VIRTUATIC® GÜVENLİK OLAY / VAKA YÖNETİMİ

Bilişim suçlularının, güvenlik açıklarından kâr elde etme yönündeki kararlılıkları, bilgi güvenliği vakalarını kaçınılmaz hale getirmektedir. Etkin bir bilgi güvenliği, durum yönetim stratejisinin hedefi, bu saldırıların etkisini en aza çekmek ve vakaların en etkin şekilde çözülmesi arasında oluşturulacak olan dengeyi sağlamaktır. İyi bir durum yönetimi aynı zamanda gelecekte oluşabilecek vakaları da engellemeye yardımcı olur.

Olağanüstü durum yönetimi, saldırılara hazırlık sağlayan bir program ile gerçekleştirilir. Yönetimin bakış açısı, durumun değerlendirilmesi için gereken kaynakların belirlenmesi, aynı zamanda tespit /raporlama sisteminin hazırlanması ve sunulmasını içerir. Etkin bir güvenlik programı güvenlik açıklarını ve bu açıklara sebep olan zayıflıkları tespit, raporlama ve müdahale için gereken önemli noktaları da içerir.

Olağanüstü durum yönetiminin başlıca öğeleri:

• Hazırlık, Tespit ve Raporlama

• Güvenlik Durum Müdahale ve Süreç Gelişimi

IT dışındaki pek çok organizasyonda da etkin durum müdahalesi, hazır ve iyi donanımlı, eğitimli bir personel gerektirir. Aynı kriter bilgi güvenliği vaka yönetiminde de geçerlidir. Çıkabilecek sorunlara önceden hazırlıklı eğitimli bireyler ile sorunu etkin bir şekilde tespit edecek yöntemler tasarlamak da aynı şekilde önemlidir (ve bu genellikle teknik kontrollere ek olarak, bilinçli kullanıcılar ve yöneticiler gerektirir.) Organizasyonun her seviyesi arasında, yaşanılan duruma uygun, etkin bir haberleşme, güvenlik açıklarının sınırlandırılması yönünden büyük önem taşır. Topluluğun tüm üyeleri bilinçlendirilmeli ve açıklar, şüpheli durumlar ve raporlama aksaklıkları yönünden dikkatli; güvenlik önlemlerini tanıyacak ve problemlerini tespit edecek bilgiye sahip; bir sorun ortaya çıktığında durumu nasıl eskale edeceklerini bilecek seviyede olmalıdırlar.

Ek olarak, sorunlara inceleme ve ani müdahale sağlayan, güvenlik vakalarının otomatik olarak tespiti için teknik kontroller yürürlüğe konulmalı ve anlık raporlama ile birleştirilmelidir. Yeni IT sistemlerinde, güvenlik vakalarını tespit için otomatik denetim sistemlerini geliştirmenin en iyi zamanı, engelleyici güvenlik kontrolleri tasarlanma aşamasıdır.

Olumsuz bir güvenlik vakasının ortaya çıkma ihtimali her organizasyon için olası bir durumdur. Düzenli bir yönetim prosedürü, müdahalenin her öğesinin rolünü ve sorumluluklarını belirleyen bir Olay Müdahale Planı için kritik önem taşır. Bu öğeler, kaynak yaratma ve harcama modelleri, analiz, önleme/kurtarma sorumlulukları, uyarılar için karar verme otoritesi, hukuki ve/veya emniyet teşkilatı müdahalesi, adli inceleme, olay sonrası raporlama yükümlülükleri, plan, prosedür ve süreç iyileştirmesidir.

Riskler

Bilişim saldırılarının sonuçlarından bazıları;

• Kişisel bilgilere izinsiz erişim,

• Kimlik hırsızlığı,

• Banka hesabı çalınması,

• Fikri mülkiyet kaybı,

• Çalışma sürecinin büyük oranda kesintiye uğratılması,

• Tıbbi kayıtların değiştirilmesi,

• Hassas ve gizli bilgilerin açığa çıkması vb.

Ağ saldırılarının ortaya çıkartabileceği kayıplar;

• Para ve kazanç

• Ürünler

• Hassas veya kişiye özel bilgiler

• Personel verileri

• İtibar

Internet güvenliği neden önemlidir?

