve risk azaltıcı kontrollerin yerinde olduğunun belirlenmesini sağlayan risk analizinde, özellikle iş etki analizlerinde (kurum için neyin önemli olduğu) dikkate alınmalıdır (APO12.02).

Risk profillerinin, iş süreçleri ve destekleyici BT sistemleri, uygulamalar, alt-yapı, veriler, araçlar ve yetkinliklerin bir envanteri halinde sürdürülmesi gerekir (APO12.03). Bu envanter en kritik (en yüksek riski) olan ve en sıkı kontrolleri gerektiren BT unsurları/varlıklarını belirlemek için kullanılmalıdır. Bu envanteri sürdürmek için kullanılan risk göstergeleri veya faktörleri (iç/dış), periyodik olarak gözden geçirilmeli ve doğrulanmalıdır.

Ana paydaşlar, en kötü durum ve en olası durum senaryoları dahil olmak üzere, risk durumu konusunda bilgilendirilmelidir (APO12.04). Bir risk yönetim eylemi portföyü tanımlanmalı ve her tanımlanan riskin ilgili kontrol faaliyetleri takip edilmelidir. Bu faaliyetlerin arasında riski yönetmek, riskten kaçınmak, riski engellemek veya devretmek (sigorta) sürdürülmelidir (APO12.05).

Risk olaylarına cevap vermek, resmi test planlarına göre zamanında ve etkili bir şekilde verilmelidir (APO12.06). İş operasyonlarını etki edebilecek BT bağlantılı olayları giderebilmek için, bu planlar hazırlanmalı, sürdürülmeli ve periyodik olarak test edilmelidir.

APO13 GÜVENLİĞİ YÖNET

Bu APO süreci, bir bilgi güvenliği yönetim sisteminin (ISMS) tanımlanması, çalıştırılması ve izlenmesiyle oluşur. Bu, risk yönetim sürecini etkili güvenlik hizmetleri haline dönüştürmek için temel bir bağlantıdır. Bu ISMS’yi geliştirmek için, kurumun risk ve güvenlik uzmanları ilgili risk iştahı, güvenlik gereksinimleri ve güvenlik çözümlerini dikkate alıp, belgelendirmelidirler.

Güvenliği yönet sürecini oluşturan uygulamalar aşağıda verilmektedir. Bir ISMS (APO13.01), BT güvenliğine bir standart, formal ve sürekli yaklaşım olarak oluşturulmalıdır. Bu yaklaşım, iş gereksinimleri ve iş süreçleriyle uyumlu hale getirilmelidir.

Bu yaklaşımı resmileştirmek amacıyla, gerçek olurluk incelemeleri esasında bir bilgi güvenliği risk iyileştirme planı tanımlanmalı ve stratejik amaçların ve kurum mimarisinin bir parçası olarak uygulanmalıdır (APOl 3.02). Oluşan ISMS, yönetim tarafından belli aralıklarla gözden geçirilip, güvenlik denetimleri aracılığıyla izlenmelidir (APO13.03). Bu yaklaşımın altında yatan ana fikir, güvenlik ve sürekli iyileştirme kültürün kuruma yerleşmesidir.

DSS05 GÜVENLİK HİZMETLERİNİ YÖNET

Bu Tedarik, Hizmet ve Destek (DSS) sürecinin uygulamasında bilgi (veri), ağ ve iletişim altyapısı, ağ uç noktaları (ör., kullanıcılar, PC’ler) dahil olmak üzere, en kritik, savunmasız ve hassas kaynakları savunmak için teknik güvenlik kontrolleri yer alır. Güvenlik hizmetlerini yönet sürecini oluşturan uygulamaların arasında yer alan kontroller uygulanmalıdır. Kötü amaçlı yazılıma (virüsler, solucanlar, casus yazılım, tarama araçları, uzaktan erişim araçları) karşı koruma sistemleri, tehdit (kötü amaçlı yazılım) tespit etme sistemleri (ör., Gelecek Nesil güvenlik duvarları), izinsiz giriş tespit/engelleme sistemleri (IDS/IPS), araştırılabilen olay (kronolojik kayıt) havuzları (ör., güvenlik bilgileri ve olay yönetim [SIEM] sistemleri), adli araştırma imkanları (araçlar) ve güvenlik yamalarının uygulanmasını sağlayan yapıların uygulanması gerekir. Kötü amaçlı yazılımın, BT ortamına ait uygulamalar, işletim sistemleri, ağlar, paylaşılan kaynaklar (ör., dizinler) ve donanım (ör., USB erişim noktaları) dahil tüm katmanlarda engellenmesi, tespit edilmesi ve kaldırılması gerekir (DSS05.01).

Ağ güvenliğinin kontrolu ise, entegre bir strateji uygulayarak, tüm ağ katmanları ve topoloji (ör., anahtar/yönlendirici erişim kontrol listeleri [ACL], güvenlik duvarları, IDS/IPS) üzerinde çalışan bir grup araçla aktif şekilde yönetilmesi gerekir. Kontrollerin özellikle verilerin giriş noktalarını oluşturan, e-posta, web uygulamaları, dosya aktarma protokolleri, sosyal ağlar, mesajlaşma, bulut uygulamaları/depolama ve donanım (USB) erişim noktalarında uygulanması gereklidir (DSS05.02).

