Internet ile hızla değişim gösteren iş yapış şekilleri, kurumların bilgi sistemlerini bünyeleri dışına da açmayı gerektirmiştir. Özellikle finans sektörü bu konuda en büyük atılımı gerçekleştirmiştir. Fakat bu atılımlar beraberinde riskleri de getirmektedir. Gerek A.B.D, gerek Avrupa'da pek çok finansal şirketin sistemlerinde güvenlik açıkları olduğu yaşanan olaylarla gözler önüne serilmiştir. Hatta büyük bankalardan bazıları hizmetlerini kesintiye uğratmak zorunda kalmıştır. Bu konuda ülkelerin denetim mercileri finansal kuruluşları uyarmakta, gerekli önlemleri almaya davet etmektedir. Aynı sorunların ülkemizde de yaşanılması kaçınılmazdır. i-Teknoloji hem finansal kuruluşlarımıza, hemde bilgi sistemlerini dışa açmış büyük kuruluşmalarımıza aşağıda belirtilen hizmetleri  çözüm ortağı Pro-G ile birlikte sunmaktadır.   Güvenlik konusu süreklilik arz eden bir konu olup, devamlı gündemde olması gerekmektedir.

Güvenlik konusunda yaşayacağınız problemler, para, müşteri, bilgi, imaj kaybı olarak kurumunuza geri dönecektir. Bünyelerine sahip çıkan ve periyodik check-up'larını yaptıran insanların ciddi süprizlerle karşılaşma ihtimali şüphesiz ilgisiz kalanlara göre çok azdır. Kurum veya kuruluşunuzu rakiplerinize karşı sağlıklı duruma getirmek istiyorsanız Bilgi Güvenliği konusundaki check-up'larınızı lütfen ihmal etmeyin. Unutmayın kalp krizi geçirdikten sonra ayakta kalsanız bile kalbinizin bir bölgesi artık çalışmayacaktır.

Güvenlik Politikasının Oluşturulması

“Güvenlik politikası” oluşturulması, kurum veya kuruluşun Bilişim Güvenliği ile ilgili yürüteceği faaliyetlerin zeminini oluşturacağından son derece önemlidir. Politikaların oluşturulması ve sürekli güncel tutulması, kurum veya kuruluşun bilgi ve sistem güvenliğini bilinçli bir şekilde ele almasını, denetlenebilir, geliştirilebilir bir yapıya kavuşmasını sağlar.

Güvenlik Politikasının oluşturulması çalışmasının  beş adımdan oluşması ön görülmektedir:

  • Varlık Envanteri ve Değerlemesi (Asset Identification & Valuation),
  • Bilgi Sınıflandırması (Information Classification),
  • Risk Analizi,
  • Güvenlik Politikasının Belirlenmesi ve Yazılması,
  • Güvenlik Yönergelerinin (ing. procedures) Belirlenmesi ve Yazılması.
  •  

    Zafiyet Değerlendirmesi, İyileştirme ve Uygunluk Sınaması

    Zaafiyet tıpkı insanlarda olduğu gibi bilgi sistemlerinde de söz konusudur. Eğer zaafiyetlerinizi bilir ona göre önlemlerinizi alırsanız, yaşamsal bir süpriz ile karşılaşma riskiniz azalır. Aynı şey bilgi sistemleri için de geçerlidir. Zaman zaman sistemlerinizdeki zaafiyetlerin tespit edilmesi, risk seviyelerinin belirlenmesi gerekmektedir.

    Zafiyet değerlendirme çalışması aşağıda belirtilen konu başlıklarının her birisi için yapılmakta ve sonuçlar ayrıntılı biçimde raporlanmaktadır. Bu rapor, aşağıda listelenen alanlarda mevcut durumu, zafiyetleri ve yeni öngörülen risk alanlarını ve tehditleri içerecek, bu alanlarda riski azaltmak üzere yapılacak çalışma önerilerini kapsamaktadır:

     

  • Fiziksel Güvenlik
  • Mantıksal Erişim Denetim Mekanizmaları
  • Port ve Zafiyet Taraması
  • Art Niyetli İçerik Koruması
  • Sınır Güvenliği
  • Yedekleme ve Geri Yükleme
  • Telefon Şebekesinin Kullanımı
  • Saldırı Tespiti
  • Sistem Yönetimi Uygulamaları (System Administration Practices)

    • Yazılım Güvenlik Denetimleri

    Çağın en büyük sorunlarından biri haline gelen hızlı yazılım geliştirme, hayati önem taşıyan işleri tehlikeye sokabilmektedir. Rekabet, pazar ihtiyaçları vb. yüzünden hızlı geliştirilen ve pek çok konu/unsur sonra düzeltilir anlayışı ile tam anlamı ile test edilmeyen bilgisayar programları sonradan ciddi başağrısı olabilmektedir. Sistemlerde kesinti, bilgi kayıpları, dışarıdan saldırılara açık sistemler bu tip geliştirmelerin bir sonucudur. Bu konuda dünyanın en büyükleri bile ciddi sorunlar yaşamaktadır.

