Neden BT Denetim?
Verilerin otomatik olarak işlenme ve elektronik ortamda saklanma verimliliğiyle ilgili genellikle göz ardı edilen bir yön vardır. Bilgi sistemleri, iyi şekilde uygulanmadığı, izlenmediği ve kontrol edilmediği zaman önemli bir risk oluşturabilen iş süreçlerini temel alır. Teknik bilgi sistemleri, karmaşık olmalarına karşın yanılmaz da değildir. Süreç ve kontrollerin uygulamada olmamaları halinde, eksik, yanlış ve geçersiz veri üretme olasılığı vardır. Artan kurumsal BT yönetişimi, sorunları, güvenlik tehditleri, veri kalitesi konuları ve gizlilikle ilgili mevzuatla birlikte, günümüzde kuruluşlar bilgilerin bütünlüğünü, gizliliğini ve kullanılabilirliğini hiç olmadığı kadar güvence altına alma ve temelini oluşturan sistemleri koruma ihtiyacı içindedirler. İş süreçleri, bilgisayar uygulamaları ve sistemlerle ilgili kontrollerin uygulanması ve dengelerin kurulması bu risklerin azaltılmasına yardımcı olabilir. Bu bağlamda Bilgi Teknolojileri kaynaklarının etkin ve verimli kullanılması kadar bilgi teknolojilerinden kaynaklanabilecek risklerin tespit edilmesi ve kontrol edilebilmesi de önem kazanmıştır. Günümüzde, kurumların iç denetim fonksiyonları ve düzenleyici kuruluşlar da bu gereksinimin farkına varmıştır ve bu konuda aksiyonlar geliştirmektedirler.
BT Denetimi ve Danışmanlık bilgi teknolojileri altyapı ve süreçlerinin kendilerinden beklenen faydaları sağlayıp sağlayamayacaklarına dair güvence almayı hedefler. Bu faydalar; etkililik, yani iş ihtiyaçlarını karşılama gücü; etkinlik, yani kaynakların verimli kullanımı; güvenlik, yani bilgi varlıklarının gizlilik, bütünlük ve sürekliliğinin korunması ve bu faydaların türevleri olan güvenilirlik ve yasalara uyumdur.
Bilgi teknolojileri bir uzmanlık alanıdır. Ancak BT denetimi genel denetim prensipleri ile uygun biçimde planlanmalı ve gerçekleştirilmelidir. Bu prensiplerin başlıcaları risk tabanlı denetim planlama ve nesnel kanıtlara dayanan denetim prosedürlerinin işletilmesidir. BT denetimi genel itibariyle bir kontrol denetimidir.
Bilgi teknolojileri kontrolleri temel olarak organizasyonel kontroller, süreçsel kontroller ve teknik kontrollerden oluştur. Bilgi teknolojileri altyapısının güvenlik tehditlerine karşı korunmasını destekleyen fiziksel kontroller de bilgi teknolojileri kontrolleri arasında yer alır.
Risk tabanlı denetim planlaması öncesinde öncelikle bilgi teknolojileri denetim uzayının (audit universe) oluşturulması yani denetlenebilir birimlerin (auditable units) oluşturulması gerekir. Bu birimler zaman içinde farklılaşabilir, ancak risk değerlendirmesi yapılabilmesi için genel kabul görmüş yöntem olarak merkeze bu kavram oturmaktadır. Denetlenebilir birim tanımı farklı bir denetlenebilir birime referans vermeden denetlenebilecek, girdileri ve çıktıları olan ve lojistik olarak belirli bir sürede denetlenebilecek organizasyonlar, altyapılar veya sistemler olarak yapılabilir. Örnek olarak veritabanı yönetimi, yazılım geliştirme yaşam döngüsü, ağ yönetimi, BT proje yönetimi, log yönetimi verilebilir.
