Bilgi güvenliğinin maliyeti güvenlik harcamaları ile oluşan güvenlik olaylarının maliyetlerinin toplamından oluşmaktadır. Güvenlik harcamaları ile güvenlik olaylarının maliyetleri arasında ise ters ortantı bulunmaktadır. Ancak harcamaların öncelikli alanlara yapılmaması durumunda olayların optimum miktarda azaltılamaması ile sonuçlanabilir.
ISO27001, bilgi güvenliği problemlerinin ele alınmasını ve yönetilmesini destekleyen bir yönetim sistemi standardıdır. Belgelendirmeye tabi tutulması, düzenleyiciler tarafından düzenlemelere konu edilmesi, bilgi paylaşımını gerektiren tedarik süreçlerinde şartname şartlarından biri haline gelmesi nedeniyle popülerliği gittikçe artan bir standarttır.
Bilgi güvenliğinin maliyeti güvenlik harcamaları ile oluşan güvenlik olaylarının maliyetlerinin toplamından oluşmaktadır. Güvenlik harcamaları ile güvenlik olaylarının maliyetleri arasında ise ters ortantı bulunmaktadır. Ancak harcamaların öncelikli alanlara yapılmaması durumunda olayların optimum miktarda azaltılamaması ile sonuçlanabilir.
ISO27001, bilgi güvenliği problemlerinin ele alınmasını ve yönetilmesini destekleyen bir yönetim sistemi standardıdır. Belgelendirmeye tabi tutulması, düzenleyiciler tarafından düzenlemelere konu edilmesi, bilgi paylaşımını gerektiren tedarik süreçlerinde şartname şartlarından biri haline gelmesi nedeniyle popülerliği gittikçe artan bir standarttır.
Bilgi sistemlerine yönelik veya bilgi sistemleri kullanılarak işlenen suçlar ve gerçekleştirilen saldırılar bu sistemler üzerinde izler bırakmaktadır. Ayrıca sistem hafızalarında ve ağ üzerinde söz konusu aktivitelere ilişkin canlı analiz ile işlenen suçların izleri gözlenebilmektedir.
Bilgi sistemleri üzerindeki kalıcı ve geçici suç izlerinin elde edilmesi ve analizi için çoğunlukla ticari adli bilişim çözümlerinin kullanılması gerekmektedir. Bunun sebebi incelenecek verilerin çokluğu ve bu büyüklükteki verilerin manuel yöntemlerle makul bir zaman aralığında incelenememesidir.
Ticari çözümler kullanım kolaylığı sağlayabilmek için pek çok teknik detayı kullanıcılardan gizlemektedirler. Ancak kullanıcıların temel teknik bilgilere sahip olmaması uzmanlıklarının sınırlanmasına ve olası problemlere karşı etkili çözümler geliştirememelerine yol açmaktadır.
Güvenlik Testlerinde Açık Kaynak İstihbaratı KullanımıBGA Cyber Security
Bir kurum sızma testi yaptıracağı zaman, bu testi yapacak olan profesyoneller öncelikle hedef sistem hakkında bilgi toplamak zorundadır. Hedef sistemin kullandığı IP aralığı, subdomainler, aynı kullanıcı üzerinden alınmış diğer domainler, dns kayıtları, çalışanlarına açılan mail adresi politikası, bağlantılı mobil uygulamalar, kurumun sosyal medya hesapları, çalışanlarının sosyal medya hesapları, çalışan profili, güvenlik sertifikası bilgileri, kurum veya çalışanları adına gerçekleştirilen veri sızıntıları, forumlarda paylaşılan bilgiler ve daha fazlası OSINT kullanılarak elde edilebilir.
Unutmayın! Siber saldırılarda her türde ve büyüklükteki işletme risk altındadır ve en zayıf halka insan faktörüdür! Hem teorik hem pratik örneklerle oluşan içeriğiyle bu eğitim, son savunma hattınız olan çalışanlarınızın güncel siber tehditleri daha iyi anlayıp gerekli önlemleri almasını sağlamada çok faydalı olacaktır.
