|
Penetrasyon testlerinin aksine, güvenlik denetimlerinde Pro-G uzmanları
düşmanınız rolünü değil, sizin koruyuculuğunuz rolünü üstlenir. Belirleyeceğiniz
sistemlerin (güvenlik duvarı, uygulama sunucusu, kurumsal ağ, veritabanı sistemi
vb.) ya da tüm bilişim teknolojileri altyapınızın varlık gerekçelerinin ve çalışma
biçimlerinin kuruluşunuz uzmanlarınca tanıtılmasından sonra, uzmanlarımız bu
varlıklarınızı derinlemesine bir güvenlik incelemesine tabi tutarlar.
Varlıklarınız hakkında vereceğiniz bilgi kümesinin hacmi arttıkça incelemelerin
derinliği de artacaktır.
Denetim sürecinde, Pro-G uzmanları sistemleriniz ile ilgili edindikleri her
veriyi saldırganın bakış açısından ele alır ve "bu özellikten faydalanarak
sisteme nasıl zarar verebilirim?" sorusunun yanıtını ararlar. Gelişmiş uzman
sistem yazılımlarından da faydalanılan inceleme sürecinde sistemlerin zafiyet
noktalarının belirlenmesine çalışılır.
Güvenlik denetimi çalışmaları üç ana bölümden oluşur:
- Zafiyetlerin tespiti: Bu aşamada amaç kuruluşun kritik bilişim
teknolojisi varlıklarının güvenlik problemlerinin alabildiğine eksiksiz bir
listesinin oluşturulmasıdır. Zafiyet tespiti için yapılan incelemeler sırasında
problemlerin neden olabileceği risklere bakılmaksızın eksiksiz bir liste
oluşturulur; risk düzeyi nedeniyle hiçbir problem göz ardı edilmez.
-
Zafiyetlerin raporlanması, değerlendirme ve iyileştirme planlaması:
Bu aşamada tespit edilen tüm zafiyetler azalan risk düzeyine göre sıralanmış
biçimde, risk önleme ya da azaltma önerileri ile birlikte sunulur. Pro-G'nin
çeşitli ölçeklerdeki kuruluşlar ile deneyimleri, önerilerin en uygun bir
biçimde seçilmesine ve yapılması planlanan iyileştirme çalışmalarının mevcut
operasyona zarar vermemesinin sağlanmasına imkan vermektedir. Gerçekleştirilecek
değerlendirme çalışması sonunda uygulanacak iyileştirme faaliyetleri belirlenerek
eylem planı oluşturulur. İyileştirme faaliyetlerinin kuruluşunuz hizmetlerinde
kesintilere neden olma ihtimali durumunda uygun zaman planlaması da bu aşamada
gerçekleştirilir.
-
İyileştirme: Belirlenen eylem planı doğrultusunda iyileştirme
faaliyetleri titizlikle ve kontrollü bir biçimde gerçekleştirilir.
İyileştirmelerin tümünün tamamlanmasından sonra mevcut operasyona zarar
verilmediğinden ya da yeni zafiyetlere neden olunmadığından emin olunması
amacıyla yalnızca ilintili sistemleri ya da konuları kapsayan hızlandırılmış
bir denetim çalışması tekrarlanır ve sonuç raporu ile kuruluşunuza sunulur.
Güvenlik denetimi tamamlandığında, denetime konu olan bilişim teknolojisi
varlıklarınızın güvenlik ile ilgili problemlerinin pek çoğu giderilmiş ve
sistemlerinizin güvenlik düzeyleri arttırılmış olacaktır.
|
Copyright