Güvenliginiz ne kadar guvenli ?

Güvenliğiniz ne kadar güvenli?
30 Haziran 2003, BABÜRce Zafer BABÜR

Artan şiddet olayları güvenlik sistemleri kurmayı zorunlu hale getirdi, artık düşmanı olan olmayan her kesimden kurum, birim, kişi güvenlik sistemlerinde gelecek arıyor. Doğal olarak bunu gören hür teşebbüs de bu konuda üretime, pazarlamaya, satışa başlıyor. Her ürün güvenli midir, ya da nereye kadar güvenilebilir? Yüzde 100 güvenli bir yer olabilir mi? yüzde kaçlık bir güvenlik, güvenli bir yer olabilir? Güvenlik sistemi alacak olanlar bağımsız denetimcilerden, sınama merkezlerinden ürün sınaması hizmeti alarak sistemlerinin nereye kadar nasıl korunduğunu bilebilirler. Ama bu konuda bütçesi olmayanlar? Yurt dışında bu konuda doktora tezleri bile mevcut. Rebecca Mercuri nin genel güvenlik konusunda yaptığı çalışmalardan oluşturduğumuz aşağıdaki listeye bakmanızda yarar var. Kurumunuzun ya da işletmenizin herhangi bir ünitesi ya da tümü için kullanabileceğiniz bu liste ile varlıklarınızın güvenlik açısından yeniden değerlemesini (Security Assestment Report) yapabilirsiniz.
1. Güvenlik mekanizması ile korunmak istenen varlıkların envanteri nedir? 2. Bu envanter ögelerine yönelik tehdit unsurları nelerdir? 3. Tehdit unsurlarına karşı kullanılması düşünülen önlemler. 4. Güvenlik mekanizması ne dereceye kadar öngörülen sistemi koruyabilecektir? 5. Sistem tasarlanırken herhangi bir tahmini değer ya da varsayım kullanılmış mıdır? Kullanılmışsa nedir? 6. Güvenliği sağlamaya yönelik ne gibi tedbirler(policy) /kurallar(rule) öngörülmüştür? 7. Güvenlik işlevleri ve bunlara sağlamaya yönelik ölçüler nedir, ne dereceye kadar kapsanmaktadır? 8. Güvenlik gereksinimleri sunumu anahtar yöneticilere yapılmış mıdır? Sistemin güvenlik hedefleri ile uyumlu mudur? Yeteri kadar açıklayıcı mıdır? Herhangi bir güvenlik hedefi yeteri kadar detaylı değilse nedeni nedir? 9. Tümleşik bir koruma söz konusu ise, zincirin bütün halkalarını kapsamaktadır mı? 10. Güvenlik sistemi geliştirilmesi için usul (procedur) mevcut mudur? Bunlar yazılı ve yaptırımı olan işler midir? 11. Kaynakların ayrımı, öncelikli hizmetler ve hata payları tedbir ve usul yönetmeliği var mıdır? 12. Veri (data) gereksinimleri nedir, nasıl uygulanmaktadır? 13. Veri saklama tedbir ve usulleri nedir? 14. İletişim kanalları tanımlı ve güvenli midir? 15. Gizlilik kavramı tanımlı mıdır, nasıl uygulanmaktadır?16. Kullanıcıların iş tanımları mevcut mudur? Nasıl takip edilmektedir? 17. Tanıma-Doğrulama (Authenticate), Onaylama(Authorization) ve Erişim (Access) kontrol mekanizması var mıdır? Nasıl uygulanmaktadır? 18. Yönetsel yetki ve sorumluluklar tanımlı mıdır? 19. Yetki ve sorumluluklarda farklı birimlerle örtüşme, kendi içinde çelişme sözkonusu mudur? 20. Tüm yönetsel ve kullanıcı yardım dokümanları mevcut, güncel, erişilebilir, ve kullanılabilir halde midir? 21. Startup, Shutdown, Recovery, Rollback gibi işlevlerin neden, ne zaman ve nasıl ve kimin tarafından yapılacağına dair yönetmelikler mevcut mudur? 22. Sistem işlevsel olacağı yere nasıl getirilecek, kurulacak ve çalışır hale getirilecektir? Kimlerin sorumluluğunda ve yetkisinde yapılacaktır. 23. Kurulacak sistmin doğru çalışır olduğunun testi nasıl, ne zaman ve kimin tarafında yapılacaktır? 24. Kabul ve uyumluluk testleri ne zaman, nasıl ve kimin tarafından yapılacaktır? 25. Fiziksel yer gereksinimi ve bu yerin korunma gereksinimleri nedir? Bu konuda kimlere nasıl yetki verilmiştir?