Risk değerlendirme metodu olarak pek çok metot kullanılabilir. Ancak her metodun içinde etki kriterleri ve zayıflık kriterleri bulunmalı ve riski ifade etmek için bu iki faktör ölçümlenmeye çalışılmalıdır.
Periyodik denetim planında bazı kritik denetlenebilir birimler her dönem yer alabilirken bazı birimler de rotasyona tabi tutulabilir. Bazı denetlenebilir birimler ise çevresel şartlardaki veya iş hedeflerindeki değişimlere bağlı olarak belirli zamanlarda önem kazanabilir. Risk değerlendirmesinin ana amacı da bu değişimleri zamanında farkedebilmek ve doğru önceliklendirmeyi gerçekleştirmektir.
Denetlenecek bilgi teknolojileri kontrollerinin belirlenmesinde kullanılabilecek en iyi uygulamalar çerçeve ve standartları bulunmaktadır. Bunlardan başlıcaları COBIT, ITIL, ISO27001 ve ISO27002, PRINCE, CMMI olarak sayılabilir.
BT denetiminde genel kontrol denetim teknikleri olan mülakat, gözlem, doküman inceleme ve yeniden gerçekleştirme (reperformance) teknikleri kullanılır. Kontrol denetimlerindeki genel yaklaşımla uyumlu olarak otomatik kontrollerde manuel kontrollere nazaran daha az örnek üzerinde test yapılabilir. Yine diğer denetim alanlarında olduğu gibi uzaktan izleme imkanının bulunduğu bazı kritik kontroller için sürekli denetim (continuous audit) yöntemi uygulanabilir.
Uzman Bilgi Teknolojileri ekibimiz ve stratejik ortaklarımız ile aşağıdaki hizmetleri sunmaktayız.
BT Denetim Hizmetlerimiz?
Bilgi Güvenliği Yönetim Sistemi
Kişisel Verilerin Korunması - Mahremiyet
Bilgi Teknolojileri Denetimleri
Veri Koruma ve Sızıntısını Önleme (Penetrasyon Testi)
PENETRASYON TESTİ NEDİR?
Penetrasyon testi, bilinen kısa adıyla Pentest;
Firmaların bilişim sistemlerini oluşturan altyapı ağlarını dışarıdan gelecek saldırı ve sızıntılara karşı, iç kullanıcılardaki açıklıklar ve varsa zafiyetlerin ve güvenlik açıklarını tespit etmek üzere yapılan simülasyon şeklinde uygulanan deneme testleridir.
PENETRASYON TESTİ ÇEŞİTLERİ NELERDİR?
Penetrasyon testi olarak 3 farklı test yönetimi ve sektöre özel paketlileri barındıran birbirinden faklı hizmetlerdir.
1 - WHİTE BOX (BEYAZ KUTU) PENETRASYON TESTİ
Firma içinde yetkili kişilerden altyapı ile ilgili tüm bilgileri alır kullanılan tüm sistemler hakkında bilgi sahibi olur. Bu yöntemde daha önce firmada yer almış, hala çalışmakta olan veya misafir olarak ağa sonradan dâhil olan kişilerin sistemlere verebilecekleri zararlar test edilir ve raporlanır.
Testin Kapsamı
• Dış IP Adresleri, DNS kayıtları, MX kayıtları ve ADSL, XDSL, GHDSL hatları zafiyetlerinin taranması
• Local ağ ve VLAN’lar üzerindeki tüm aktif cihazlar ve kullanıcı bilgisayarlarının zafiyet taraması
• Local Ağ ve VLAN’lar üzerindeki tüm fiziki ve sanal sunucuların zafiyet taraması
ISO 27001 standarttı için zafiyetlerin taranmasını sağlayan testtir.
