Bilgi Güvenliği Bakış Açısı ile İş Sürekliliği

0
250
views
İş Sürekliliği, bir kuruluşun vermiş olduğu hizmetlerin tamamının veya bir kısmının kesintiye uğramasına ya da bu hizmetlerin kabul edilemez düzeyde yavaşlamasına sebep olacak olaylar karşısında, kabul edilebilir düzeyde iş uygulamalarına devam etme becerisi olarak tanımlanır. Bu yazıda İş Sürekliliği konusu bilgi güvenliği bakış açısı ile incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

 

A) İş Sürekliliği Planı (Business Contiunity Plan – BCP)

İş Sürekliliği Planlaması’nın genel amacı, kuruluşun bir felaket olayının yaşanmasından önce, bu süre boyunca ve sonrasında hizmet vermeye devam etmesini sağlamaktır. İş Sürekliliği Planlaması sürecinin temel amaçları aşağıdaki gibi sıralanabilir.

  • Acil bir durumda hızlı, sakin ve verimli bir yanıt verebilmek
  • Organizasyonun sürekli çalışmasını sağlamak
  • Organizasyonel süreçlere ait riskleri değerlendirmek ve bu risklerinin etkisini en aza indirmek için poltika ve prosedürler oluşturmak

 

İş sürekliliği bozulursa,iş süreçleri durursa ve organizasyon disaster moda geçerse BCP sürecinin başarısız olduğu anlaşılır ve Disaster Recovery Planning (DRP – Felaket Kurtarma Planı) devreye girer.

 

A.1) İş Sürekliliği Planı (BCP) ve Felaket Kurtarma Planı (DRP) Arasındaki İlişki

Her iki plan da kuruluşun karşılaştığı yıkıcı olayların yönetimi için gerekli olsa da hedefleri farklıdır.

İş Sürekliliği Planlaması yıkıcı bir olaydan sonra devam eden operasyon için uzun vadeli ve iş odaklı bir plan sağlarken, Felaket Kurtarma Planı belirli aksaklıklarla başa çıkmak için kısa vadeli bir plan sağlar.

Felaket Kurtarma Planı bir felaketin etkisini etkili bir şekilde azaltmaya, önemli bir yıkıcı olay karşısında kritik BT sistemlerine anında müdahele etmeye ve kurtarmaya çalışır.

DRP süreci BCP’nin bir alt kümesidir.

 

BRP ve DRP süreçleri ile ilgili olarak bir barajın üzerinde bulunan veri merkezi örneğini ele alabiliriz. Şöyle ki;

BCP süreçleri uygulanarak belediyenin baraj üzerinde bulunan veri merkezi üzerindeki bakım faaliyetlerinin yapılıp yapılmadığı test edilir. Veri merkezi için alınan önlemler BCP kapsamındadır. Tüm alınan önlemlere rağmen veri merkezi su altında kalarak sistem hizmet veremez hale gelebilir ve DRP sürecine geçilir.

 

A.2) Felaketlerin/Tehditlerin Sınıflandırılması

Bir kuruluşun başına bir çok felaket gelebilir.

 

Gelebilecek bu felaketler nedenlerine göre 3 şekilde sıralanabilir.

  • Doğal Tehditler: Deprem, sel, kasırga ve bazı yangın türleri gibi olaylardır. Kuruluşun müdahele etmesi gereken en yıkıcı olaylar olarak düşünülebilir fakat diğer tehditler kadar yaygın değildirler. Doğal bir afetin ortaya çıkma olasılığı genel olarak coğrafi konumla ilgilidir.
  • İnsan Kaynaklı Tehditler: İnsan tarafından gerçekleştirilen ve en yaygın olarak karşılaşılan tehdit türüdür. İnsan kaynaklı tehditler niyetine / kasıtına göre ikiye ayrılabilir.
    • Kasıtlı: Terör saldırısı, kötü amaçlı yazılım, bilgisayar korsanlığı, sosyal mühendislik vb. saldırılar kasıtlı insan saldırılarıdır.
    • Kasıtsız: Bilgisizlik, tembellik, dikkatsizlik gibi sebeplerle bir sistemin kesintiye uğraması ise kasıtsız insan saldırılarıdır
  • Çevresel Tehditler: Elektrik kesintisi,güç kaynağındaki ani artış/azalış gibi problemler, donanım arızaları veya yazılım hataları bu kategoridedir.