Bilgi sistemlerine yönelik veya bilgi sistemleri kullanılarak işlenen suçlar ve gerçekleştirilen saldırılar bu sistemler üzerinde izler bırakmaktadır. Ayrıca sistem hafızalarında ve ağ üzerinde söz konusu aktivitelere ilişkin canlı analiz ile işlenen suçların izleri gözlenebilmektedir.
Bilgi sistemleri üzerindeki kalıcı ve geçici suç izlerinin elde edilmesi ve analizi için çoğunlukla ticari adli bilişim çözümlerinin kullanılması gerekmektedir. Bunun sebebi incelenecek verilerin çokluğu ve bu büyüklükteki verilerin manuel yöntemlerle makul bir zaman aralığında incelenememesidir.
Ticari çözümler kullanım kolaylığı sağlayabilmek için pek çok teknik detayı kullanıcılardan gizlemektedirler. Ancak kullanıcıların temel teknik bilgilere sahip olmaması uzmanlıklarının sınırlanmasına ve olası problemlere karşı etkili çözümler geliştirememelerine yol açmaktadır.
Güvenlik Testlerinde Açık Kaynak İstihbaratı KullanımıBGA Cyber Security
Bir kurum sızma testi yaptıracağı zaman, bu testi yapacak olan profesyoneller öncelikle hedef sistem hakkında bilgi toplamak zorundadır. Hedef sistemin kullandığı IP aralığı, subdomainler, aynı kullanıcı üzerinden alınmış diğer domainler, dns kayıtları, çalışanlarına açılan mail adresi politikası, bağlantılı mobil uygulamalar, kurumun sosyal medya hesapları, çalışanlarının sosyal medya hesapları, çalışan profili, güvenlik sertifikası bilgileri, kurum veya çalışanları adına gerçekleştirilen veri sızıntıları, forumlarda paylaşılan bilgiler ve daha fazlası OSINT kullanılarak elde edilebilir.
Unutmayın! Siber saldırılarda her türde ve büyüklükteki işletme risk altındadır ve en zayıf halka insan faktörüdür! Hem teorik hem pratik örneklerle oluşan içeriğiyle bu eğitim, son savunma hattınız olan çalışanlarınızın güncel siber tehditleri daha iyi anlayıp gerekli önlemleri almasını sağlamada çok faydalı olacaktır.
Yazılım Güvenliği Yönetimi Eğitimimiz aşağıdaki konu başlıklarını içermektedir:
Güvenli Yazılım Geliştirme Modelleri
-TOUCHPOINTS
-Secure Development Lifecycle (Microsoft)
-CLASP (Comprehensive, Lightweight Application Security Process)
Risk Yönetimi
Güvenlik Gereksinim Analizi
Teknik Riskler
Sızma Testi ve Statik Kod Analizi
Güvenlik Operasyonu
OWASP/TR Mobil Güvenlik Çalıştayı, Android Uygulamalara Zararlı Yazılım Yerlestirme Sunumu
Android Uygulamara Zararlı Yazılım Yerleştirme konusuda daha fazlasını öğrenmek için tıklayınız. http://blog.btrisk.com/2015/08/android-uygulamalara-malware-yerlestirme-1.html
BTRisk Android Mobil Uygulama Denetimi Eğitimi sunumumuz aşağıdaki ana konu başlıklarından oluşmaktadır:
Mobil Uygulama Mimarisi
-Android İşletim Sistemi
-Android Rooting
-Android Güvenlik Mimarisi
-Uygulama Dili Dönüşümleri
-Dalvik Virtual Machine
ARM (Advanced Risk Machines) Mimamrisi
Mobil Uygulama Fonksiyonalitesi
Androdi Uygulama Bileşenleri
Uygulama Erişim İzinleri
Android Hacking Metodları
-Root Kontrolünü Aşma Yöntemleri