Uç nokta güvenliği (antivirüs/kötü amaçlı yazılıma karşı koruyucu yazılım, web/e-posta güvenliği için güvenlik duvarları), dizüstü bilgisayarlar, masaüstü bilgisayarlar, sunucular ve mobil cihazların yeterli (bilginin değerine göre ölçüldüğünde) güvenliğinin sağlandığından emin olunacak şekilde uygulanmalı ve yönetilmelidir. Yüksek değerli hedefler (ör., en değerli varlıklar), daha sıkı güvenlik ve kontrollerle korunmalıdır (DSS05.03).

Kullanıcı kimliği ve mantıksal erişimin, bilinmesi gereken bilgi ve en düşük erişim hakkı esasına göre yönetilmesi gereklidir. Bir iyi uygulama da, hassas kaynaklara erişimde kimlik doğrulama (yani, kullanıcı kimliği, parola) ve yetkilendirme üzerindeki kontrolleri güçlendirmektir. Ayrıcalıklı veya yönetici erişiminin (ör., “şirketin anahtarları”) çok iyi kontrol edildiğinden ve izlendiğinden emin olunmalıdır (DSS05.04).

BT varlıklarına fiziksel erişim, iş ihtiyacına göre organizasyon merkezlerine fiziksel erişimi onaylayan, sınırlandıran ve rededen prosedürlerle yönetilmelidir. Erişim doğrulanmalı, yetkilendirilmeli, kronolojik kaydı tutulmalı ve izlenmelidir (DSS05.05).

Hassas dokümanlar (ör., özel formlar, kıymetli evraklar), uygun kontrollerle korunmalıdır. Bu tür özel dokümanların basıldığı çıktı cihazları (ör., güvenlik şifre cihazı) da kayıt altına alınıp, kontrol edilmelidir (DSS05.06).

BT alt-yapı güvenliğinin izlenmesi, kontrol ortamının ana bileşenidir. Bir araştırılabilen iz kaydı havuzu (ör., SIEM sistemi), merkezi ve güvenli kronolojik kayıt toplama sistemleri, adli araştırma araçları, ilgili süreçleri ve kötü amaçlı yazılım tespit yazılımların uygulanması (olayla ilişkili, kurala dayalı, örüntü tanıma) gibi sağlam kontroller ve araçlar değerlendirilmelidir. Bu kontrollerin kurumun olay yönetimi ve üst bildirim süreçleriyle entegrasyonu (DSS05.07) sağlanmalıdır.

SONUÇ

Bilgi güvenliğin uygulanmasını destekleyen üç temel COBIT 5 süreci olan —Riski yönet (AP012), Güvenliği yönet (AP013) ve Güvenlik hizmetlerini yönet (DSS05)—çok çeşitli tehditlere ve saldırıya açık noktalara karşı kurum kaynaklarını savunmak için risk bazlı bir yaklaşımı önerir. Risk yönetim süreci, tüm güvenlik süreçlerinin ön-şartıdır, riski yönetmeden ve kontrol etmeden önce, ilk olarak riski anlayıp, değerlendirmek gerekir. Atılacak bir sonraki adım ise, en yüksek risk içeren varlıklar ve kaynakların üzerine odaklanmış uygun kontrollerin uygulanmasıyla birlikte tutarlı bir güvenlik programını yönetmektir.

Kurumun karşısındaki tehdit manzarası karmaşıklaştıkça, bu süreçler etkili güvenliğe giden kritik yolu belirler.

Bilgi Güvenliği için COBIT 5, ana çerçevenin bilgi güvenliği odaklı bir uzantısı olup, bir kurum ortamında bilgi güvenliği süreçlerine dair uygulama rehberliğinin yanında, hizmet yetkinlikleri, politikalar, ilkeler, güvenliğe özgü organizasyon yapıları, güvenlik becerileri ve yetkinlikler dahil birçok destekleyici detay içerir.

SON NOTLAR

1 ISACA, COBIT 5, 2012, www.isaca.org/cobit
2 ISACA, Transforming Cybersecurity: Using COBIT 5, 2013, www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Transforming-Cybersecurity-Using-COBIT-5.aspx
3 Uluslararası Standartlar Teşkilatı (ISO) ve Uluslararası Elektroteknik Komisyonu (IEC), ISO/IEC 27001:2005, Information technology— Security techniques—Information security management systems—Requirements, 2005, www.iso.org/iso/catalogue_detail?csnumber=42103
4 ISO, ISO/IEC 27032:2012, Information technology—Security techniques—Guidelines for cybersecurity, 2012, www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=44375
5 Amerikan Ulusal Standartlar ve Teknoloji Enstitüsü, SP 800-53, “Security and Privacy Controls for Federal Information Systems and Organizations,” ABD, 2010, http://csrc.nist.gov/publications/PubsSPs.html
6 Amerikan Ulusal Standartlar ve Teknoloji Enstitüsü, Framework for Improving Critical Infrastructure Cybersecurity, 2014, ABD, www.nist.gov/cyberframework/
7 SANS Institute, Critical Security Controls, www.sans.org/critical-security-controls/

Fredric Greene, CISSP, finansal hizmetler sektöründeki teknoloji alt-yapısında uzmanlaşmış deneyimli bir IT denetçisidir. MUFG Union Bankası’nda BT denetim başkan yardımcısı olup, bilgi güvenliği, risk esaslı denetim, BT risk ve kontrol değerlendirmesi, ITIL çerçeve uygulamaları ve veritabanı denetimi konularında uluslararası konferanslara katılmış ve şirket içi eğitim ve seminerler vermiştir. Greene, önceden eski Tokyo Bankası organizasyonunda (MUFG Union Bankası’na birleşmeden önce), Depository Trust & Clearing Corporation (DTCC) ve KPMG’de çalışmıştır.

Yorum yapın