 

B) İş Sürekliliği Planlama Süreci Adımları

BCP’nin genel hedefi acil bir durumda hızlı, sakin ve verimli bir yanıt sağlamak ve kuruluşu bir felaket durumundan kurtarma yeteneğini hızlı bir şekilde artırmaktır.BCP sürecinin 4 ana adımı vardır .

  • Proje kapsamı ve planlaması
  • İş-etki değerlendirmesi
  • Süreklilik planlaması
  • Onaylanma ve uygulamaya koyma

 

B.1) Proje Kapsamı ve Planlaması (Project Scope and Planning)

Kurumlarda güçlü bir iş sürekliliği planı için bir takım çalışmalar yapılmalıdır. Bu çalışmalar aşağıdaki gibi sıralanabilir.

  • Kriz planlama için kuruluşun teşkilatlanmasının analizi yapılmalıdır. Bu kapsamda ana hizmetlerinden sorumlu personeller, BT servislerini ayakta tutmaktan sorumlu personeller, üst düzey yöneticiler ve diğer kritik kişiler dikkate alınmalıdır. Ayrıca İş Sürekliliği planı geliştirilirken kuruluşa ait hem merkez ofis hem de diğer şube ofisleri dikkate alınmalıdır
  • Üst yönetimin onayı ile BCP ekibi oluşturulmalıdır. BCP ekibi yukarıdaki organizasyonel analizle belirlenen ana hizmetlerin sunulduğu birimlerden temsilciler, BCP süreci ile ilgili teknik uzmanlığa sahip BT temsilcileri, BCP süreci hakkında bilgi sahibi güvenlik temsilcileri,yasal, düzenleyici ve sözleşme sorumluluklarını bilen yasal temsilciler ve üst yönetim temsilcilerinden oluşur.

 

  • BCP sürecinin öneminin tüm organizasyon tarafından önemsenmesi için, üst düzey yöneticilerin BCP süresinde aktif rol alması istenmelidir. Yasa ve yönetmeliklere bağlı olarak acil bir durum karşısında şahsen sorumlu olabilecekleri ve gerekli özeni göstermesi gerekliliği (due diligence) yöneticilere hatırlatılmalıdır.
  • İş organizasyonu ile ilgili analiz yapıldıktan sonra, BCP ekibi tarafından iş sürekliliği planının oluşturulması için gerekli olan kaynakların değerlendirilmesi gerekir. Kaynak değerlendirme 3 fazdan oluşur:
    • BCP Development
    • BCP Testing-Training-Maintenance
    • BCP Implementation

Not: BCP sürecindeki en önemli kaynak insandır.

  • Felaket durumunda organizasyonun cevabına ilişkin yasal düzenlemeler analiz edilmelidir.BCP ekibinde yasal danışmanlar mutlaka yer almalıdır.Başka firmalarla yapılan hizmet sözleşmeleri SLA içeriyorsa ve bir felaket durumunda verilen hizmet kesintiye uğrarsa sözleşme ihlal edilmiş olur. Kurumdaki tüm çalışan ve yöneticiler iş sürekliliği görevlerini yerine getirmek için gereken özeni göstermekten sorumludurlar.(due diligence)

Not: Bazı organizasyonların resmi bir BCP süreci bulunmamaktadır. Beklenmedik bir acil durum karşısında “seat-of-the-pants” yaklaşımının işe yarayacağı düşünülür. “Seat-of-the-pants” yaklaşımı, herhangi bir karar alma durumunda, analitik yöntemler ve araçları kullanmak yerine sezgi ve hisler ile hareket etme durumudur.

 

B.2) İş-Etki Değerlendirmesi (Business Impact Assessment – BIA)

BIA aşamasında iş sürekliliği için ilk olarak kritik olan kaynaklar belirlenir ve bu kaynaklara yönelik tehditler tanımlanır.

Her tehdidin gerçekleşme olasılığı ve iş üzerindeki etkisi değerlendirilir. Değerlendirme sonuçları kaynakların karşı karşıya olduğu yerel, bölgesel ve ulusal risklere karşı önlem alınmasını sağlar.

 

İş Sürekliliği ile ilgili plan yaparken 2 farklı analiz türü vardır.

  • Quantitative Decision Making: Nicel değerlendirmedir.Karar vermek için sayılar ve formüller kullanılır. Nicel değerlendirme için BCP ekibi kuruluş varlıklarının listesini hazırlamalı ve her bir varlığa parasal olarak bir varlık değeri (AV) atamalıdır.
  • Qualitative Decision Making: Nitel değelendirmedir.Karar vermek için itibar, müşteri güveni vb. diğer kaygılar gibi sayısal olmayan faktörler dikkate alınır.Örnek olarak kuruluş çok önemli birkaç müşteriye bağımlıysa, bu müşterileri uzun vadede tutabilmek için kısa vadeli kayıplar ihmal edilebilir.

