Bilgi Teknolojileri Denetim, Güvenlik ve Danışmanlık Hizmetleri Bölüm Lideri Ateş Sünbül

Siber Güvenlik önemli bir kaygı haline geldi
Günümüzde teknolojik ilerlemelerin hiç olmadığı kadar hızlanmasıyla birlikte birey olarak bizler de interneti ve mobil cihazlarımızı kullarak devlet ödemelerimizi, market alışverişlerimizi ve benzeri pek çok hizmeti interneti kullanarak almaya başladık. Şirketlerin de daha çok müşteriye ulaşma stratejisiyle sistemlerini internet ortamına açmasıyla birlikte, siber güvenlik şirketler için önemli bir kaygı haline gelmeye başladı. Buna karşın 90’lı yıllarda birey olarak gördüğümüz bilgisayar korsanları artık ordu olarak karşımıza çıkıyor ve bu durum güvenlik kaygılarımızı arttırdı.
Peki kaygılarımız ne kadar gerçek?
PCI DSS ve kredi kartının korunması
Ödeme Kart Endüstrisi Veri Güvenliği Standartı (PCI DSS), küresel olarak kabul görmüş ve kurumlarında kredi kartı bilgilerini korumasında yardımcı olacak kontroller bütününü tanımlayan bir standarttır. 12 ana kontrol hedefinden oluşmaktadır ve çok katmanlı olarak kontrolleri içermektedir:
Söz konusu kontroller tam anlamıyla uygulandığında veri sızmaları risklerini kabul edilebilir seviyelere kadar düşürmektedir. Bununla birlikte PCI DSS gelişen ve yenilenen bir standarttır. 15 Nisan 2015 tarihinde PCI Güvenlik Konseyi yeni sürüm olan PCI DSS v3.1’i yayınlamıştır. Konsey standartta büyük bir değişikliği normalde 36 ay periyodunda gerçekleştirmekte ve bu sayede güvenlik tedarikçilerinin yeniliklere uyum sağlaması için makul süre sağlamaktadır. Baktığımızda 2.0 sürümünden yakın zamanda 3.0 sürümüne geçilmişken ve değerlendirme formlarında (SAQ) büyük değişiklikler yapılmışken yeni sürüme geçme ihtiyacı neden kaynaklanmıştı? Burada sihirli kelime POODLE.
Güvenliğin ve en iyi uygulamaların yaşam döngüsünde unutulmaması gereken, tehditler evrimleşir ve gelişirken standartlarında evrimleşme ihtiyacı olduğudur, PCI standartındaki bu değişiklik buna güzel bir örnek teşkil etmektedir.
Güvenlik evrimini takip ederken risk bazlı yaklaşım
Üye işyerleri ve servis sağlayıcılar PCI uyumluluğuna çeşitli farklı yöntemlerle yaklaşmaktadır. Genelde görülen yaklaşım uyumluluk esaslıdır ve artık risk (Residual Risk) üzerine yoğunlaşılan bir yaklaşım sergilenmektedir. Bununla birlikte veri sızma riskini bertaraf edecek şekilde yol haritası çıkarılması, uyumun sağlanmasında ve gizli bilgilerin korunmasında devamlılık vaat etmektedir.
Risk bazlı yaklaşımın başarıya ulaşması için aynı zamanda;
önem arz etmektedir.
Doğru kararı vermek çok önemli
Risklere istinaden her zaman doğru kararları veremeyebiliyoruz. Bunu da bazı bilindik nedenlerle yapamamaktayız.
Standart incelendiğinde, pek çok noktada risk bazlı karar almamıza bizleri zorluyor ve bu kararı verirken risk süreçlerimizin işlerliği çok önem kazanıyor.
Örnek vermek gerekirse 6.1 maddesinde “Güvenlik açığı bilgisi için tanınmış dış kaynakları kullanarak, güvenlik açıklarını belirlemeye yönelik bir süreç oluşturun ve yeni keşfedilen güvenlik açıklarına bir risk derecelendirmesi atayın.” Hatalı risk atamalarının yapılması pek çok noktada zafiyetlerin oluşmasına neden olacaktır.
Siber güvenliği üst seviyeye çıkarmak için öneriler
Son olarak PCI DSS kontrolleri özelinde 365 gün güvenliğin sağlanabilmesi için birkaç notumuz olacak;
Bu web sitesinde çerezler kullanılmaktadır.
Bu çerezlerden bazıları gereklidir.
Diğerleri ise trafiğimizi analiz etmemize, reklam hizmetleri sunmamıza ve sizin için özelleştirilmiş deneyimler sunmamıza yardımcı olmaktadır.
Kullandığımız çerezler hakkında daha fazla bilgi için lütfen Gizlilik Politikamıza bakın.
Bu web sitesi söz konusu çerezler olmadan düzgün çalışamaz.
Analitik çerezler web sitemizin kullanımı hakkında bilgi toplayarak onu geliştirmemize yardımcı olmaktadır.