-SSL Pinning Atlatma Yöntemleri
-Android Debug Altyapısı
-Kritolu Verilerin Okunması
-IPC (Inter Process Communication) Saldırıları
-Cihaz Üzerinde Saklanan Bilgiler
-Cihaz Loglarından Sızan Bilgiler
Obfuscation (Karmaşıklaştırma) Yöntemleri
Ekran Resmi Çekme ve Recent Apps Ekran Görüntüleri
Kontrolsüz Gönderilen Broadcast Mesajları
Unix Denitim Dokümanımız aşağıdaki konu başlıklarını içermektedir:
Unix Temelleri
-Shell
-Dosya Sistemi
-Dosya-Dizin Yapıları ve Yetkiler
-Dosya ve Klasör Yönetimi
-Process
-Ağ Servisleri
-Kullanıcı Yönetimi
-Görev Zamanlayıcı (Cron)
-Loglama
-Manual Sayfaları
Unix Sistem Güvenliği Kontrolleri
-Network Servisleri
-Uzak Erişim kontrolleri
-Kritik Dosya ve Komut Erişimleri
-Süreç Takibi
-Sistem Kullanıcılıarı
-Kimlik Doğrulama
-Kapasite ve Sistem Performans Takibi
-Güvenlik Kontrolleri ile İlgili İpuçları
Web uygulamaları dağıtım kolaylığı nedeniyle masaüstü uygulamalara üstünlük sağlamış ve geniş uygulama alanı bulmuştur. Bunun yanı sıra internete açık olan uygulamaların önemli bir kısmı da web uygulaması şeklindedir. Web uygulaması olmayan masaüstü uygulamalar ve mobil uygulamalar dahi web uygulama mimarisinin önemli bir kısmı olan HTTP protokolünü kullanmaktadır.
Bunların yanı sıra web uygulamaları çok katmanlı mimariye sahip olup, bu durum nispeten web uygulama altyapılarının sıradan masaüstü uygulamalara nazaran karmaşık olmalarına neden olmaktadır.
Tüm bu nedenlerden dolayı web uygulamaları saldırganların gözde hedeflerinden birisidir.
Web uygulama denetimi eğitiminde katılımcılara web uygulamalarında ortaya çıkabilecek açıklıkların neler olduğu, bu açıklıkları nasıl tespit edebilecekleri ve açıklıkların ortadan kaldırılma yöntemleri aktarılmaktadır.
Web uygulama denetimi eğitimi, mobil uygulama denetimi yapacak katılımcılara da gerekli temel web teknolojileri bilgilerini aktarmayı hedeflemektedir.
Bu sunum web uygulamalarının kritikliği ne kadar düşük olursa olsun uygulama açıklıklarının sistem ve ağ güvenliğini tehdit edebileceğini göstermektedir.
Bilgi Güvenliği üzerine ARGE yapmak ve müşteriye ihtiyaç duyduğu ürünleri üretebilmek amacıyla kurulmuştur. 1999 yılından beri bilgi güvenliği konusunda sahip olduğu deneyimleri ile bu konuda çalışan herkesin işini kolaylaştırma hedefindedir. Bu bağlamda ilk iş olarak SECURISKOP projesini gerçekleştirmiş ve bunu bir ürün haline getirmiştir. SECURISKOP, piyasada bulunan güvenlik açıklıkları tarama yazılımlarını yönetip, bunlara ek özellikler sağlayarak, güvenlik açıklıkları ve bunların kapatılmasını kolaylaştıran bir platformdur.
BGA Security tarafından her yıl yaklasık olarak 200’e yakın
sızma testi projesi gerçeklestirilmektedir. Bu projeler standart
olmayıp müsterilerin taleplerine göre farklı boyutlarda
olabilmektedir. Bu rapor yapılan çalışmalarda karşılaşılan zafiyetler ve istismar yöntemlerinin istatistiklerini paylaşmak amacıyla hazırlanmıştır.