BCP ekibi için sayısal verilerle ilerlenmesi ve nicel değerlendirme yapması önerilir.

BIA aşaması aşağıdaki gibi 5 adımdan oluşur.

B.2.1) Öncelikleri Tanımlama (Identify Priorities)

İş-etki değerlendirmesi yaparken BCP ekibinin ilk görevi işler için öncelik listesi hazırlamaktır.

BCP’nin ikinci görevi maksimum tolere edilebilir kesinti süresini belirlemektir. (MTO/MTD)

  • MTD (Maximum Tolerable Downtime): Organizasyona ait bir sürecin onarılamaz hale gelebileceği maksimum süredir.
  • MTO (Maximum Tolerable Outage): Organizasyonun bir sürece ait tolere edebileceği maksimum kesinti süresidir.
  • RTO (Recovery Time Objective): Bir aksaklık durumunda sistemi geri döndürmeyi düşünülen süredir.
  • RPO (Recovery Point Objective): Kabul edilebilir veri miktarı kaybıdır.

Bu adımdaki temel amaç, RTO’nun MTD’den daha düşük olmasını sağlamaktır.

 

B.2.2) Riskleri Tanımlama (Risk Identification)

Kurumda ortaya çıkan risklerin tanımlanması gerekmektedir.

BCP ekibi tarafından bir kuruluş için tehdit oluşturabilecek olayların kapsamlı bir listesini hazırlanmalıdır. Risk tanımlama kısmı nitelikseldir. Daha belirsiz risklerin tanımlanması BCP ekibinin yaratıcılığına bağlıdır.

Not: Sistemlerin dış kaynaklarla ilişkili risklerini değerlendirmek için SOC (Service Organization Control) Raporları hazırlanabilir. Bu raporlarla ilgili standartlar The American Institute of Certified Public Accountants (AICPA) tarafından oluşturulmuştur.

  • SOC 1: Finansal raporlama üzerindeki kontrolleri kapsar.
  • SOC 2 / SOC 3: Güvenlik, gizlilik ve kullanılabilirlik denetimlerini doğrulamak için kullanılır.

 

B.2.3) Olasılık Değerlendirme (Likelihood Assesment)

Her tehdidin gerçekleşme olasılığı birbirinden farklıdır.

Her bir risk için organizasyonun bu riski yaşamayı ne kadar beklediğini (her tehdidin tek bir yıl içinde gerçekleşme olasılığını) yansıtan ARO (Annualized Rate of Occurrence) belirlenmelidir. ARO kurumsal geçmişe, BCP ekip üyelerinin mesleki deneyimine ve gerektiğinde sismolog, yangın önleme uzmanları ve diğer danışmanların tavsiyelerine göre belirlenir.

Bazı durumlarda, bazı riskler için uzmanlar tarafından hazırlanan olasılık değerlendirmeleri bulunabilir. Aşağıdaki deprem tehlike haritası bu depremlerin ARO’sunu göstermektedir.

 

ARO kavramı ile ilgili detaylı bilgi için kaynaklardaki Siberportal bağlantısı [i] incelenebilir.

 

B.2.4) Etki Değerlendirme (Impact Assessment)

Risk tanımlama ve olasılık değerlendirmesi yapıldıktan sonra toplanan veriler analiz edilerek tanımlanan risklerin gerçekleşmesi durumunda kuruma ne gibi bir etkisi olacağı hesaplanmalıdır.

Bu değerlendirme, The exposure factor (EF), The single loss expectancy (SLE) ve The annualized loss expectancy (ALE) metrikleri ile yapılır. EF, SLE, ALE ve diğer değerlendirme metrikleri ile ilgili detaylı bilgi için kaynaklardaki Siberportal bağlantısı [i] incelenebilir.

Nitel bir değerlendirme yapılırsa aşağıdaki faktörler göz önüne alınabilir

  • Müşteriler tarafından kuruluşa duyulan güven kaybı
  • Uzun süreli çalışmama sürelerinden sonra çalışanların diğer işlerde kayb
  • Topluma karşı sosyal / etik sorumluluklar
  • İmaj kaybı

 

B.2.5) Kaynak Önceliklendirme (Resource Prioritization)

İş sürekliliği kaynaklarının daha önce tanımlanan risklere tahsis edildiği aşamadır.Yukarda analiz edilen tüm risklerin bir listesi çıkarılır ve ALE’ye göre sıralanarak öncelikli risk listesi hazırlanır.