Internette bulunan sistem ve uygulamalarda sayısız güvenlik açığı bulunmaktadır. Bu açıkların çoğu Internet üzerinden kötüye kullanılabilir durumdadır çünkü güvenlik, Internet protokollerinin tasarlanmasında öncelikli bir role sahip değildi. Internet aslen kaynak ve bilgilerin paylaşılabileceği bir araştırma projesi olarak ortaya çıkmıştır. Birbirini tanıyan bir grup araştırmacı tarafından geliştirilmiştir. Hedef bilgi ve kaynakların çeşitli noktalardan erişilebilir hale getirmekti. İnsanları uzak tutmak veya kaynaklara erişimi sınırlamak ihtiyaç duyulan bir şey değildi. Daha da önemlisi, bilgisayar ve ağ yapılarının karmaşıklığı ve yönetimi bilgisayar ve ağ kaynaklarının güvenliğini uygun sağlamayı daha da zor hale getirmektedir. Sonuç olarak, pek çok bilgisayar güvenliği olay ve vakaları ortaya çıkmaktadır. Ağ ve sistem yöneticileri çoğu zaman bu saldırılara karşı savunma gerçekleştirecek ve zararı en aza indirecek miktarda elemana ve yönteme sahip değildir.

Vaka Yönetimi nedir?

Kurum çapında, organizasyon içerisindeki bilgi ve teknolojik varlıkları etkileyen olay ve vakaların düzenli idaresini sağlayabilme yetisidir. Vaka müdahalelerinin etkili ve başarılı bir şekilde gerçekleştirilmesi için, süre gelen bütün görev ve işlemler, kimin uyguladığından bağımsız olarak, kuruluş bakış açısında incelenmelidir.

Bunu gerçekleştirebilmek için öncelikle tespit edilmesi gerekenler:

• Görev ve işlemlerin birbiriyle olan bağı

• Bilginin el değiştirme yolu

• Eylemlerin nasıl koordine edildiği

Bu aktivite ve organizasyon çapındaki ilişkileri büyük çerçevede görebilmek bizim vaka yönetiminden kast ettiğimiz şeydir.

Bu çerçevelerin ve kuruluş çapındaki çeşitli katılımcıların rol ve sorumluluklarının tespit edilmesi ve tanımlanması herhangi bir vaka yönetim sürecinin oluşturulması yönünden kilit bir özellik taşımaktadır. Örneğin, sürecin sadece müdahale aşamasına bakmak, eğer zamanında tutarlı ve kalite-hedefli şekilde yapılmadığı sürece tüm müdahale hareketini etkileyen kilit noktaların atlanmasına sebep olur. Bu durum, rollerin ve sorumlulukların, veri ve sistemler üzerindeki yetki ve sahipliklerin karıştırılması sonucunda müdahalenin yavaşlamasına sebep olur. Müdahalenin gecikmesi veya etkisiz olması iletişim eksiklikleri (kime başvurulacağının bilinmemesi) ya da olay veya vaka hakkındaki bilgi eksikliğinden de kaynaklanabilir. Müdahalenin zamanlaması ve kalitesine darbe vuracak tüm etkenler, vakalarda kritik ekipman ve verilerin daha da fazla hasar görmesine neden olur.

Vaka yönetimi bu şekilde, soyut, kuruluş çapında çalışabilen, potansiyel olarak organizasyonun her seviyesini içeren bir yapıda görülebilir. Aynı zamanda organizasyonun daha geniş çaptaki güvenlik, risk ve IT yönetim sistemlerinin bir alt dalı olarak kabul edilebilir. Çoğunlukla genel güvenlik ve IT yönetim görev ve uygulamaları ile paralellik gösterir.

Vaka Yönetimini Kim Uygular?

Vaka yönetim işlevleri şu kişiler tarafından uygulanabilir;

• CSIRT (Computer Security Incident Response Team – Bilişim Güvenliği Olay Sorumluluk Takımı) kadro ve yöneticileri

• IT personeli

• Fiziksel güvenlik personeli

• İlgili konu uzmanları

• Satıcılar

• CSIRT müşteri mağdurları ya da alakalı sitelerin ISP’leri/ağ hizmet sağlayıcı personeli

• Diğer CSIRT’ler ya da bağlantıları

• Merkezler

• Üst yönetim

• Departman birimleri

• IK personeli

• Halkla İlişkiler personeli

• Denetçiler, Risk yöneticileri

• Müşteriler veya CSIRT denetçileri için hukuki danışmanlar

• Savcılar

• Güvenlik güçleri

• Cezai müfettişler

• Adli uzmanlar

• İdareli servis sağlayıcılar

Olay yönetimi hakkında organizasyon içerisindeki görevi ve verilen iş yükümlülüklerine bağlı olarak, müdahale işlemi pek çok farklı personel tarafından gerçekleştirilebilir.