1 adet C Class ( /24 ) IP bloğu VLAN ayrımı olmadan ve 8 Adet dış IP bloğuna sahip bir sistem için,
Tarama Süresi : 2 Gün
Atak Testleri : 1 Gün
Raporlama : 1 Gün
Öneri + Raporlama : 5 Gün ( Opsiyonel Hizmet )
2 - BLACK BOX (SİYAH KUTU) PENETRASYON TESTİ
Bu penetrasyon testinde firmanın sitemlerine sızma testini gerçekleştiren firmayla herhangi bir bilgi paylaşımında bulunulmaz, sadece test edilecek hedef verilir. Bilgi sızdırmak ya da zarar vermek amacıyla sisteme girmeye çalışan bir hacker gibi davranılarak, gerçekte verilebilecek zararlar belirlenir ve raporlanır.
Testin Kapsamı
• Dış IP Adresleri, DNS kayıtları, MX kayıtları ve zafiyetlerinin taranması
• Dışa açık uygulamaların ( Tüm web Tabanlı uygulama ve servisler ) zafiyet taraması
• Dış IP blokları üzerinden IPS, IDS, Firewall, Router ve ADSL, XDSL, GHDSL hatları üzerinden uygulanan zafiyet taraması
ISO 22301 için zafiyetlerin taranmasını sağlayan testlerden birsi.
16 Adet dış IP bloğuna sahip bir sistem için,
Tarama Süresi : 3 Gün
Atak Testleri : 2 Gün
Raporlama : 0,5 Gün
Öneri + Raporlama : 3 Gün ( Opsiyonel Hizmet )
3 - GRAY BOX (GRİ KUTU) PENETRASYON TESTİ
White Box ile Black Box testlerini kapsayan büyük sızma testidir. Hem içeriden hem dışarıdan tehditler için yapılan testtir. Gray Box testinde ek olarak Sosyal Mühendislik Saldırıları, Kablosuz Ağ Saldırıları, Phishing mail de eklenmektedir.
ISO 27001, ISO 22301 için tüm yeterliliği sağlayan testtir.
1 adet C Class ( /24 ) IP bloğu VLAN ayrımı olmadan ve 8 Adet dış IP bloğuna sahip bir sistem için,
Tarama Süresi : 4 Gün
Atak Testleri : 2 Gün
Raporlama : 1 Gün
Öneri + Raporlama : 7 Gün ( Opsiyonel Hizmet )
SEKTÖRE ÖZEL TESTLER
A ) FİRMA İÇİ DATACENTER PENETRASYON TESTİ
White Box ile Black Box testlerini kapsar. Hem içeriden hem dışarıdan tehditler için yapılan testtir. Ek olarak tüm aktif cihazlar ve kenar uç nokta cihazları ile bağlantılarına stres testi de yapılır.
ISO 27001, ISO 22301, ISO20000-1 için tüm yeterliliği sağlayan testtir.
1 adet C Class ( /24 ) IP bloğu VLAN ayrımı olmadan ve 8 Adet dış IP bloğuna sahip bir sistem için,
Tarama Süresi : 3 Gün
Atak Testleri : 2 Gün
Raporlama : 1 Gün
Öneri + Raporlama : 6 Gün ( Opsiyonel Hizmet )
B ) YAZILIM GELİŞTİRME FİRMALARINDA PENETRASYON TESTİ
White Box ile Black Box testlerini kapsar. Hem içeriden hem dışarıdan tehditler için yapılan testtir. Ek olarak tüm aktif cihazlar, kenar uç nokta cihazlar, Kod Güvenliği Testi ( Git-TFS vb. Servisler Dahil ), Cloud servisler ve Müşteri link bağlantıları testi de yapılır.
ISO 27001, ISO 22301, ISO20000-1, COBIT için tüm yeterliliği sağlayan testtir.
1 adet C Class ( /24 ) IP bloğu VLAN ayrımı olmadan ve 8 Adet dış IP bloğuna sahip, 6 kişi ve daha altı yazılım geliştirme personeline sahip bir sistem için,
Tarama Süresi : 4 Gün
Atak Testleri : 1 Gün
Raporlama : 2 Gün
Öneri + Raporlama : 8 Gün ( Opsiyonel Hizmet )
· Kod Güvenliği testi: Kod güvenliği testi yazılım ekibi içerisinde paylaşılan kaynak kodun işlendiği bilgisayarlarda uygulanan özel bir testtir. Sadece kaynak kod geliştirilen bilgisayarların her birine ayrı ayrı uygulanır.