Bu liste üzerinde hangi riske nasıl bir kaynak hacanacağı ile ilgili bir çalışma yapılır.

Bu çalışmada nitel ve nicel analiz kullanılır.BCP ekibi ve üst yönetim temsilcileri ile görüşülür,nitel ve nicel analizler neticesinde risklerin önceliği azaltılabilir ya da artırılabilir.

 

B.3) Süreklilik Planlaması (Continuity Planning)

Risklerin korunan varlıklar üzerindeki etkisini en aza indirmek için bir süreklilik stratejisi geliştirilir ve uygulamaya konulur. Süreklilik planlaması ile ilgili yapılması gerekenler aşağıdadır.

  • Strategy development
  • Provisions and processes
  • Training and education

 

B.3.1) Strategy Development

Bu aşamada daha önce oluşturulan MTD tahminlerine göre hangi risklerin kabul edilebilir olduğu ve hangi risklerin azaltılması gerektiği belirlenmelidir.

 

Örnek olarak Mısır’daki bir operasyon tesisine çarpan bir kar fırtınası göz ardı edilebilir ve risk kabul edilebilir.

 

B.3.2) Provisions and Process

Bu aşamada, strateji geliştirme aşamasında kabul edilemez olarak tanımlanan riskleri azaltacak prosedürler ve mekanizmalar tasarlanır.

BCP süreci çerçevesinde 3 varlık kategorisi korunmak zorundadır.

  • People: Herşeyden önce ilk olarak, acil durum öncesinde, sırasında ve sonrasında kuruluştaki insanların güvenliğinden emin olmak gerekir.
  • Buildings and Facilities: Kuruluşun sürekli uygulamalarında kritik rol oynayan tesisler belirlenmelidir.(standart ofisler, veri merkezleri, depolar vs.)Bu tesislerde 2 alan dikkate alınmalıdır.
    • Hardening Provisions:Belirlediğimiz tesisleri,strateji geliştirme aşamasında belirlediğimiz risklere karşı korumak için alınacak önlemler belirlenmelidir.(Ör:Sızdıran bir çatıyı onarmak)
    • Alternate Sites: Kuruluşu riske karşı önlem almanın mümkün olmadığı durumlarda, ticari faliyetlere hemen (en azından MTD süresinden daha önce) devam edilebilecek alternatif tesisler belirlenmelidir.
  • Infrastructure: Altyapı, strateji geliştirme aşamasında tanımlanan risklerden korunmalıdır.
    • Physically Hardening Systems: Yangın söndürme sistemleri ve kesintisiz güç kaynakları gibi önlemler alınabilir.
    • Alternate Sites:Yedek sistemler ve bileşenler kullanarak sistem korunabilir.

 

B.3.3) Training and Education

Plana katılacak tüm personel genel plan ve bireysel sorumluluklar ile ilgili doğrudan ve dolaylı olarak bir eğitim almalıdır.Kuruluştaki tüm çalışanlar iş sürekliliği planından haberdar olmalıdır.

Doğrudan BCP sorumlulukları olan kişiler, yıkıcı bir olay sırasında görevlerini etkin bir şekilde tamamlayabilmeleri için özel BCP görevleri konusunda eğitilmelidir.

Ayrıca, bir acil durum sırasında personelin yaralanması veya işyerine ulaşamaması durumunda işlerin devamlılığını sağlamak için her BCP görevi için en az bir yedek kişi belirlenmeli ve eğitim alması sağlanmalıdır.

 

B.4) Onaylanma ve Uygulamaya Koyma (Approval and Implementation)

BCP’nin tasarım aşaması tamamlandıktan sonra, planlama ile ilgili üst yönetimden onay alınmaldır. Planın üst düzey yönetici tarafından imzalanması, tüm organizasyon için önemini gösterir ve üst yönetimin iş sürekliliğine olan bağlılığını ortaya koyar.

Üst yönetimden onay alındıktan sonra, belirtilen hedeflere ulaşmak için programa ayrılan kaynaklar kullanılarak plan uygulamaya konulur. BCP ekibi,gelişen iş ihtiyaçlarına cevap verilmesini sağlamak için bir BCP bakım planı oluşturulmalı ve denetimler yapmalıdır.

 

C) İş Sürekliliği Planı Dokümantasyonu

İş sürekliliğinin işletilmesi için bir takım dokümanların hazırlanması gerekir. Gerçekleştirilecek dokümantasyonun sağlayacağı başlıca yararlar aşağıdaki gibi sıralanabilir.

