OzzTech - Siber Güvenlik Değerlendirmesi Nedir?

Siber Güvenlik Değerlendirmesi Nedir?

Siber Güvenlik Değerlendirmesi Nedir?

Siber tehdit ortamı sürekli olarak gelişmektedir, bu nedenle rutin siber güvenlik değerlendirmesi bütünsel bir risk yönetimi programının çok önemli bir bileşenidir. Kuruluşunuz, üçüncü ve dördüncü taraf satıcılar da dahil olmak üzere tüm ekosisteminin siber hijyenine her zaman dikkat etmelidir. Bir siber güvenlik risk değerlendirmesi, güvenlik duruşunuzu etkileyen siber riskleri belirleyerek bunu yapmanıza olanak tanır ve denetimleri uygulamak ve ağı korumak için fonların en iyi nasıl tahsis edileceğine dair daha bilinçli karar alınmasına yol açar.

En popüler siber güvenlik değerlendirme çerçevelerinden bazılarına ve kuruluşunuzun etkili bir değerlendirme yapmak için atabileceği adımlara bir göz atalım.

Siber güvenlik değerlendirmesi nedir?

Bir siber güvenlik değerlendirmesi, kuruluşunuzun siber güvenlik kontrollerini ve bunların güvenlik açıklarını giderme yeteneklerini analiz eder. Bu risk değerlendirmeleri, bir siber güvenlik denetiminde yaptığınız gibi bir kontrol listesi şeklinde değil, kuruluşunuzun iş hedefleri bağlamında yapılmalıdır. Bu, güvenlik ekiplerinin bunları azaltmak için güvenlik kontrollerini uygulamaya başlayabilmesi için ağınızın zayıf yönlerine ilişkin üst düzey bir analiz elde etmenize olanak tanır.

Neden bir siber güvenlik değerlendirmesi yapmalısınız?

Kapsamlı bir siber güvenlik değerlendirmesi, kuruluşunuzun bir dizi tehdide karşı savunmaya uygun şekilde hazırlanıp hazırlanmadığını belirlemek için kritik öneme sahiptir. Bir değerlendirmenin amacı, güvenlik açıklarını belirlemek ve güvenlik açıklarını en aza indirmektir. Ayrıca, kilit paydaşları ve yönetim kurulu üyelerini kuruluşun siber güvenlik durumu hakkında bilgilendirmeyi ve güvenlik stratejilerinin günlük operasyonlara nasıl uygulanabileceği konusunda daha bilinçli kararlar almayı mümkün kılmayı amaçlar.

Bu yüzden biz OZZTECH Bilgi Güvenliği ve Yazılım Limited Şirketi 2019 yılından bu yana sistem, network ve siber güvenlik danışmanlığı alanında faaliyet göstermekteyiz. Ülkemizdeki bilgi güvenliği, sunucu sanallaştırma sistemleri ve network altyapısı alanlarına profesyonel yaklaşımıyla destek olmak amacı ile kurulan OZZTECH Bilgi Güvenliği ve Yazılım Limited Şirketi, stratejik sistem altyapısı, network altyapısı, siber güvenlik danışmanlığı ve güvenlik eğitimleri konularında kurumlara hizmet vermektedir.

Siber güvenlik risk değerlendirme çerçevelerinin farklı türleri nelerdir?

Sektörünüze veya bölgenize bağlı olarak çok çeşitli siber güvenlik çerçeveleri mevcuttur. Daha geniş çerçevelerden ikisi, NIST Siber Güvenlik Çerçevesini ve ISO 27000 standartlarını içerir.

NIST Siber Güvenlik Çerçevesi

NIST Siber Güvenlik Çerçevesi, devlet kurumları ve özel sektör ile işbirliği içinde geliştirildi ve en yaygın olarak ABD'deki şirketler tarafından kullanılıyor NIST çerçevesi, aşağıdakiler dahil siber güvenliğin temel bileşenlerini ele almak için tasarlanmıştır: tanımlama, tespit, koruma, müdahale ve kurtarma . Başlangıçta kritik altyapıyla uğraşan kuruluşlara yardımcı olmayı amaçlasa da, kurumsal düzeydeki birçok şirket, kapsamlı yönergeleri kendi siber güvenlik çabalarında da kullanır ve uygular.

ISO 27000

Uluslararası kuruluşlar arasında popüler olan bir çerçeve, giderek büyüyen Bilgi Güvenliği Yönetim Sistemleri standartları ailesinin bir parçası olan ISO 27000'dir. Bu çerçeve The International Organizations for Standards tarafından geliştirilmiştir ve yalnızca bir şirketin dahili bilgilerini değil, aynı zamanda üçüncü taraf satıcıların bilgilerini de kapsar. Canlı bir belge olarak, yeni bilgi gereksinimlerine ayak uydurmak için sürekli olarak gelişir ve sürekli rehberlik sağlar.

