Çoğunlukla bilinenin aksine Bilgi Güvenliği Yönetim Sistemi (BGYS) yalnızca bilişim altyapısında saklanan bilgilerin korunmasına yönelik bir standart değil her ortamdaki bilginin korunmasına yönelik bir standarttır. Her organizasyon kendisine özgü bilgilere ve bu bilgilere yönelik tehditlere sahiptir. BGYS bizlere, bilgiye yönelik bu tehditleri yönetmek ve risklerden etkilenmemek ya da en az şekilde etkilenmek için sistematik bir yol haritası oluşturmaktadır.
MAY Siber Teknoloji olarak sizlere sunduğumuz BGYS Danışmanlık Hizmeti, ISO 27000 ailesi ve varsa organizasyona özgü kılavuzlar dikkate alınarak gerçekleştirilir. Uzman kadromuz ve sizlerle birlikte yürüteceğimiz ortak çalışmalarımız sonucunda size özgü bir BGYS kurulmuş, sistemin izlenmesi ve iyileştirilmesi için gerekli yol haritası oluşturulmuş ve belgelendirme denetimine hazır hale getirilmiş olacaktır.
Her organizasyonun müşteri yapısı (BT hizmeti sunduğumuz iç ve dış müşteriler) ve temel olarak çok fazla olmasa da, detayda hizmet sunum şekilleri birbirinden farklılık göstermektedir. Bilgi Teknolojileri Hizmet Yönetim Sistemi (BTHYS) bizlere, organizasyonumuzdaki bilgi teknolojileri süreçlerini analiz etmede ve en iyi uygulamaları gerçekleştirmemizde kılavuzluk eden uluslararası bir standarttır. Bu standart, ITIL (Information Technologies Infrastructure Library) süreçleri ile örtüşmekte ve birbirilerini tamamlayıcı özelliktedir.
MAY Siber Teknoloji olarak sizlere sunduğumuz BTHYS Danışmanlık Hizmeti, ISO 20000 standardını ve ITIL kaynaklarını referans alarak uzman kadromuz tarafından gerçekleştirilir. Sizlerle birlikte yürüteceğimiz analiz çalışmaları sonucunda organizasyondaki BT hizmetlerinin mevcut durumu fotoğraflanır ve sonrasında organizasyona en faydalı olacak şekilde yeni süreçler tasarlanır. Süreçlerin uygulanması, izlenmesi ve sürekli iyileştirilmesi için gerekli yol haritaları oluşturularak, organizasyonunuz denetime hazır hale getirilir.
Her organizasyonda devamlılığı önemli olan ve aksaması halinde organizasyonun çalışmalarını etkileyecek kritik süreçler bulunmaktadır. İSYS’de tıpkı BGYS gibi bilinenin aksine yalnızca BT süreçlerini ilgilendiren bir standart değildir. Bu bağlamda İSYS, organizasyondaki kritik süreçlerin belirlenmesi, bu süreçlerin devamlılığı için gerekli çalışmaların yapılması, devamlılığın sağlanamadığı durumlardaki acil durum eylem planlarının oluşturulması, kabul edilebilir kesinti sürelerinin belirlenmesi vb. konularda bize kılavuzluk etmektedir.
MAY Siber Teknoloji olarak sizlere sunduğumuz İSYS Danışmanlık Hizmeti, ISO 22301 ve ISO 22313 standartlarını referans alarak gerçekleştirilmektedir. Uzman kadromuz ve sizlerle birlikte organizasyonunuz analiz edilmekte ve kritik süreçleriniz tespit edilmektedir. Sonrasında ise standartlara uygun şekilde çalışmalarımız gerçekleştirilmekte ve organizasyonunuz denetime hazır hale getirilmektedir. Diğer yönetim sistemlerinde olduğu gibi işin sürekliliği esas olduğundan sistemin izlenmesi ve sürekli olarak iyileştirilmesi için yol haritaları oluşturulmakta ve gerekli eğitimler sizlere verilmektedir.
