Kişisel Verilerin Korunması Kanunu m.12/1'e göre veri sorumluları; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin hukuka uygun olarak muhafazasını sağlamak amacıyla gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Bu tedbirler Kurum'un yayınladığı Kişisel Veri Güvenliği Rehberi içerisinde detaylandırılmakta ve VERBİS'e bildirim aşamasında belirtilmektedir.
Öncelikle Kişisel Veri Güvenliği Rehberi'ndeki Teknik Tedbirler tablosunda yer alan Sızma Testi'nin ne anlama geldiği öğrenilmeli, sızma testinin organizasyonlara ne tür faydalar sağlayacağının farkında olunmalıdır.
Sızma testi, kullanılan bilişim sistemlerindeki mantık hataları ve zafiyetleri tespit ederek, söz konusu güvenlik açıklıklarının kötü niyetli kişiler tarafından istismar edilmesini önlemek ve sistemleri daha güvenli hale getirmek maksadıyla, "yetkili" kişiler tarafından ve "yasal" olarak gerçekleştirilen güvenlik testleridir.
Sızma testleri ile bilişim ağlarında yasal olmayan bir yolla sızma veya olmaması gereken bir hareket olup olmadığı belirlenir ve ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre değerlendirmeler yapılarak ilgili açıkların giderilmesi sağlanır.
Açıklık testinde asıl amaç taranan sistemin anlık olarak genel güvenlik görüntüsünü almaktır. Muhtemel tüm güvenlik tehditlerine karşı organizasyonu uyaran bu tarama sonucunda çıkan tüm bulgular ciddi bir tehdidi göstermeyebilir. Organizasyonlar için önemli olan, tespit edilen bu bulgulardan hangilerinin sistem için gerçek bir tehdit oluşturduğuna karar vermektir. Sızma testi yaptırmak ne kadar önemliyse, sonuçların değerlendirilip aksiyon alınması da bir o kadar önemlidir. Organizasyonlar tarafından yaygın olarak yapılan hata sadece Sızma Testi yapıp/yaptırıp sonuç raporunu incelemek ve sadece çok acil açıkları kapatmaktır.
Sızma testi; organizasyonun güvenlik politikalarının ve kontrollerinin verimliliğinin test edilmesi ve denetlenmesi, açıklık taramasının içten ve dıştan derinlemesine uygulanması, bilinen zafiyetlere uygun yamaların uygulanmasının sistematik bir hale getirilmesi, organizasyonun ağ ve sistemlerinde mevcut olan risk ve tehditlerin ortaya çıkarılması, güvenlik duvarı, yönlendirici ve web sunucuları gibi ağ güvenlik cihazlarının verimliliğinin değerlendirilmesi, gelecek saldırı, sızma ve istismar girişimlerinin önlenmesi için alınabilecek aksiyonların belirlenerek kapsamlı bir plan sunulması, mevcut yazılım-donanım veya ağ altyapısının bir değişiklik veya sürüm yükseltmeye ihtiyacı olup olmadığının belirlenmesi konularında organizasyona büyük katkı sağlayacaktır.
Gerçekleştirilen çalışmanın sağlayacağı katkının yüksek seviyede olması için yönetimin desteği alınmalı, her bir açıklık için risk değerlendirmesi yapılmalı, açıkların kapatılma işlemleri takip edilmelidir.
Organizasyonların bilişim sistemlerindeki güvenlik zafiyetlerinin üçüncü bir göz tarafından kontrol edilmesi ve raporlanması proaktif güvenliğin ilk adımlarındandır. Güvenliğe ne kadar dikkat edilirse edilsin saldırganların, sistemi istismar etmek için kullanacağı tekniklerin sınırı yoktur.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