· Cloud Testi: Hizmet satına alınan yada sürekli bağlantı sağlanan servislere kurulan tüm bağlantıların veri analizi ve bağlantı güveliği analizinden oluşur.
C ) 6698 Kişisel Verilerin Korunması Kanunu Uyarınca PENETRASYON TESTİ
White box testlerini kapsar. Hem içeriden hem dışarıdan tehditler için yapılan testtir. Ek olarak tüm aktif cihazlar, kenar uç nokta cihazlar, Kişisel veri analizi, Veri Sınıflandırma ve Etiketleme Analizi, Kişisel veri alanlarının Erişim ve Yetkilendirme analizi, Kişisel veri alanlarının güvenlik zafiyet taraması, Kullanılan yazılımların uygunluk ve Veri analizi testlerini içerir.
ISO 27001, ISO 22301, KVKK uyumluluğunun gereksinimlerinin de zafiyetlerinin taranmasını sağlayan testtir.
Hastahane, Otel, İnsan Kaynakları Danışmanlık Şirketleri, İnsan Taşımacılığı Sağlayan şirketler ve Acenteler, Sigortacılık Şirketleri vb. Kişisel veri barındıran ve işleyen şirketler için kanun gereği yapılması önerilen testleri kapsar.
1 adet C Class ( /24 ) IP bloğu VLAN ayrımı olmadan ve 8 Adet dış IP bloğuna sahip bir sistem için,
Tarama Süresi : 5 Gün
Atak Testleri : 3 Gün
Raporlama : 3 Gün
Öneri + Raporlama : 10 Gün ( Opsiyonel Hizmet )
PENETRASYON TESTİ AŞAMALARI NELERDİR?
1. Adım: Bilgi Toplama
Bilgi toplama sırasında sızma testi yapılacak sistem üzerinde aktif bir tarama yapılmaz. Bu aşama sadece pasif şekilde bilgi toplama aşamasıdır.
2. Adım: Tarama ve Sınıflandırma
Tarama ve sınıflandırma adımında ilk aşamada toplanan bilgilere bağlı olarak, test yapılacak sistem üzerinde ‘’tarama’’ işlemi yapılır ve analiz sonuçları elde edilir.
3. Adım: Erişim Elde Etmek
Bu adımda yapılan analizler doğrultusunda test edilmesi hedeflenen sistem üzerinde bulunan açıklara ulaşılmaya çalışılır.
4. Adım: Erişimi Yönetme
Bu adımda, açıklara erişim hakları yönetilir.
5. Adım: İzleri Gizleme
Bu adımda hedef sistem üzerinde ilk 4 adımda yapılan erişim işlemlerinde bırakılan izler temizlenir ya da tam tersi daha da iz bırakılması sağlanır.
Raporlama:
Standart Rapor
Her test sonucunda tüm sistemi kapsayan zafiyet ve açıklıkları da içeren kapsamlı penetrasyon test raporu hazırlanır.
Standart Rapor + Öneriler
Her test sonucunda tüm sistemi kapsayan zafiyet ve açıklıkları da içeren kapsamlı penetrasyon test raporu hazırlanır. Rapordaki tüm açıklık ve zafiyet nedenleri ile bu nedenlerin kapatılmasına ilişkin tüm öneriler de ayrıca raporlanır. Öneriler hazırlanırken tüm zafiyetler ve bunlara neden olan kök nedenlerin analizi sağlanır.
§ Önerileri kapsayan rapor hizmeti alındığında önerilere ilişkin çalışma yapıldıktan sonra ikinci zafiyet taraması kapsam dâhilinde ücretsiz olarak yapılır.