Fark analizi, bir uyumluluğu (standart, mevzuat, kanun vb.) sağlamak için organizasyonda eksik olan noktaları belirlemek amacıyla gerçekleştirilen çalışmadır. Bu çalışma gerçekleştirilirken ilgili uyumluluk (ISO 27001, ISO20000, ISO 22301, KVKK, ISO 9001 vb.) referans alınır. Fark analizi çalışması bir uyumluluk için çalışmaya başlayacak organizasyonlarda gerçekleştirilerek eksik olan alanların tespit edilmesine ve buna bağlı olarak doğru noktaya odaklanarak kaynakların doğru ve verimli kullanılmasını sağlamaktadır.
MAY Siber Teknoloji olarak sizlere sunduğumuz Fark Analizi Hizmeti, uyumluluk için gerekli olan referans doküman, kılavuz edinilerek hazırlanmış kontrol listemiz ile gerçekleştirilmektedir. Sunulan hizmetin sonunda organizasyonunuzdaki eksik noktaları ve iyi uygulamalarınızı sizlere sunacak “Fark Analizi Raporu” teslim edilmektedir.
7 Nisan 2016 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 29677 sayılı Resmî Gazete ’de yayımlanarak yürürlüğe girmesi ile birlikte kurum ve kuruluşlar tarafından kişisel verilerin korunması ile ilgili yasal zorunluluk ortaya çıkmıştır. Bu süreçte kişisel veri ve özel nitelikli kişisel verinin ayrıştırılması bu verilerin işleme şartlarının belirlenmesi, kişisel veri işlenmesi için yasal dayanağın belirlenmesi veya açık rızaların alınması, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi, her türlü teknik ve idari tedbirlerin alınması, kişisel verilerin yurt içine veya yurt dışına aktarılması, veri işleyen ve sorumlusu rollerinin belirlenmesi, kişisel verilerin işlenmesinde aydınlatma yükümlülüklerinin yerine getirilmesi, veri sorumlusuna başvuru usul ve esaslarının belirlenmesi, kişisel veri envanterinin KVKK’ya bildirilmesi için veri sorumluları sicilinin oluşturulması gerekir.
MAY Siber Teknoloji olarak sizlere sunduğumuz KVKK Uyum Danışmanlığı yasal şartlar ve kuruluşunuzun süreçleri göz önünde bulundurularak verilmektedir. Sunulan hizmetin sonunda organizasyonunuzda KVKK’ya uyumun sağlanması ve VERBİS sistemine girilecek kişisel veri envanteri teslim edilmiş olacaktır.
Günümüzde ülkeler ve hatta bazı oluşumlar arasında siber savaşlar yaşanmaktadır. Siber savaşlar için harcanan kaynaklar ile sıcak savaşlar için harcanan kaynaklar arasında ciddi farkların olması da insanları bu alana yönlendirmektedir. Ülkelerin ve kuruluşların kritik süreçlerinin veya altyapılarının çoğunun bilişim altyapısı ile yönetildiği düşünüldüğünde de siber olaylara karşı önleyici tedbirler almak kaçınılmaz bir durum haline gelmiştir. Buna bağlı olarak, Siber Güvenlik Kurulu tarafından kabul edilen “Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı’nda kamu kurum ve kuruluşları bünyesinde Siber Olaylara Müdahale Ekipleri (Kurumsal Some - Sektörel Some) oluşturulması öngörülmüştür ve gerekli çalışmalara hızla başlanılmıştır.
MAY Siber Teknoloji olarak sizlere sunduğumuz SOME Hizmeti; SOME Kurulum Rehberini, Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliği, Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi, Yönetilmesi ve Koordinasyonuna İlişkin Kararı ve Tebliği ve güncel olarak yayınlanan ilgili mevzuatı referans alarak sunulmaktadır. Kadromuzun daha önceki tecrübeleri ve uluslararası mecradaki en iyi uygulamaları dikkate alınarak sizin organizasyonunuza en uygun yapı oluşturulmaya çalışılmaktadır. Güvenliğin sağlanması tıpkı bir maraton gibidir. Bu nedenle sürekliliğinin sağlanması, yeni tehditlere karşı tedbirli olunması, altyapının sürekli olarak iyileştirilmesi ve birçok alanda kendi kendine yeten bir organizasyonunuzun olması için gerekli eğitimler planlanmakta veya gerçekleştirilmektedir.