Mustafa Değerli - 2016 - UYMS 2016 - Makale - Bir Süreç Uyarlama Yaklaşımı Ör...Dr. Mustafa Değerli
Bir Süreç Uyarlama Yaklaşımı Örneği: Süreç Uyarlama Matrisi (SUM), Deneyimler ve Öneriler
Mustafa DEĞERLİ, Elif KURTARAN ÖZBUDAK ve Fatıma Nur ÇOLAKOĞLU
TÜBİTAK BİLGEM İleri Teknolojiler Araştırma Enstitüsü (İLTAREN)
{ mustafa.degerli, elif.kurtaran, nur.colakoglu }
@tubitak.gov.tr
Özet. Takvim, maliyet, kapsam ve kalite ile ilgili hedeflere ulaşmada en önemli araçlardan biri olan süreçlerin, projelerin eşsiz karakterleri ve organizasyonların durumsallık yaklaşımları dikkate alınarak uyarlanması projelerin başarısını etkileyebilecek önemli bir husus olarak karşımıza çıkmaktadır. Bu deneyim bildirisinde, TÜBİTAK BİLGEM İleri Teknolojiler Araştırma Enstitüsü (İLTAREN)’nde, Süreç İyileştirme Projesi kapsamında geliştirilen ve yeni baş- layan projelerdeki uygulamalar ile elde edilen deneyimler sonucunda iyileştirilen ve olgunlaştırılan İLTAREN Süreç Uyarlama Yaklaşımı hakkında bilgi verilmektedir. Aynı zamanda, süreç uyarlama yaklaşımında kullanılan İLTAREN Süreç Uyarlama Matrisi (SUM) tanıtılmakta, süreç uyarlama bağlamında edinilen deneyimler paylaşılmakta ve bu bağlamda çeşitli önerilerde bulunulmaktadır. Bu deneyim bildirisinin sektörde uyarlamaya ilgi duyan ve bu bağlamda süreçlerini iyileştirmek isteyen profesyoneller için yararlı olacağı değerlendirilmektedir.
Anahtar kelimeler: ∙Uyarlama ∙Süreç uyarlama matrisi ∙Süreç yönetimi ∙Süreç iyileştirme
A Process Tailoring Approach Example: Process Tailoring Matrix (PTM), Experiences, and Suggestions
Abstract. As processes are one of the salient tools to attain schedule, cost, scope, and quality objectives, tailoring of processes with respect to unique characteristics of projects and contingency approaches of organizations happens to be an important factor regarding the success of projects. In this experience paper, general information is given about TUBITAK (The Scientific and Technological Research Council of Turkey) BILGEM ILTAREN (Advanced Technologies Research Institute) Process Tailoring Approach which was developed in the scope of Process Improvement Project and has been improved and matured with practices distilled as a result of applying the new approach in the new projects. In this context, the ILTAREN Process Tailoring Matrix (PTM) is introduced, experiences in the context of process tailoring are shared, and certain suggestions are provided for this context. This experience paper will be beneficial for professionals in the sector who are interested in tailoring practices and want to improve their processes within this context.
Keywords: ∙Tailoring ∙ Process tailoring matrix ∙Process management ∙Process improvement
Etkili Bir Kalite Güvence Sürecinin Parçası Olarak Proje Seviyesindeki Deneti...Dr. Mustafa Değerli
Değerli, M. (2017). Etkili Bir Kalite Güvence Sürecinin Parçası Olarak Proje Seviyesindeki Denetimler: Uygulanan Pratikler ve Öğrenilen Dersler, 1980, 391-402. ISSN: 1613-0073- http://ceur-ws.org/Vol-1980
Dr. Mustafa DEĞERLİ - 2017 - Etkili bir kalite güvence sürecinin parçası olar...Dr. Mustafa Değerli
Değerli, M., Özbudak, E. K., Aytaç, A. A. ve Demirel, Ö. E. (2017). Etkili bir kalite güvence sürecinin parçası olarak proje seviyesindeki denetimler: Uygulanan pratikler ve öğrenilen dersler. On Birinci Ulusal Yazılım Mühendisliği Sempozyumu (UYMS 2017). Bildiri Kitabı, 1980, 391-402. ISSN: 1613-0073
Google Güvenli Yapay Zeka Framework Yaklaşımı(Türkçe Çeviri)AISecLab
Güvenli Yapay Zeka Frameworku (Secure AI Framework (SAIF)), güvenli yapay zeka (AI) sistemleri için kavramsal bir frameworktur. Google'ın yazılım geliştirmeye uyguladığı tedarik zincirini gözden geçirme, test etme ve kontrol etme gibi en iyi güvenlik uygulamalarından esinlenirken, yapay zeka sistemlerine özgü güvenlik mega trendleri ve riskleri hakkındaki anlayışımızı da dahil etmektedir.
