Kurumsal Güvenlik Mimarisi & Framework İncelemeleri
Küreselleşmenin etkisiyle sosyal, kültürel ve ekonomik sınırlar ortadan kalkmıştır. Bununla birlikte, bilgi paylaşımının ve ticaretin önündeki engeller iyice azalmıştır. Bu sürecin en önemli aktörü internettir. İnternet aracılığıyla bilgiye ulaşma yeni bir boyuta taşınmıştır. Bunun sonucunda ise bilgiye dayalı ekonomiye geçilmiştir. Geçmişte, en dayanıklı olan hayatta kalır düşüncesi yerini; belirsizlik ve hızlı değişim karşısında bilgiyi işleme kabiliyetleri gelişmiş, aynı zamanda eski ve yeni bilgiyi elde tutabilme yeteneğine sahip aktörlere bırakmıştır. Bu durumların doğal bir sonucu olarak bilgiye erişim kolaylaşırken, paylaşılan bilgide kontrolsüz ve aşırı bir artış meydana gelmiştir. Bu noktada ekonomide başarıya ulaşmak isteyen işletmeler, günümüzün petrolü olarak görülen veriyi sadece işleyip bilgiye dönüştürmekle yetinmeyip, bilgiden bilgeliğe giden yolda aşırı bilgi artışına karşı gerekli güvenlik tedbirlerini almalıdır.
Yukarıda değindiğimiz bilgi artışının boyutuyla ilgili 2022 siber güvenlik istatistiklerine bakalım:
1- 493 milyon fidye yazılımı saldırısı tespit edilmiştir.
2- Oltalama, günde yaklaşık 3.4 milyar spam e-posta ile en yaygın siber saldırı olmaya devam etmiştir.
3- Küresel çapta veri ihlali maliyeti ortalaması 4.35 milyon dolar olmuştur.
4- Sağlık sektörü, 10.10 milyon dolara ulaşan ortalama veri ihlali maliyetiyle, üst üste 12 yıldır ihlaller açısından en maliyetli sektör olmuştur.
(https://www.techopedia.com/cybersecurity-statistics)
Bütün bu bilgiler doğrultusunda, Kurumsal Güvenlik Mimarisi kavramını inceleyelim:
Kurumsal Güvenlik Mimarisi; iş süreçleri ve risk analizlerinin, belirlenen Bilgi Güvenliği politikasına göre kurgulanmasıdır. Organizasyonlar tarafından ihtiyaç duyulan bilgi güvencesi, Kurumsal Güvenlik Mimarisi aracılığıyla sağlanmaktadır.
Teknolojik gelişmelere bağlı olarak hizmet sunumlarında yaşanan veri artışı, siber saldırılara ve kritik sistemleri muhafaza edebilecek bir disipline duyulan ihtiyacı öne çıkarmaktadır. Sürdürülebilir bir Kurumsal Mimari yapısı içinde güvenlik mimarisinin tanımlanmış olması önem arz etmektedir. Kurumsal Mimari katmanlarının (iş, uygulama, veri, teknoloji) başarı faktörleri, güvenlik mimarisinin işleyişine ve entegrasyonuna bağlıdır.
Kurumsal Güvenlik Mimarisi ile ilgili birçok global framework bulunmaktadır.
Zachman, TOGAF, SABSA, vb. çerçeveler örnek olarak gösterilebilir.
Zachman: 1987 yılında John Zachman tarafından geliştirilmiştir. 5N1K yöntemiyle; BT sistemleriyle ilgili veri analizi, problemlerin çözümü ve gelecek için planlamaların yapılması, Kurumsal Mimari yönetimi ve analitik modeller oluşturmayı amaçlamaktadır. 2011 yılında 3. versiyonu yayınlanmıştır.
TOGAF: 1995 yılında The Open Group tarafından geliştirilmiştir. İş hedeflerini tanımlamaya ve yazılım geliştirme yaşam döngüsündeki mimari hedeflerle uyumlu hale getirmeye yardımcı olan bir Kurumsal Mimari çerçevesidir. 2022 yılında 10. versiyonu yayınlanmıştır. Güvenlik Mimarisi, TOGAF içerisindeki ‘Architecture Governance Iteration’ adımında işlenmektedir.
SABSA: 1995 yılında John Sherwood ve ekibi tarafından geliştirilmiştir. Sherwood Applied Business Security Architecture; Bilgi Güvenliği alanında kullanılan bir yöntem ve çerçevedir. SABSA, Bilgi Güvenliği süreçlerini, iş stratejisi ve Kurumsal Mimari ile entegre etmeyi amaçlayan kapsamlı bir güvenlik metodolojisidir. TOGAF ile entegrasyonuyla ilgili son kılavuz 2016 yılında yayınlanmıştır.