Zafiyet Analizi nedir?
Zafiyet Analizi (Vulnerability Analysis) veya Zafiyet Değerlendirmesi (Vulnerability Assessment), yapı üzerindeki zafiyetlerin derinlemesine analiz çalışması yapılarak tanımlanması, belirlenmesi, ölçülmesi ve önem sırasına göre düzenlenmesidir. Amaç, süreçlerin akışına zarar verebilecek zafiyetlerin saldırganlardan önce tespit edilip giderilmesi veya kabul edilebilir seviyeye indirgenmesidir.
Sızma Testi nedir?
Sızma Testi, yapıya içeriden (internal) ya da dışarıdan (external, web application) gelebilecek saldırılar ve sonucunda ne tür verilere ve/veya sistemlere erişilebileceği konusunda fikir edinilmesini sağlar. Sonuç olarak sistemin ve verilerin ne kadar güvende olduğu sorusu spesifik bir sorudur.
Sızma Testi yöntemleri nelerdir?
Blackbox: Güvenlik araştırmacısına testin gerçekleştirileceği yapı ve/veya sistemle ilgili önceden herhangi bir bilgi verilmez.
Whitebox & Crystalbox: Güvenlik araştırmacısına firma/kurum içindeki tüm yapı ve/veya sistem hakkında bilgi verilir.
Graybox: ‘Whitebox & Crystalbox’ ile ‘Blackbox’ arasında olan bir Sızma Testi yöntemidir. ‘Güvenlik araştırmacısına yapı ve/veya sistemler hakkında ‘detaylı’ bilgi verilmez.
‘Whitebox & Crystalbox’ ve ‘Graybox’ yöntemleri ile firmada/kurumda çalışan/çalışmış (standart kullanıcı veya yetkili kullanıcı) ve firma/kurum ağına erişim (fiziksel veya mantıksal) sağlamış bir saldırganın saldırı yapma olasılığı sonucunda ortaya çıkabilecek sonuçların test edilmesi amaçlanır. Bu noktada, eksik veya yanlış olan bir düşünce bulunmaktadır. ‘Blackbox’ yöntemi, “saldırgan gözüyle sistemlere ‘sızılmaya’ çalışılması” olarak düşünülmektedir fakat bir saldırganın elinde hedef yapı ile ilgili yeterince bilgi olacaktır. Bu nedenle, ‘Whitebox & Crystalbox’ ve ‘Graybox’ daha etkili, daha verimli ve sonuç odaklı yöntemlerdir.
MAY Siber Teknoloji, bu testleri gerçekleştirirken uluslararası standartları göz önünde bulundurarak yukarıdaki adımları takip eder ve ‘standart’ Sızma Testlerinden farklı olarak ‘özelleştirilmiş’ bir yapı kullanılır. Bu ‘özelleştirilmiş’ yapı aşağıda belirtilen parametreleri içermektedir.
MAY Siber Teknoloji, ‘Bilgi Toplama’, ‘Tarama ve Sınıflandırma’, ‘Erişim Elde Etme’, ‘Erişimi Yönetme’ ve ‘İz Gizleme’ adımlarında uluslararası kabul görmüş araçların (Commercial & Open-Source) yanı sıra MAY Siber Teknoloji bünyesinde görev alan güvenlik araştırmacıları tarafından kodlanan araçlar (MAYpen Analysis & Scanning Tools) ve ‘exploit’ler (MAYpen Exploit Research & Development, DB) kullanır (yazılan ‘exploit’ler Güvenlik Araştırmacıları tarafından Sızma Testi öncesinde ve/veya sırasında kodlanabilir. Yazılan her ‘exploit’, öncelikle ‘MAYpen Pentest Lab’ üzerinde denenmektedir.)
