A 12.6.1 e göre teknik açıklıklar nasıl yönetilir ISO 27001

246


ISO/IEC 27001 kontrol A.12.6.1’e göre teknik açıklıklar nasıl yönetilir?

Daha önce mutlaka şu senaryoyu duymuş ya da yaşamışsınızdır: Sıradan bir gündür ve tüm sistemler gayet iyi çalışmaktadır fakat birden görünürde bir sebep olmadığı halde tüm sistemler yavaşlarlar ya da doğrudan dururlar.

Kullanıcı destek hattına düzinelerce çağrı gelmeye başlar ve Bilişim Teknolojileri ekibi tüm sistemleri tekrar çalışır hale getirmek için saatlerce sıkı bir şekilde çalışır. Neyse ki, kaybolan sadece çalışma saatlerinizdir (!), herhangi bir veri kaybı yoktur.

Olanları düzeltmeye çalışırken BT ekibi, ya kasti olarak ya da kasıt gütmeyen bir eylem sonucu sistemlerin arızalanmasına neden olan temel sebebin bilgi sistemlerinden birindeki açıklık olduğunu keşfeder. Daha da kötüsü, temel sebebin üretici firma tarafından önceden tanımlandığını ve aslında beş dakikadan fazla sürmeyecek bir işlemle düzeltildiğini fark ederler. Ne gün ama…

Bu senaryo, tahmin edebileceğinizden daha yaygın ve bazen daha da berbat hale gelebiliyor; iş sürekliliğini imkânsız hale getiren kayıp ya da çalınmış veri ve işletim kayıpları. Bu makalede, ISO 27001’in kontrol A.12.6.1 – Teknik Açıklık Yönetimi aracılığıyla kuruluşların bu tarz durumlarla baş etmesine yardımcı olan bir yolu sizlere sunacağım.

Açıklıklar nelerdir ve nasıl ortaya çıkarlar?

ISO Bilgi Güvenliği Yönetim Sistemleri için genel bir bakış ve kelime bilgisi sunan ISO 27000’e göre açıklık, “Bir ya da daha fazla tehdit unsuru tarafından istismar edilmesi muhtemel olan varlık ya da kontrol zafiyetidir.” Aynı şekilde ‘tehdit’i de “bir sistemin ya da kuruluşun zarar görmesiyle sonuçlanabilecek istenmeyen bir durumun potansiyel nedeni” olarak tanımlamaktadır.

Dolayısıyla açıklık, tehdit unsuru kullanabileceği bir zafiyet bulduğu anda ortaya çıkar. Peki, bu zafiyet nereden kaynaklanır? Genel olarak zafiyet, bir varlığın ya da kontrolün dizaynı, uygulaması, kurulumu ya da işleyişi esnasında meydana gelen bir aksaklıktır. Bu zafiyetler dikkatsizlikle ya da kasten oluşabilir. Bazılarını tanımlamak/düzeltmek/kendi lehine döndürmek kolayken, bazıları zaman, çaba ve kaynak gerektirir.

Açıklık yönetimi için ISO 27001 yaklaşımı

Temel olarak, ISO 27001 kontrol A.12.6.1 üç hedefe odaklanır:

Açıklığın zamanında belirlenmesi.

Bir açıklığı ne kadar erken fark ederseniz, saldırganın sahip olabileceği zaman avantajını azaltarak bu durumu düzeltmek ya da en azından olası durum hakkında üreticiyi uyarmak için o kadar fazla vaktiniz olacaktır.

Kuruluşun açıklığa maruz kalışının değerlendirilmesi.

Tüm kuruluşlar belli bir açıklık ya da açıklık dizisi tarafından aynı şekilde etkilenmezler. Varlığınız ve işiniz için daha kritik olan bu açıklıkları tanımlamak ve bunlara öncelik kazandırmak için bir risk değerlendirmesi yapmak zorundasınız.

Bağlı riskleri dikkate alan düzenli ölçümler.

Bir kere en kritik açıklıkları belirlediğinizde, üstesinden gelmek için eylemler ve sahip olduğunuz kaynakların atanması hakkında kafa yormanız gerekir ki bu da sizin risk tedavi planınızdır. En tedbirli olanı, bunlarla ilişkili olan risk seviyesini dikkate alarak yapılandır.