    Kurum veya kuruluşunuzun bu konuda sorun yaşamaması için sizlere Yazılım Güvenlik Denetimi hizmetimiz ile yardımcı olabiliriz. Yazılım güvenlik denetimleri, geliştirilen bir yazılım ürününün:

     (i) tasarım sürecinde belirlenmiş güvenlik hedefleri ile tutarlılığını,

    (ii) öngörülen hedeflere uygun güvenlik mekanizmalarını barındırıp barındırmadığını ve

    (iii) geliştirilen güvenlik mekanizmalarının hatasızlığını tespit etmeye yönelik bir çalışmadır. Bu çalışma ile, yazılımın üreticisi dışında bağımsız bir diğer uzman ekip tarafından sınanması sağlanabilmektedir.

    Yazılım ürünlerinin müşteriye ulaşmadan önce hatasız ve güvenli hale getirilmesi ürünün başarısını önemli ölçüde arttırmaktadır. Untulmamalıdır ki, hızlı geliştirilen, rakiplerden önce piyasaya sürülen ama hata ve güvenlik açıklarından dolayı bekleneni veremeyen ürün ve hizmetler, avantaj değil dezavantaj olurlar.

    Sızma (Penetrasyon) Testleri

    Sizler yaptırsanızda yaptırmasanızda sizin tanımadığınız, dünyanın her hangi biryerinden birileri sürekli sistemlerinizi yoklamaktadır. Açıklarını aramakta, içeri sızmanın yollarını keşfetmeye çalışmaktadır. Finans kuruluşları, sanal ticarete imkan veren  kuruluşlar, sistemlerini internete açmış kuruluşlar her zaman hedeftir. Maddi kazanım sağlamak,  imaj zedelemek, intikam almak, ticari sırlara erişmek altında yatan temel dürtülerdir. Sınırların olmaması, görenin olmaması, kaynağın bilinemesi vb. unsurlar bu işi cazip kılar. Benim kurumumla kim uğraşır dediğiniz anda bile unutulmaması gerekir binlerce kişi bu işi yapabilir. Çünkü internette, gerekli olan ve uzman becerisi gerektirmeyen pek çok yazılım ücretsiz dağıtılmaktadır. Bizler size bu noktada da yardımcı olabiliriz. Tıpkı binalarda olduğu gibi, sizin adınıza açık kapılarınızı, gözden kaçmış delikleri bulabilir ve bunların kapanmasında yardımcı olabiliriz.

    Zafiyet değerlendirmesinin yapılmasından sonra belirli aralıklar ile gerçekleştirecek sızma testleri ile internet üzerinden gelebilecek saldırılar ve ağın içeriden incelenmesi işlemleri de yapılmaktadır. Bu kapsamda, aşağıdaki adımların yürütülmesi gerçekleştirilmektedir:

  • Kayıt Veri Tabanı Araştırmaları (Registry Database Searches),
  • İnternet Yönlendirme Denetimleri,
  • DNS Sunucu Denetimleri,
  • Ağ Aktif Cihazı Denetimleri,
  • Sınır Koruma Denetimleri LI>İnternet Sunucu Denetimleri,
  • E-posta Hizmetlerinin Denetimleri,
  • Ağ Aktif Cihazı Denetimleri,
  • Özgün Uygulama Zafiyetlerinin Tespiti
    • .

    Sızma testi çalışmasının sonunda test raporu düzenlenerek kurum ve kuruluşlara sunulmaktadır. Test raporunda tanımlanan zafiyetlerin giderilmesi ve önerilen düzenlemelerin yapılması konusundada hizmet verilebilmektedir.

    Olay Müdahalesi

    Kimsenini istemediği  saldırı olduğunda,  her kesin bir şeyler yapmak için koşuşturduğu kaotik bir ortam oluşur. Bu ortamda pek çok iz, kayıt farkında olmadan yok edilir. Sistemlerin çalışır hale gelmesi ve bir an önce hizmet verilmesi düşünülür. Ama unutulmamalıdır ki saldırgan içeriye yerleşmiş, daha kritik bilgilerinize erişmeye, sizin için hayati önem taşıyan noktalarınıza ulaşmaya çalışıyor olabilir. Bu noktada soğuk kanlılığın korunması ve profesyonel destek alınması gerekmektedir.  

    Saldırının gerçekleşip tamamlanmasından sonra zarar tespitinin gerçekleştirilmesi, saldırganın izlerinin incelenerek saldırı yönteminin, detaylarının ve saldırgan kimliğinin belirlenmesi konularında çözüm ortağımz Pro-G'nin uzmanlık desteği ile hizmet sunmaktayız. Doğru bilginin nereden ve nasıl toplanabileceği konusundaki bilgi ve deneyimlerimiz gerçek saldırganın kimliğinin belirlenmesinde de önemli katkı sağlamaktadır.

    Destek Hizmetleri

    Güvenlik yönetim masası oluşturarak müşteri tarafından kullanılan her türlü güvenlik duvarı, saldırı tespit sistemi vb.’nin 7/24 izlenmesi, tespit edilen problemlerin ve güvenlik ihlallerinin anında yönetime iletilmesi ve gerekli durumlarda problemlere müdahale edilerek saldırıların bertaraf edilmesi hizmetini sunmaktayiz. Her kurum için farklılaştırılmış hizmet yapısı oluşturulması mümkündür.