Etkili bir Kurumsal Güvenlik Mimarisi oluşturmak için BT paydaşları tarafından aşağıdaki çalışmalar yapılabilir:
1- Bilgi Güvenliği Politikası: Yönetim Kurulu tarafından onaylanarak oluşturulmalıdır.
2- Network Topolojisi: Network cihazlarının yer aldığı, güvenlik katmanlarına ayrılmış network topolojisinin hazırlanması ve periyodik olarak güncellenmesi gerekmektedir.
3- Firewall: Güvenli ağ trafiğine izin verilmesi ve tehditlerin dışarıda bırakılması için donanımsal ve yazılımsal güvenlik duvarlarının konumlandırılması gerekmektedir.
4- Load Balancer: Kullanılan sistemlerin ölçeklendirilmesi ve yüksek erişilebilirliğin sağlanması için yük dengeleyicilerin kullanılması gerekmektedir.
5- WAF: Web uygulamalarından gelen ve giden paketlerin izlenmesi, filtrelenmesi ve engellenmesine yönelik güvenlik aracı konumlandırılmalıdır.
6- SIEM: Firewall, DHCP, Active Directory, Client, Server, SDLC Platformları vb. kritik sistemlerle ilgili logların tek bir merkezden yönetilmesi sağlanmalıdır. Alınan loglardan anlamlı sonuçlar üretebilmek için korelasyon ve taxonomy çalışmaları yapılmalıdır.
7- DLP: Olası veri sızıntılarını önlemek için ürün/sistem içerisinde gerekli kurallar yazılmalı ve buna bağlı olarak veri sınıflandırma kriterleri belirlenmelidir.
8- End Point & Mail Security: Uç nokta cihazları ve mailler üzerinde gerçekleşen çeşitli güvenlik olayları ve zararlı yazılım analizlerinin takibi için gerekli ürünler konumlandırılmalı, kurallar yazılmalı ve alarm mekanizmaları geliştirilmelidir.
9- Password Manager: Sistemler ve uygulamalarla ilgili kritik şifreler konsolide edilerek özel şifreleme yöntemleri kullanılan ürünlerde muhafaza edilmelidir.
10- File Encryption: Yönetim Kurulu ve IK tarafındaki kritik doküman paylaşımlarının güvenli bir şekilde yapılması sağlanmalıdır.
11- PAM: Kullanıcı hesaplarının tek bir merkezden yönetilmesi sağlanmalıdır. Dizin yönetimi içinde güvenlik grupları oluşturularak her bir kullanıcıya ayrı ayrı yetkilendirme vermek yerine, iş ihtiyaçlarına göre toplu bir şekilde gruplara yetkiler verilebilir.
12- CMDB: Kullanılan donanımlar, yazılımlar ve bunlar arasındaki ilişkilerle ilgili bilgileri içeren bir konfigürasyon yönetimi veri tabanıdır. Altyapının net bir görünümünü sunması açısından kritik öneme sahiptir.
13- SAM: Kullanılan yazılım varlıkları üzerinde gerekli kontrollerin oluşturulması gerekmektedir. Böylece, olası uyumsuzluklar sebebiyle yaşanabilecek lisans ihlal maliyetlerine karşı önlem alınmış olacaktır.
14- Application Whitelist: Kurum bünyesinde kullanımına izin verilecek uygulamaların listesi belirlenmelidir. Bu liste dışında kalan uygulamaların kullanımı engellenmelidir.
15- Business Architecture: İç ve dış müşterilere sunulan hizmetlerin iş süreçlerine uyumlu olarak ortaya çıkarılması, ilişkili fonksiyonların netleştirilmesi ve bunun sonucunda katalog haline getirilmesi gerekmektedir. Her bir hizmet için OLA & SLA seviyeleri belirlenmelidir.
16- Application Architecture: Kullanılan mevcut ve yeni kurulumu yapılacak olan uygulamalarla ilgili envanter dinamik olarak tutulmalıdır. Uygulama topolojileri, belirlenen standartlara göre hazırlanmalıdır. Bu sayede, uygulamalarla ilgili mimari değişiklik talepleri, çevik bir şekilde karşılanacaktır.
17- Data Architecture: Yapısal ve yapısal olmayan verileri kapsayacak şekilde kuruma özgü bir veri sözlüğü oluşturulmalıdır.
18- Technology Architecture: Kullanılan mevcut teknolojiler incelenerek kabiliyet ve yol haritaları oluşturulmalıdır. Belirlenen teknoloji göçleri için gerekli dönüşüm planları hazırlanmalıdır. Yeni teknolojik altyapı seçiminde veya var olan altyapılar için iyileştirmeler ve bakımlar gibi konularda referans alınacak standartlar belirlenmelidir.
Örnek Kurumsal Güvenlik Mimarisi
Keyifli okumalar dilerim.