Açıklık yönetimi için yönelimi destekleyen ISO 27002

Bu hedefleri gerçekleştirmek için destekleyici eylemler olarak, A.12.6.1 gibi güvenlik kontrollerini uygularken dikkate alınacak en iyi uygulamaları sunan ISO 27002 şunları önermektedir:

Bir varlık dökümü yapın.

Etkili bir açıklık yönetimi; yazılım üreticisi, yazılım sürümü, yazılımın yüklendiği yer ve yazılımın her bir parçasından kimin sorumlu olduğu gibi bilgi varlıklarınız hakkındaki ilgili bilgi donanımıza bağlıdır.

Sorumlulukları belirleyin.

Açıklık yönetimi, birçok işlemin gerçekleşmesini gerektirir (örn. gözetim, risk değerlendirmesi, düzeltme vb.). Bu nedenle, varlıkların doğru izlendiğinden emin olmak için kimin neyi yapacağını açıkça belirlemek uygun olacaktır.

Referans kaynaklarını belirleyin.

Üretici siteleri, ihtisas forumları ve özel ilgi grupları açıklıklar ve düzeltme ölçümleriyle ilgili haberler hakkında danışılacak bilgi kaynakları listenizde yer almalıdır.

Açıklıklarla, belirlenmiş prosedürler çerçevesinde ilgilenin.

Bir açıklıkla ilgilenme aciliyetinden bağımsız olarak, bu sorunu yapılandırılmış bir tarzda onarmak da önemlidir. Açıklıkları onarmak için değişim yönetimi ya da olay müdahalesi prosedürleri düşünülmelidir çünkü bu prosedürler, öncelik kazandırma, zaman yanıtı, müdahale artışı vb. konuları dikkate alarak sizlere ne yapmanız gerektiği konusunda rehberlik edebilir.

Olay sonrası analiz için kayıt tutun (ve analiz edin).

Ne yapıldığının ve hangi prosedürlerin uygulandığının olay kayıtlarını tutmak, olaydan ders çıkarmak ve muhtemel olayları engellemek ya da açıklık yönetim sistemini bizzat geliştirmek kadar en azından etkilerini en aza indirmek için hayati önem taşımaktadır. Ayrıca, düzenli değerlendirme yapıldığından da emin olmanız gerekir. Böylece, en kısa sürede gelişmeleri uygulayabilir ya da düzeltme yapabilirsiniz.

Bir açıklık yönetimi senaryo örneği olarak, kriptografik iletişim yolu ile bilginin anlaşılmasını sağlayan, 2014’te keşfedilmiş Heartbleed açığını gözünüzün önüne getirin. Bir kuruluş, varlık dökümünde tanımlanan referans kaynaklarının gözetiminden bu açıklığın kritik olarak sınıflandırılmış bazı varlıkları etkileyebileceğini tespit edebilir. Değişim yönetimi prosedürleri aracılığıyla, yama yerleşimi ile aksaklığı düzeltmek kadar yama uygulanana kadar aktarımdan önce gönderilen bilgiyi şifreleyerek bilgi sızıntısı riskini en aza indirmek için de uygun eylemler planlanabilir.

Zırhınızdaki çatlaklara yenik düşmeyin

Piyasadaki giderek daha da hızlanan yazılım teslimatı ve daha çok özellik talebinden dolayı, açıklık miktarının daha fazla boyutlara ulaşmasını bekleyebilirsiniz. Bu nedenle, bilgi varlıklarınızın, iş imajınızın ve rekabet gücünüzün güvenliğini sağlamak için açıklıkları nasıl belirleyeceğinizi ve onlarla nasıl başa çıkacağınızı planlamak son derece önemlidir. Göreceksiniz ki ISO 27001 ve 27002 tarafından sunulan tavsiyeleri kendi gerçekliğinize uyarlayarak iş saygınlığınız üzerindeki kayıpları ve etkileri en aza indirmek kadar bir sürü kaygı ve iş yükünü de başka bir zamana saklayabilirsiniz.

CEVAP VER

Please enter your comment!
Please enter your name here