İLETİŞİM
EN
Digital Maturity Assessment BİGR Danışmanlığı Göç'e Hazır mısınız? AÇIK KAYNAK KODLU SİSTEMLERE GÖÇ Penetrasyon Testi Bilgi Güvenliği Yönetimi Sistemi BGYS Kişisel Verilerin Korunması Kanunu-KVKK TaliaDomain Faronics Uçtan Uca Güvenlik
EN

BT Olgunluk Analizi İçin Kullanılabilecek Özet Checklist


Gelişen teknolojilerle, bilişim teknolojilerinin geldiği nokta kurumların “Kendini Bilmesi” zorunluluğunu artırdı. Güvenlik zafiyetlerinden dolayı kurumlar büyük veri kayıpları yaşıyor ve telafisi olmayan bu kayıplar yüzünden itibar, vakit ve nakit kaybediyor.

BT altyapısının olgunluğunu değerlendirmek, operasyonel verimliliği korumak ve bilgi varlıklarını tehditlere karşı korumak açısından kritik öneme sahiptir. Düzenli değerlendirmeler, iyileştirilecek alanların belirlenmesine, beklenmeyen aksaklıkların önlenmesine ve BT sistemlerinin iş hedeflerini etkili bir şekilde desteklemesine yardımcı olacaktır. Altyapı yönetiminin kapsamlı bir öz değerlendirmesinde kullanılabilecek kontrol listesi aşağıda verilmiştir.

1.Donanımların Analizi

Günümüzde sanal sistemlere eğilim artmış olsa bile BT alt yapılarının çoğunu fiziksel cihazlar oluşturmaktadır. Detaylı bir donanım analizi yapmak, her bileşenin en iyi şekilde ve en doğru amaçla çalışmasına fayda sağlar. Buda donanım cihazlarının, işletmenin artan talepleriyle uyumlu olmasını sağlar.

Envanter Yönetimi:

Kurum bünyesinde detaylı ve güncel bir donanım envanteri tutulmakta mıdır?

Donanım envanterinde; her bir donanım için ağ adresi, donanım adresi, makine adı, seri numarası, marka, model, donanımın sorumlusu ve donanımın kurum tarafından onaylı olup olmadığı bilgisi tutulmakta mıdır?

Performans Analizi:

Donananım bileşeninin performansı, üreticinin spesifikasyonlarına ve endüstri kıyaslamalarına göre değerlendirildi mi?

İşleme hızını, bellek kullanımını, depolama kapasitesini ve ağ verimini ölçmek için tanılama ve aktif keşif araçları kullanılıyor mu?

Kuruma ait güvenli ağlara bağlanan hangi donanımlar için istemci sertifikası ile kimlik doğrulaması yapılmaktadır?

Bakım Kayıtları:

Düzenliliği ve eksiksizliği belirlemek için her donanım parçasının bakım kayıtları bulunuyor mu?

Gelecekteki bakım faaliyetlerini planlandı mı?

Yükseltme İhtiyaçları:

Mevcut donanım yetenekleri ile operasyonel gereksinimlerinizle karşılaştırıldı mı?

Kullanım ömrünü tamamlayan cihazların imha edilmesine veya tekrar kullanılmasına yönelik bir politika/prosedür tanımlanmış mıdır?

Donanım geliştirmelerine veya değiştirmelerine yönelik bütçe tahsisleri planlandı mı?

2. Yazılımlarım Analizi

Yazılımları düzenli olarak analiz etmek yazılım ortamlarının yasal olarak uyumlu, güvenli ve iş süreçleriyle uyumluluğunu tespit etmek için önemlidir.

Lisans Uyumluluğu:

Kurum bünyesinde detaylı (lisans yenileme tarihi, kullanıcı sayısı vb.) ve güncel bir yazılım envanteri tutulmakta mıdır?

Her uygulamanın geçerli sayıda kullanıcı lisansı ile uygun şekilde lisanslandığını doğrulandı mı?

Sürüm Kontrolü:

Tüm yazılımların sürüm numaralarını satıcıların en son sürümleriyle karşılaştırarak kontrol edildi mi?

Tüm yazılımların güncelliği, en son özelliklerin ve güvenlik yamalarının uygulandığının kontrolü yapılıyor mu?