MAY Siber Teknoloji, Sızma Testi sonucunda ayrıntılı bir rapor hazırlar. Bu rapor, ‘Teknik Rapor’, ‘Yönetici Raporu’ ve ‘Bulgu Detayı’ gibi ayrı parametreler içerir. ‘Bulunan zafiyetin ayrıntılı açıklaması’, ‘zafiyetin bulgusu (ekran görüntüsü ve/veya çıktı)’ ve ‘zafiyetin çözümü’ başlıklarına ‘tamamen’ özelleştirilmiş cevaplar verilir. Zafiyet önce tespit edildiği hedef sistemin benzerinin oluşturulduğu ‘MAYpen Pentest Lab’ ortamında kapatılır (sıkılaştırma çalışmaları), ardından ‘zafiyetin çözümü’ yönergelerle birlikte ayrıntılı bir şekilde yazılır.
Kuruluş tarafından servis dışı bırakma testinin yapılması istenen hostların ve web uygulamalarının detaylı araştırılması yapılır. Her bir host üzerinden açık olan servislerin ve web uygulamalarının zayıf yönleri dikkate alınarak servis dışı bırakma testi gerçekleştirilir.
MAY Siber Teknoloji Servis dışı bırakma testi tamamlandıktan sonra analiz ve tehdit raporunu risk seviyesine göre sınıflandırarak çözüm önerileri ile beraber detaylı bir şekilde sunar.
Sosyal mühendislik testleri kuruluşun isteğine göre ya kuruluş tarafından bildirilen personeller hedef alınır ya da kuruluş internet sayfası, kuruluş telefon santrali, iş ve sosyal medya siteleri üzerinden elde edilen bilgiler doğrultusunda seçilen kuruluş personeli üzerinde gerçekleştirilir. Seçilen kuruluş personelleri hakkında bilgi toplanır ve bu bilgiler çerçevesinde saldırı hazırlığı gerçekleştirilir.
Sosyal mühendislik testi hedef kuruluş yetkilileri ile mutabık kalınarak oluşturulan senaryo çerçevesinde e-posta, telefon kanallarından oltalama saldırısı gerçekleştirilir. Hedef personellerden oltalamaya düşenlerin tespiti ve tepkisi çerçevesinde kuruluş personellerinin bilgi güvenliği farkındalığının ölçümlenmesi sağlanır.
MAY Siber Teknoloji sosyal mühendislik testi tamamlandıktan sonra analiz ve tehdit raporunu çözüm önerileri ile beraber detaylı bir şekilde sunar.
Kuruluşa ait kablosuz ağlar hakkında bilgi toplanır. Bu aşamada öncelikle WLAN içindeki gizli veya açık SSID'lerin tespiti ve tespit edilen ağlarda kullanılan şifreleme türlerinin belirlenmesi yapılır. Ayrıca misafir girişleri için kullanılan ve bağlanmayı sağlayan web panelleri keşfedilir ve bu web panelleri hakkında bilgi toplanır.
Keşif aşaması sonrası tespit edilen SSID'lerde kullanılan şifreleme türüne göre sızma testinin gerçekleştirilir. WLAN'a kimlik doğrulaması sonucunda hangi iç ağa girildiğinin gözlenmesi ve bu ağdaki erişilen yerlerin güvenlik değerlendirilmesi yapılır. Misafir ağına giriş için kullanılan uygulamaların güvenlik testi, misafir girişlerinin loglamasının denetimi yapılır.
Sızma testleri tamamlandıktan sonra analiz ve tehdit raporunu, risk seviyesine göre sınıflandırarak, çözüm önerileri ile beraber detaylı bir şekilde sunulur.
MAY Siber Teknoloji olarak sunduğumuz danışmanlık hizmetlerindeki en temel amacımız, organizasyonunuzun bizden hizmet aldıktan sonra konuyla ilgili kendi kendine yeten bir organizasyon oluşturmaktır. Sunduğumuz danışmanlık hizmetlerinde uyumluluğun tüm organizasyon tarafından benimsenmesi için, projelerimizde üst yönetime özel eğitimler verilmekte, çalışmalar organizasyon ile birlikte yürütülmekte, organizasyona uygun çözümler sunulmakta ve her bir süreç ile ilgili eğitimler verilerek uyumluluğun bir kurum kültürü haline getirilmesi sağlanmaktadır.
