HER YIL SIZMA TESTİ YAPTIRMAK 
ZORUNDA MISINIZ?

Sıklıkla karşılaştığımız bir sorunun yanıtı konusunda yardımcı olmak istiyoruz: “Her yıl sızma testi yaptırmak zorunda mıyız?
 

Öncelikle şuradan başlayalım;
– Geçtiğimiz 12 ayda, dünya genelinde şirketlerin %51’inin siber saldırılara maruz kaldığı ve saldırıların %73’ünün başarıya ulaşarak şirket sistemlerine belli bir oranda zarar verdiği tespit edilmiş.
– Ülkemizde ise siber saldırıya uğrama oranı şirketler genelinde %63 seviyesine kadar çıkmakta. (Kaynak: KVKK Rehberi)

Aslında sadece yukarıda yazılı olan 2 istatistik bize sorulan sorunun yanıtının “Evet” olması gerektiğini gösterir nitelikte. Ancak daha resmi bir yanıt için 6698 sayılı Kişisel Verilerin Korunması Kanunu ne diyor bir bakalım:

“6698 sayılı KVKK (Kişisel Verilerin Korunması Kanunu) kapsamında herhangi bir bilişim altyapısı içeren sistemlerin uyumluluğunun, güvenilirliğinin ve sistem içerisindeki uygulamaların bütünlüğünün korunması gerekmektedir. Bu nedenle alanında uzman kişiler tarafından sistem içerisindeki zafiyetlerin veyahut veri sızıntılarının tespiti için sızma (penetrasyon) testleri yapılmalıdır.”

Yıllardır bu bültenleri iletmeye devam ettiğimiz yaklaşık 11bin profesyonelin sızma testlerinin önemi konusunda uyarıya ihtiyacı olmadığını ve konunun öneminin farkında olduklarını elbette biliyoruz. Sızma testi alımları konusunda nihai kararı veren yönetim ekibi için ise maalesef her zaman aynı şeyi söylemek mümkün değil. Sızma testlerinin gerekli bir masraf kalemi olup olmadığı konusunda şüpheleri olabiliyor ve karar için ikna edilmeleri gerekebiliyor.

Burada iki kaynaktan destek alabiliriz:

1. KVKK Kapsamında alınacak İdari ve Teknik Tedbirler MADDE 2.2.2 Kişisel Veri Güvenliğinin Takibi

İlgili sistem altyapısında tespit edilemeyen bir saldırı sonucunda sistem içerisine kötü amaçlı yazılımlar, arka kapılar (backdoor), vs. ile enfekte olmuş olabilir. Böyle bir durumda en büyük sorun bu sızıntının farkına varamamaktır. Düzenli olarak ağ üzerinde hangi servislerin ve yazılımların çalıştığının kontrolü, ağ üzerinde olmaması gereken bir durumun varlığının araştırılması, sistem yetkisi olanların sistem üzerinde hareketlerinin kayıt olarak tutulmasının yanı sıra tüm kullanıcıların işlem hareketlerinin tutulması ve herhangi bir güvenlik yazılımının bildirimlerinin kontrol edilmesi gerekmektedir. Bu aşamada sızma testlerinin faydası büyük önem taşımaktadır. Herhangi bir izinsiz erişim ve ihlal durumunda bu deliller raporlanmalı ve güvenli bir şekilde saklanmalıdır.

Sızma testlerinin;

  • Herhangi bir saldırıya karşı sistemdeki zafiyetleri belirleyerek ve müdahale ederek önceden önlem alınması,

  • Ulusal güvenlik noktasında hassas verilerin korunması,

  • Sistemin sürekli güncel tutulması ve bu sayede eski saldırı metodolojilerinin etkisizleştirilmesi,

  • Bir saldırı durumunda (kurum, şirket, vs.) risk yönetimi ve yapılması gereken müdahaleler ile ilgili tedbirlerin alınabilmesi gibi konularda büyük önem taşıdığı görülmektedir.

2. TC Cumhurbaşkanlığı Dijital Dönüşüm Ofisi – Bilgi ve İletişim Güvenliği Rehberi Kapsamında SIZMA TESLERİ

https://cbddo.gov.tr/SharedFolderServer/Genel/File/bg_rehber.pdf bağlantısı ile erişilebilen ve Türkiye Cumhuriyeti Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından hazırlanmış olan Bilgi ve İletişim Güvenliği Rehberi kapsamında detaylı olarak ele alınan Ağ ve Sistem Güvenliği, Uygulama ve Veri Güvenliği, Kişisel Verilerin Güvenliği, Bulut Bilişim Güvenliği başlıkları altında yer verilmiş olan tedbirler direkt olarak Sızma Testi hizmetini ilgilendirmektedir.

Madde 3.1.11’de Sızma Testlerinin nasıl yapılması gerektiği hakkında detaylı bilgilere yer verilmiş ve düzenli aralıklar ile harici ve dahili sızma testlerinin gerçekleştirilmesi gerektiği söylenmiştir.

Madde 3.1.11.8 ise aşağıda görülebileceği gibi yılda en az 1 defa Sızma Testi yapılması gerektiğini belirtir:

Pandemi ve ekonomik koşullar nedeniyle güvenliğe bu yıl bütçe ayıramayan, sızma testini henüz yaptırmamış kuruluşlar için 15 Aralık 2021 tarihine kadar bir destek kampanyamız bulunuyor.

Konu hakkında detaylı olarak görüşmek isterseniz bize 0 531 305 38 02 numaralı telefon ya da sparta@sparta.com.tr mail adresimizden ulaşabilirsiniz.

Başa dön