  • Acil bir durumda BCP üyelerine ulaşılamazsa bile planın uygulanabilmesi sağlanır.
  • Planı anlamak isteyen veya planda değişiklik yapmak isteyen yeni personel için bir kaynak sağlanır.
  • BCP üyelerinin düşüncelerini kağıda dökmesi zorlanarak, plandaki kusurların daha anlaşılır olması sağlanır.

 

Yazılı bir iş sürekliliği planı dokümantasyonunun içermesi gereken bileşenler aşağıdaki gibidir.

  • Continuity Planning Goals: Plan ilk olarak süreklilik planlamasının amaçlarını tanımlamalıdır.Bu hedeflere ilk BCP toplantısı veya öncesinde karar verilmelidir.
  • Statement of Importance: BCP’nin kuruluşun iş sürekliliği üzerindeki kritikliğini yansıtan belgedir. Kuruluşun çalışanlarına, BCP sürecine neden bu kadar kritik kaynaklar ayrıldığı ve tüm personelin işbirliğinin gerektiği anlatılır. Belgeyi üst düzey yöneticilerin imzalamış olması belgenin önemini artırır.
  • Statement of Priorities: BIA’da resmi olarak belirtilen öncelikler listesidir.
  • Statement of Organizational Responsibility: Kuruluşun iş sürekliliğine bağlılığını yeniden ifade eden ve üst düzey yönetici tarafından imzalanan belgedir. Statement of Importance ile entegre edilebilir.
  • Statement of Urgency and Timing: BCP ekibi tarafından belirlenen ve üst yönetim tarafından kabul edilen zaman çizelgesidir.BCP’nin önemini ifade eder. Bu ifade Statement of Priorities ve Statement of Organizational Responsibility ile birleştirilecekse ayrı belgede olmalıdır.
  • Risk Assessment: BIA sırasında dikkate alınan tüm risklerin nitel ve nicel analizle değerlendirilmesidir.
  • Risk Acceptance/Mitigation: Strateji geliştirme bölümünde tanımlanan risklerle ilgili kısımdır.
    • Kabul edilebilir risklerle ilgili olarak; neden kabul edilebilir olarak değerlendirildiği ve ilerde hangi olaylar karşısında bu değerlendirmenin değişebileceği özetlenmelidir. Risk kabul kararlarının, risk sahibi yöneticiler tarafından resmi olarak belgelenmesi istenmelidir.
    • Kabul edilemez risklerle ilgili olarak; riskin azaltılması için yapılan faaliyetlere değinilmelidir.
  • Vital Records Program: BCP belgeleri, kurum için önem derecesi yüksek olan(kritik ticari kayıtların) kayıtların nerde saklanacağı ve bu kayıtların yedeğini oluşturma ve saklama prosedürlerini belirtmelidir.
  • Emergency-Response Guidelines: Bu belge çalışanların acil bir durumu tespit etmelerini ve sonra yapmaları gerekenleri gösterir.Bu yönergeler aşağıdakileri içerir:
    • Acil müdahale prosedürleri (güvenlik ve emniyet prosedürleri, yangın söndürme prosedürleri, uygun acil müdahale kurumlarının bildirilmesi, vb.)
    • Olaydan haberdar edilmesi gereken bireylerin listesi (yöneticiler, BCP ekip üyeleri, vb.)
    • BCP ekibinin toplanmasını beklerken ilk müdahalenin yapılması gereken ikincil müdahale prosedürleri
  • Maintenance: BCP belgeleri ve iş sürekliliği planının kendisi kurumun değişen gereksinimleri karşılamak için dinamik bir yapıda olmalıdır.

BCP ekibi periyodik olarak toplantılar yaparak değişen organizasyonel ihtiyaçlara cevap verilip verilmediğini test etmelidir. BCP deki her değişikllikte sürüm kontrolü yapılmalı ve eski sürümler imha edilerek yeni sürümle değiştirilmelidir.

 

Kaynaklar:

https://www.amazon.com/CISSP-All-One-Guide-Eighth-ebook/dp/B07J1JQSJY

[i] https://www.siberportal.org/blue-team/compliance-auditing/bilgi-guvenligi-bakis-acisi-ile-bt-risk-yonetimi#NicelRiskAnalizi
https://security-times.net/business-continuity-planning

Chapter 3: Business Continuity Planning


https://www.oreilly.com/library/view/cissp-isc2-certified/9781119042716/

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

This site uses Akismet to reduce spam. Learn how your comment data is processed.