Web uygulamaları dağıtım kolaylığı nedeniyle masaüstü uygulamalara üstünlük sağlamış ve geniş uygulama alanı bulmuştur. Bunun yanı sıra internete açık olan uygulamaların önemli bir kısmı da web uygulaması şeklindedir. Web uygulaması olmayan masaüstü uygulamalar ve mobil uygulamalar dahi web uygulama mimarisinin önemli bir kısmı olan HTTP protokolünü kullanmaktadır.
Bunların yanı sıra web uygulamaları çok katmanlı mimariye sahip olup, bu durum nispeten web uygulama altyapılarının sıradan masaüstü uygulamalara nazaran karmaşık olmalarına neden olmaktadır.
Tüm bu nedenlerden dolayı web uygulamaları saldırganların gözde hedeflerinden birisidir.
Web uygulama denetimi eğitiminde katılımcılara web uygulamalarında ortaya çıkabilecek açıklıkların neler olduğu, bu açıklıkları nasıl tespit edebilecekleri ve açıklıkların ortadan kaldırılma yöntemleri aktarılmaktadır.
Web uygulama denetimi eğitimi, mobil uygulama denetimi yapacak katılımcılara da gerekli temel web teknolojileri bilgilerini aktarmayı hedeflemektedir.
www.btrisk.com
More from BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri (11)
1. BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ
Firm
aların
bilgigüvenliğinigüvence
altına
alan,ISO
standartlarına
uygun
kurum
salbiryönetim
sistem
idir
Bilgi güvenliği risklerinizi
yönetmek ve kontrol altında tutmak
istiyor musunuz?
2. BTRWatch, bilgi güvenliği yönetimine verdiğiniz önemin
somutlaşmasını ve görünür hale gelmesini sağlar.
Bilgi güvenliği risklerinizi yönetmek ve kontrol altında tutmak istiyorsunuz.
Muhtemelen ofis dokümanları üzerinde risk analizleri yaptınız, bilgi
güvenliği planlarınızı oluşturdunuz ve takip ediyorsunuz.
Ya da yeni başlıyorsunuz, ISO27001 standardını
incelediniz, ama;
Ama...
Ofis dokümanlarındaki verilerin güncellikleri ve versiyonlarını takip etmekten,
Farklı kişilerin doldurduğu dokümanları konsolide etmekten,
Farklı dokümanlarda bulunan verileri manuel olarak ilişkilendirmekten (ör: risk
senaryoları ile varlık listelerini, iç denetim bulguları ile düzeltici faaliyetleri, v.b.),
Yazılı olsa bile, risk analizi, iç denetim ve düzeltici faaliyet süreçlerinizi tekrar
tekrar hatırlamaya çalışmaktan yorulduysanız,
Standardın gereklerini yerine getirecek süreçleri oluşturmakta ve somutlaştırmakta yardıma
ihtiyaç duyuyorsanız,
Danışmanlık için ayırabileceğiniz bütçe sınırlıysa,
Alacağınız danışmanlık hizmetinin kalitesi ve faydasından kuşkulu iseniz,
Personelinize eğitim aldıracaksınız, ama bilgi güvenliği yönetimi ile ilgili bilginin
kurum geneline aktarılamamasından veya kaybedilmesinden endişe duyuyorsanız,
Size somut ve etkili bir önerimiz var:
BTRWatch Bilgi Güvenliği Yönetim Sistemi
BTRWatch Nedir? “
“
3. Kanıtlanmış BGYS kurulum ve işletim metodu;
Hazır soru setleri;
BTRWatch, BTRisk’in bilgi güvenliği ihtiyacı yüksek kurumlarda gerçekleştirdiği danışmanlık
çalışmalarının neticesinde oluşturduğu Bilgi Güvenliği Yönetim Sistemi (BGYS) kurulum ve işletim
metodunun somutlaşmış halidir. BTRWatch ile ISO27001’e tam uyumlu ve ihtiyaçlarınızla örtüşen bir
bilgi güvenliği yönetim sistemini en verimli biçimde kurabilirsiniz.