Daha özel siber güvenlik çerçevelerinin örnekleri şunları içerir:

  • GDPR - Genel Veri Koruma Yönetmeliği, Avrupa Birliği'nde yaşayan kullanıcılardan hassas verilerin toplanması ve işlenmesi için yönergeler belirleyen bir AB yasasıdır.
  • HIPAA - Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası, sağlık hizmeti sağlayıcıları, sağlık planları ve takas odaları arasında sağlık hizmeti bilgilerinin aktarılması için tek tip standartlar tanımlayan bir dizi kuraldır.
  • PCI-DSS - Ödeme Kartı Endüstrisi Veri Güvenliği Standardı, kredi kartı bilgilerini kabul eden, işleyen, saklayan veya ileten tüm şirketlerin güvenli bir ağ ortamı sürdürmesini sağlamak için tasarlanmıştır.
  • CMMC - Siber Güvenlik Olgunluk Modeli Sertifikasyonu, ABD Savunma Bakanlığı tarafından geliştirilmiştir ve gerekli siber olgunluk düzeyini belgelemek için savunma yüklenicilerinin bir siber güvenlik değerlendirmesinden geçmesini gerektirir.
  • FERPA - Aile Eğitim Hakları ve Mahremiyeti Yasası, öğrenci eğitim kayıtlarının gizliliğini koruyan bir Federal yasadır.

Siber güvenlik değerlendirmesini nasıl yapıyorsunuz?

Etkili bir siber güvenlik değerlendirmesi, sektörleri veya coğrafi konumlarına özgü düzenleyici gereksinimler göz önüne alındığında bir kuruluştan diğerine farklılık gösterebilir, ancak temel aynı kalır. Siber güvenlik değerlendirmesi yaparken bu temel yönergeleri izleyin.

1. Değerlendirmenin kapsamını değerlendirin

Siber güvenlik değerlendirmesinin tam kapsamını belirlemek için değerlendirilecek tüm varlıkları belirleyin. Kapsamınızı bir kerede tümü yerine tek bir varlık türüyle sınırlayarak başlamak faydalı olabilir. Bir varlık türü seçtikten sonra, dokunduğu diğer varlıkları, cihazları veya bilgileri belirleyin. Bu, tüm ağınıza kapsamlı bir şekilde bakmanızı sağlayacaktır.

2. Her varlığın değerini belirleyin

Hangi varlıkların değerlendirmeye dahil edileceğini belirledikten sonra, her bir varlığın değerini belirlemelisiniz. Bir varlığın gerçek değerinin maliyetinin ötesine geçebileceğini düşünmek önemlidir. Değerlendirme süreci sırasında ekibinizin maddi olmayan faktörleri ve her bir varlıkla ilişkili niteliksel riskleri dikkate alması gerekir.

3. Siber güvenlik risklerini belirleyin

Siber güvenlik değerlendirmesindeki bir sonraki adım, gelecekteki kararlar için çeşitli kayıp senaryolarının olasılığını hesaplayabilmeniz için siber güvenlik risklerini belirlemektir. Varlığın istismar edilebileceği durumları, istismar olasılığını ve bu istismarın kuruluşunuz üzerindeki toplam etkisini düşünün. Bu, kuruluşunuzun sektörünüzün gerektirdiği tüm siber güvenlik uyumluluk gereksinimlerini başarıyla karşıladığından emin olmak için kritik bir adımdır.

4. Varlığın değerini önleme maliyetiyle karşılaştırın

Bir varlığın değeri belirlendikten sonra, onu koruma maliyetiyle karşılaştırmalısınız. Bu tür olayları önlemenin maliyetinin varlığın değerinden daha fazla olup olmadığını belirlemek için çeşitli kayıp senaryoları belirleyin, o zaman daha mali açıdan daha anlamlı olan alternatif bir kontrol veya önleme yöntemini düşünmeye değer.

5. Güvenlik kontrollerini oluşturun ve sürekli olarak izleyin

Kuruluşunuz ağındaki kritik varlıkları ve güvenlik açıklarını belirleyip analiz ettikten sonraki adım, siber güvenliğini sürekli olarak izleyebilecek güvenlik önlemleri uygulamaktır. Bu, uygulanan kontrollerin kurumsal gereksinimleri karşılamasını ve önemli bilgileri sürekli olarak korumasını sağlayacaktır.


İlginizi Çekebilecek Makaleler
FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

Trellix Adıyla 2 Dev şirket McAfee ve FireEye
Siber Güvenlik

Trellix Adıyla 2 Dev şirket McAfee ve FireEye

Ocak 20, 2022 10:56

Yeni birleştirilen güvenlik ekipleri McAfee ve FireEye yeni bir isim açıkladı: “Trellix”. Başka bir...

Zoho Kritik Kusur İçin Yama Yayınladı
Siber Güvenlik

Zoho Kritik Kusur İçin Yama Yayınladı

Ocak 20, 2022 10:56

Kurumsal yazılım üreticisi Zoho, Pazartesi günü Desktop Central ve Desktop Central MSP’de, tehdit aktörlerinin...

FortiWeb Kurulumu
Network

FortiWeb Kurulumu

Ocak 19, 2022 12:38

Bu yazı ile başlayarak sizlere FortiWeb kurulumu yaparken nelere dikkat etmeniz gerektiğini ve nasıl...

FortiWeb Nedir?
Siber Güvenlik

FortiWeb Nedir?

Ocak 19, 2022 9:42

FortiWeb, Fortinet’in web uygulamaları için oluşturduğu bir web firewall’udur (WAF). Fortiweb iş açısından son...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.