Bilgisayar güvenlik durumlarına müdahale izole bir şekilde gerçekleşmez. Süregelen ya da olası bilişim güvenliği olaylarını engellemek veya hafifletmek için gerçekleştirilen işlemler geniş bir katılımcı grubunu gerektirebilir; bu kişilere ağ ve sistem yöneticileri, insan kaynakları, halkla ilişkiler, bilgi güvenlik görevlileri (ISO – Information Security Officer), C-seviye yöneticiler (örneğin bilişim daire başkanları [CIOlar], baş güvenlik sorumluları [CSOlar], yönetici güvenlik sorumluları [CROlar] ve benzeri yönetici türleri) ve hatta müşteri temsilcileri de dâhildir.

Bu soru çoğu zaman olay yönetimi stratejisi oluşturmaya çalışan organizasyonlar tarafından sorulur. Hangi birimlerinin bu yapı içinde yer alması gerektiğini, ne tür personelin hangi görevleri alacağını ve hangi yeteneklere sahip personele sahip olmaları gerektiğini bilmek isterler. Ayrıca şu anda hangi birimlerin bu tarz işlerle uğraştığını tespit etmenin bir yolunu bulmak ve daha etkin bir yapı oluşturabilmek için organizasyon içerisindeki birimlerin birbirleri arasındaki önemli etkileşimlerin, kullandıkları değişik güvenlik yöntemlerinin ve durum yönetim süreçlerinin neler olduğunu anlamaya çalışırlar.

Olay Yönetim Planını Oluşturmak

IM (Incident Management) – OY (Olay yönetim) planınızda neler bulunmalı?

• Organizasyon içerisinde tüm Olay Yönetim görevlerinden sorumlu bir grup,

• Detaylandırılmış rol ve yükümlülükler,

• Her işlev arasında tanımlı arabirimler,

• Tanımlanmış olay ve vaka kriterleri,

• Olayların ve durumların rapor edilmesi için bağlantı noktaları,

• Raporlama ve olay idare edilmesi için zaman dilimi oluşturması,

• Olayların çözümü için iş akışı,

• Acil durumlar,

• Belirli vaka türleri için müdahale yöntemleri,

• İşlem sonrası incelemeler ve geri bildirim eylemleri,

• Var olan OY imkan ve hizmetlerinin açıklanması,

• Olay yönetim sürecinin işlevlerinin ve her birinden sorumlu organizasyon biriminin listelenmesi,

• Kişilerin hangi rol ve yükümlülüklere sahip olduğu, bunları hangi zaman dilimlerinde gerçekleştirip hangi istisnai durumlarda gerçekleştirmeyeceklerinin daha detaylı bir açılımı,

• Bir durumun olay veya vaka olarak değerlendirilmesi için gereken kriterler,

• Vakaların rapor edilmesi ve ilgilenilmesi için belirlenen zaman dilimleri,

• Vakanın hangi işlemlerden geçtiğini gösteren iş akışları, süreç akışları ve akış diyagramları…

Kuruluş çapındaki vaka yönetim işlevlerini tanımlamak için gerekenler;

• Vaka Yönetim Süreç Modeli süreç, alt süreç ve iş akışları

• Vaka Yönetim İmkan Ölçütleri hizmet kategorileri ve ölçüt göstergeleri

• Dayanıklılık Mühendisliği Sistemi imkân ve diğer kıstas ya da standartları belirleyen çalışmalar

Vaka Müdahalesi Vaka Ortaya Çıkmada Önce Başlar

Etkin müdahale, müdahale edilecek bir vaka ortaya çıkmadan çok daha önce başlar. Temkinli davranarak müdahale sürecine yardımcı olabilmek için kişiler, süreçler, ekipmanlar, tesisler ve bilgiler önceden hazırlanmalıdırlar. Aynı zamanda personelinizi ve müşterilerinizi bilgisayar güvenlik eğitimleri ve raporlama ana hatlarını belirleyerek sağlamanız gerekir. İyi bir bilgisayar güvenliği vaka tespit sürecine ve uygun ekipmanlarına sahip olmalısınız. Ayrıca olaylar ya da güvenlik vakalarında öğrendiklerinizi var olan güvenlik süreçlerini ve kurallarını geliştirmek için kullanmalısınız.