Yazılar

Sızma Testi Yaptırmadan Önce Hazırlıklar

Bir kurumun sızma testi yaptırmasındaki amaç gerçek bir saldırıya maruz kalmadan önce simülasyon yoluyla kurumun kendi kendine bir saldırı düzenlemesi ve açıkları gerçek saldırganlardan önce tespit ederek kapatmasıdır.

Kontrollü bir saldırı olarak da nitelendirebileceğimiz bu çalışmanın kurum için hem teknik hem de psikolojik hazırlık boyutları vardır.

Teknik tarafa baktığımızda hazırlıkların en önemlisi, testler gerçekleştirilirken kurumun iş süreçlerinin kesinti ve kayba uğramaması adına testi gerçekleştirecek tarafın yapacağı yönlendirmelerdir. Kısaca veri kaybı ve kesinti yaşanmamasıdır. Örnekle bir havayolu şirketinin web sitesine testler gerçekleştirilirken web sitesinin bir süreliğine kesinti yaşaması şirketi zarara uğratacaktır. Bunun olmaması için de teknik hazırlıkların kurum tarafın yapılmış olması gerekir. Bu noktada da testleri gerçekleştiren kişi veya firmanın ne derece profesyonel çalıştığı belirleyici bir unsur olacaktır.

Gelelim muhtemelen ilk kez duymuş olacağınız psikolojik hazırlık kısmına. Bu aşamada en önemli belirleyici etken kurumun testleri ne amaçla yaptırdığı ile başlar. Kurumlar bu testleri kendi güvenlik seviyelerini kendi inisiyatifleriyle iyileştirmek için yaptırabileceği gibi bir regülasyona uyum sağlamak adına da yaptırabilirler. Regülatör tarafından zorunlu kılınarak yaptırılan testlerde, kurumun ve çalışanların bakış açısı çalışmanın bir denetim gibi algılanmasına yol açar. Bu nedenle de tespit edilen açıkların yani bulguların regülasyona bir uyumsuzluk olabileceği düşüncesiyle çalışmadaki iş birliği psikolojisi yerini denetlenen psikolojisine bırakır. Bu durumda da çalışmada açık tespit edilmemesini istemek gibi yanlış bir yorumlama ortaya çıkar.

En başta da değindiğim üzere aslında testler var olan açıkları saldırganlardan önce tespit etme çalışmasıdır. Kurumun güvenlik postürünü iyileştirmesi ancak bu çalışma sonrasında çıkan açıklara yani bulgulara aksiyon alınarak gerçekleştirilebilir. Eğer ki kurum çalışma sırasında iş birliği içinde olmazsa bu açıkları tespit etmek mümkün olmayacaktır. Regülatörlerin de amacı bu açıkların düzenli olarak tespit edildiğinden emin olunmasıdır. Yani regülatör açıkların kendisiyle değil, bu açıkların tespit edilerek yönetilip yönetilmediği ile ilgilenmektedir. Yani uyumsuzluk, tespit edilen açıklar değil, yapılan çalışmanın amacına uygun şekilde yapılıp yapılmadığıdır.

Psikolojik boyuta baktığımızda diğer husus da ister regülasyon motivasyonu ister kurum inisiyatifiyle olsun, gerçekleştirilen testlerde sistem, ağ, veritabanı, yazılım gibi IT çalışanları tarafından hissedilen denetlenme psikolojisidir. Bu noktada testler iç denetim tarafından yaptırılıyor olsa dahi unutulmaması gereken şey testin bir denetim çalışması olmadığıdır. Biz siber güvenlik uzmanlarıyla IT uzmanları aynı işi yapıyor gibi görünebiliriz ancak güvenlik uzmanlığı başlı başına kendine has terimleri, jargonu ve doğası olan ayrı bir iştir. Ayrı bir uzmanlıktır. Nasıl ki ağ uzmanından yazılım geliştirmesi beklenmiyorsa bir sistem uzmanından veya ağ uzmanından da güvenlik işi yapmasını beklememek gerekmektedir.

Güvenlik uzmanlarının da görevlerinden biri bu testleri yaparak veya yaptırarak açıkları tespit etmek ve IT uzmanlarına yol göstererek beraber çalışmaktır. Bu nedenle bünyesinde güvenlik uzmanı veya departmanı bulunan kurumlar bile bu açıkların tespit edilmesi için azami ölçüde iş birliği göstermelidirler. Elbette ki psikolojinin de denetim psikolojisine evirileceği bir nokta vardır. Bu nokta da sızma testi çalışmalarının öncesi değil, sonrasında çıkan aksiyon planının takibi sürecidir. Kısaca açıkların kapatılmasının ilgili sorumlular tarafından takip edilip edilmediğinin tespit edildiği çalışmadır. Bu çalışmada sızma testini gerçekleştiren tarafın değil, iç denetim ve bağımsız denetçi gibi adından da anlaşılacağı üzere denetçi olan tarafın işidir.

Bir cevap yazın :

* Your email address will not be published.