Kullanım İncelemesi:

Kurum tarafından onaylanmayan yazılımların kullanımı ile ilgili süreç ve sistem bulunmakta mıdır?

Kaynakları korumak için kullanımdan kaldırılmaya aday olabilecek, yeterince kullanılmayan uygulamalar tespit edildi mi?

Güvenlik önlemleri:

Antivirüs, kötü amaçlı yazılımdan koruma ve güvenlik duvarları dahil tüm güvenlik yazılımlarının etkinleştirildiği ve güncel olduğu doğrulandı mı?

Güvenlik uygulamalarının ayarlarının şirket güvenlik politikasına uygunluğu incelendi mi?

3. Mevcut Ağ Yapısının Analizi

Dayanıklı ve iyi yapılandırılmış bir ağ, kesintisiz bir veri akışı sağlar, tüm bilgi sistemlerini birbirine bağlar ve iletişimi kolaylaştırır. Bu nedenle kapsamlı bir ağ değerlendirmesi BT Olgunluk analizinde vazgeçilmezdir.

Konfigürasyon yönetimi:

Kurum ağlarının fiziksel ve mantıksal topolojileri dokümante edilmekte midir? Mevcut donanım ve yazılım envanteri ile ağ topolojileri eşleşmekte midir?

Ağ cihazları endüstri standartları, en iyi uygulamalar ve üretici tavsiyelerine uygun olarak yapılandırılmakta mıdır?

Kurum ağları, bilgi güvenliği gereksinimleri doğrultusunda katmanlara ayrılmakta mıdır?

Sistem güvenlik duvarlarıyla korunmakta mıdır?

Kurum tarafından gerekli görülen durumlarda, belirlenen kaynak(lar) ve hedef(ler) arasındaki ağ trafiğinin izlenebilmesi için kayıt mekanizmaları oluşturulmuş mudur?

Ağdaki mevcut veri yükü maksimum kapasiteyle karşılaştırıldı mı?

İş büyüme tahminlerine göre gelecekteki ağ yükünü tahmin edilip gerekli yapılandırmalar planlandı mı?

Bağlantı Testleri:

Tutarlı ve güvenilir ağ bağlantısını kontrol etmek için düzenli testler yapılıyor mu?

Ağ izleme araçları kullanılıyor mu?

Gelecekteki kesintileri önlemek için tekrarlayan bağlantı sorunlarını belirlendi mi?

3 Boyutlu Güvenlik Protokolleri:

Güvenlik duvarları, izinsiz giriş tespit sistemleri ve şifreleme protokolleri gibi ağ güvenliği önlemlerinin etkinliği inceleniyor mu?

Düzenli sızma testleri yapılıyor mu?

4. Veri Yönetimi

Doğru veri yönetimi, kurum verileirni, fikri mülkiyeti ve müşteri verilerinin doğru, erişilebilir ve güvenli olmasını sağlar.

Veri Envanteri:

Veri barındıran tüm sistemlerdeki verilerin envanteri tutuluyor mu?

Veri sınıflandırması yapıldı mı?

Veri saklama ortamlarının güvenliği sağlanıyor mu?

Kritik veriler belirlenip işleme saklama prosedürleri oluşturuldu mu?

Yedekleme Doğrulaması:

Veri yedeklemeleri düzenli olarak ve veri kurtarma planına uygun olarak yapılıyor mu?

Yedekten dönüş testleri yapılıyor mu?

Erişim Kontrolleri:

Erişimler yetki matrisine uygun olarak yapılıyor mu?

Erişimler rol bazlı veriliyor mu?

Ayrılan kullanıcıların hesaplarının temizlenip temizlenmediğini kontrol ediliyor mu?

Güvenlik Denetimleri:

Veri yönetimi süreçlerindeki potansiyel güvenlik açıklarını belirlemek için düzenli güvenlik denetimleri yapılıyor mu?

Verilerinizin bütünlüğünü ve gizliliğini korumak için riskler belirlenip ele alınıyor mu?