BTRWatch, yönetim sisteminizin kurulumunu kolaylaştırır. Barındırdığı süreçler ve kullanım kolaylıkları
sayesinde yönetim sisteminin işletimini de etkinleştirir.
ISO27002 dokümanında geçen tüm kontroller, üst seviye ve detaylı olmak üzere, evet veya hayır yanıtları ile
cevaplanabilecek düzeye indirgenmiştir. Bu sayede bilgi güvenliği uzmanlığı üst seviyede olmayan risk analistleri
ve iç denetçiler dahi bilgi güvenliği zafiyetlerini olabildiğince rahat değerlendirebilirler.
ISO27001 standardına uyumu güvence altına almak ve kurulan sistemin ISO31000 Risk Yönetim Standardı’na
uyumunu değerlendirmek için, iç denetimde kullanılmak üzere, BGYS soruları hazır olarak sunulmaktadır. BGYS
soruları en detaylı uyum gereksinimlerine yönelik olup, sorulara verilen yanıtlarla her bir uygunsuzluk net ve
anlaşılır bir biçimde ortaya konulmaktadır.
Hazır varlık kategorileri;
Risk değerlendirmesi aşamasında bilgi varlığı nedir sorusu hayal gücünüzü zorlayabilir. Bilgi varlığı olarak
değerlendirilebilecek çok sayıda varlık kategorisi BTRWatch’un hazır veri setlerinin parçası olarak gelir. Ayrıca her
bir olası bilgi güvenliği zafiyeti ile ilgili varlık kategorileri sizin için ilişkilendirilmiştir.
Hazır bilgi güvenliği tehditleri;
Bilgi güvenliği riski için de uygulanabilecek klasik risk formülündeki olasılık bileşenini destekleyen
faktörlerden birisi de tehdit faktörüdür. Tehdit bazı senaryolar için bir aktör diğerleri için olumsuz
durumlardan oluşabilir. Risk analizi konusunda çok sayıda deneyimi olmayan bir analist için risk senaryosuna
uygun tehditleri tahmin etmek zaman kaybettirici olabilir. Bilgi güvenliğine yönelik olarak
değerlendirilebilecek çok sayıda tehdit BTRWatch’un hazır veri setlerinin parçası olarak gelir. Ayrıca her bir
olası bilgi güvenliği zafiyetini hedef alabilecek tehditler sizin için ilişkilendirilmiştir.
4. Entegre bilgi güvenliği süreçleri;
BTRWatch’un bünyesinde bulunan 4 kritik bilgi güvenliği süreci; risk analizi, iç denetim, olay ve zayıflık yönetimi ile
düzeltici faaliyet yönetimi, birbirleri ile entegre çalışır ve birbirlerini destekler.
Risk analizi ve olay yönetimi modülleri entegrasyonu sayesinde, risk analizi sırasında ilgili varlığın daha önce
maruz kaldığı olay kayıtları görüntülenebilir ve tehdit profili hakkında daha somut bilgilere ulaşılabilir.
İç denetim ve düzeltici faaliyet modülleri entegrasyonu sayesinde, bir önceki iç denetim tarihinden sonra
kapatılmış olan düzeltici faaliyetler etkinlikleri değerlendirilmek üzere uygulama üzerinde denetime dahil edilebilir.
İç denetim planlaması risk analiz sonuçları dikkate alınarak gerçekleştirilebilir.
Düzeltici faaliyet yönetim süreci diğer üç kritik BGYS sürecine entegre olduğu için gereksiz tekrarlar önlenir.