5. Felaket Kurtarma

Kapsamlı bir felaket kurtarma planı (DRP-Disaster Recovery Plan), veri kaybı riskini azaltır ve kritik iş fonksiyonlarının bir kesinti sonrasında hızlı ve verimli bir şekilde geri yüklenebilmesini sağlar.

Plan İncelemesi:

Tüm kritik sistem ve süreçleri ele alan olağanüstü durum kurtarma planı bulunuyor mu? Felaket kurtarma planları yazılı hale getirilmekte midir?

Felaket kurtarma planları hazırlanırken rol ve sorumluluklar tanımlanmakta mıdır?

Simülasyon Testleri:

Felaket kurtarma prosedürlerinizin etkinliğini test etmek için simüle edilmiş felaket senaryoları yürütülüyor mu?

Simülasyon sonuçları analiz ediliyor mu?

Kurtarma Noktası Hedefleri:

Felaket kurtarma merkezi var mıdır?

Felaket kurtarma merkezinin bilgi güvenliği kriterleri kurumun bilgi güvenliği gereksinimlerini karşılamakta mıdır?

Felaket kurtarma merkezi, kurumun asıl sistemlerine göre nasıl konumlandırılmıştır?

6. Kullanıcı Desteği ve Eğitimi

Çalışanların işlerini yapmak için gereken teknolojiyi, araçları ve platformları kullanabilmelerini sağlamak ve siber güvenlik alanında farkındalık için düzenli eğitimlerin verilmesi sağlanmalıdır.

Kurum personeline bilgi güvenliği ve siber güvenlik farkındalık eğitimleri verilmekte midir?

Bilgi güvenliği ve siber güvenlik alanında görev yapan personele yönelik yetenek ihtiyaç analizleri yapılmakta mıdır?

Kurum personellerine bulundukları pozisyonla ilgili yetkinlik eğitimleri verilip takip ediliyor mu?

Yeni işe başlayan personellere oryantasyon eğitimleri veriliyor mu?

7. Mevzuatlara Uyum Analizi

Düzenli kontroller uyumsuzluktan kaynaklanan hukuki sorunların önüne geçecektir.

Düzenleyici Kontrol Listesi:

Kurumun hizmet verdiği sektördeki tüm ilgili düzenlemelerin ve uyumluluk gereksinimlerin güncel bir kontrol listesini bulunmakta mıdır?

Tüm sistemlerin ve süreçlerin bu düzenlemelere uygun olduğundan emin olmak için düzenli analizler yapılıyor mu?

Uyumluluk faaliyetlerine ilişkin kayıtlar detaylı olarak tutuluyor mu?

Dokümantasyon İncelemesi:

Politikalar, prosedürler ve uyumluluk raporları gibi gerekli tüm belgelerin eksiksiz, güncel ve güvenli bir şekilde saklanıyor mu?

Bu belgeler ilgili personellerin erişebildiği bir yerde mi?

Belgeler düzenlemeler veya iş operasyonlarındaki değişiklikleri yansıtacak şekilde düzenli olarak güncelleniyor mu?

Politika uygulaması:

Veri koruma için BT üzerinde kabul edilebilir kullanım, güvenlik politikaları ve diğer politikaların aktif olarak kullanıldığı kontrol ediliyor mu?

Politikalara uyulması için düzenli iç denetimler yapılıyor mu?

Uyumluluk ekibine düzenli politika eğitimi veriliyor mu?

10. Fiziksel kontroller

Kritik bilgi ve bilgi işleme olanakları barındıran alanları korumak için güvenlik sınırları tanımlanmalı ve gerekli güvenlik önlemleri alınmalıdır.

Kritik bilgi ve bilgi işleme olanakları barındıran alanları korumak için güvenlik sınırları tanımlanmış mıdır?

Güvenlik birimi tarafından gerçekleştirilen işlemler periyodik olarak denetlenmekte midir?

Binalara ait bütün pencereler, kapılar, dış duvarlar ve güvenlik altına alınması gereken yerler gözetleme veya diğer güvenlik kontrolleri ile takip edilmekte midir?

Kablolama güvenliğini sağlamak için hangi kontroller uygulanmaktadır?

Kaynak [1]

Yazar: Nazlıcan Hatice TANIN/ Denetim Hizmetleri ve Teknolojileri K.Uzmanı