Örneğin risk analizinde belirlenmiş olan bir düzeltici faaliyet bir olay kaydı ile de ilişkilendirilebilir. Benzer şekilde
aynı düzeltici faaliyet bir iç denetim bulgusuna da bağlanabilir. Her bir düzeltici faaliyet kaydı üzerinde düzeltici
faaliyetin kaynakları izlenebilir.
Kurumsal uygulama;
BTRWatch üzerindeki fonksiyonları kullanabilecek çok sayıda kullanıcı rolü oluşturulabilir. BTRisk’in geliştirdiği
BGYS metodu doğrultusunda öngördüğü roller, uygulama üzerinde tanımlı olarak gelir. Rol altyapısı sayesinde
bilgi güvenliği ve iç denetim alanlarında uzman ekipler yönetim rollerini, risk analizi ve iç denetim süreçlerinin
delege edilen kısımlarının atanacağı personel ise analist ve denetçi rollerini üstlenebilir. Böylece aynı anda ve
aynı yönetim sistemi bünyesinde çok sayıda kullanıcı, görevleri paylaşarak farklı coğrafi alan veya kapsamlarda
risk analizi ve iç denetim çalışmalarını eşzamanlı olarak sürdürebilirler.
Risk analizi ve iç denetim yönetimi rolündeki kullanıcılar, görev atanmış analist ve denetçilerin çalışmalarını, özet
grafikler ve listeler üzerinden merkezi olarak izleyebilirler. Ayrıca analist ve denetçiler’in çalışmaları yönetim ekibi
tarafından gözden geçirilebilir, onaylanabilir ve düzeltilmesi için tekrar analist veya denetçilere iade edilebilir. İç
denetçiler izledikleri denetim prosedürlerine ilişkin destekleyici doküman ve kanıtları uygulamaya yükleyebilir ve
yönetim ekibinin dikkatine sunabilir.
Her risk analizi ve iç denetim dönemi saklanır. Dolayısıyla geçmiş dönemlerdeki risk analizi ve iç denetim
sonuçları izlenebilir.
BTRWatch, ISO27001:2013 ve ISO27001:2005, ISO27005
ve (bilgi güvenliği riskleri açısından)
ISO31000 standartları ile uyumludur.
5. Manuel süreçlerle entegrasyon;
BTRWatch, kritik bilgi güvenliği yönetim süreçlerinin önemli kısmını üzerinde barındırır, diğer manuel ya
da insana dayalı bilgi güvenliği aktivitelerine ise yön verici girdiler üretir.
Örneğin;
BTRWatch üzerinde yürütülen süreçlerin (risk analizi, iç denetim, olay ve zayıflık yönetimi, düzeltici faaliyet
yönetimi) tümünün çıktıları Yönetim Gözden Geçirme (YGG) faaliyetlerinde yapılacak olan
değerlendirmelere ışık tutar.
Politika ve prosedürler, güvenlik altyapısı ve güvenlik operasyonları düzeltici faaliyet sürecinden
etkilenirler. Aktif ve dinamik bir düzeltici faaliyet yönetimi süreci sayesinde kurumun ihtiyaçlarına daha
uygun hale gelirler.
Sızma testleri ve farkındalık eğitimleri, etkili bir risk analiz faaliyetinin sonuçlarını esas alarak, güvenlik
ihtiyacının yoğun olduğu alanlara odaklanabilirler. Bu sayede kurum kaynakları daha etkili kullanılır ve risk
olasılıkları en aza indirilebilir.
Olay yönetim sürecinin aktif biçimde işletilmesi halinde, tutulan olay ve zayıflık kayıtlarının ışığında, sızma
testi ve farkındalık eğitimleri tehdit olasılığının yüksek olduğu alanlara odaklanabilir.
BTRWatch üzerinde yürütülen kritik bilgi güvenliği yönetim süreçleri, sadece diğer süreçlere girdi
sağlamaz. Aynı zamanda bu süreçlerden doğacak çıktıları bünyesine alarak manuel süreçlerle tam bir
entegrasyon gerçekleştirir.
Örneğin;
Politika ve prosedürlerde belirtilen ve ISO27002 dokümanında yer almayan kontroller kontrol sorularına
eklenerek, risk analizi ve iç denetim süreçlerine dahil edilir.
Güvenlik altyapısındaki değişiklikler varlık envanterine yansıtılarak risk analizine dahil edilir.
Güvenlik operasyonları sırasında tespit edilen ve karşılaşılan güvenlik olayları kayıt altına alınarak gerekli
önlemlerin alınması için düzeltici faaliyet süreci tetiklenir.
Sızma testleri sonucunda bulunulan açıklıklar zayıflık kaydı olarak ele alınır, gerekli düzeltici faaliyet süreci
başlatılır.
Yönetim Gözden Geçirme (YGG) sürecinin sonucu olarak belirlenen gereksinimler, gereksinim kaydı olarak
kaydedilir. Yine yönetim tarafından gözlenen zayıflıklar zayıflık olarak kaydedilir. Belirlenen zayıflık ve
gereksinimlerin gereği olan faaliyetler düzeltici faaliyet sürecinde takip edilir.
6. Pratik çözümler;
Bir önceki dönemden mevcut döneme risk senaryolarının aktarımı sırasında, eğer aktarılan risk senaryosu ile
ilgili bir düzeltici faaliyet planlanmış ve mevcut dönem başlamadan tamamlanmış ise, bu durum zafiyet
düzeyine ve dolayısıyla risk değerine otomatik olarak yansıtılır.
Zafiyetleri belirlemek için kullanılan sorular ISO27002 dokümanı ile paralel biçimde hazırlanmıştır. Her bir kontrol
alanı için bir üst düzey soru ve kontrolün niteliğine bağlı olarak değişen sayıda detaylı soru bulunmaktadır.
BGYS’nin kurulumu aşamasında yapılacak çalışmanın ağırlığı nedeniyle üst düzey sorular seviyesinde çalışma
yapılabilir. Ancak BGYS olgunlaştıkça ve kontrol altyapısı da iyileştikçe daha detaylı kontrol alanlarına inilebilir.
Risk analizi sırasında mevcut kontrol altyapısına, kontrol eksikliklerine ve tespit edilen kontrol eksiklikleri için
uygulanmasına karar verilen düzeltici faaliyetlere ilişkin pek çok veri oluşur. Bu veriler standart
gereksinimlerinden olan uygulanabilirlik bildirgesinin hazırlanması için otomatik olarak toplanıp raporlanır.
Uzman ekip üzerinde çalışmak üzere bu ham verileri bir ofis dokümanı olarak indirebilir.
Kuruma özel kontrol soruları, varlık kategorileri, tehditler ve risk ifadeleri kullanıcılar tarafından yüklenebilir ve
bunlar arasındaki ilişkiler kurulabilir. Bu sayede BTRWatch’un risk analistlerini destekleyici altyapısı özel ihtiyaçlar
için de kullanılabilir.
Risk analizi sırasında bir kullanıcıya atanmış olan kontrol soruları, kullanıcının işten ayrılması veya projeye iştirak
edememesi halinde farklı bir kullanıcıya kaydırılabilir. Böylece girilmiş olan verilerin tekrar girilmesine gerek
kalmadan senaryoların geliştirilmesine devam edilebilir.
Her bir risk senaryosu için gereksiz tekrarı
önleyebilmek amacıyla, varlıklar ve tehditler,
ilgili risk senaryosuna özel biçimde
gruplanabilir. Bununla birlikte belli varlıkların,
zafiyetlerin, tehditlerin geçtiği risk senaryoları
raporlama imkanları sayesinde filtrelenebilir.
Böylece gruplanmış olsalar dahi belli bir varlık
veya tehdidin dahil edildiği senaryolar
listelenebilir.
Risk analizleri ve iç denetimler dönemsel olarak gerçekleştirilir. Geçmiş
dönem risk analiz senaryolarından mevcut dönemde geçerli olanları
mevcut döneme aktarılabilir.