KVKK Uyumlu Sızma Testi

KVKK Uyumlu Sızma Testi

►Penetrasyon testi, kurumun sahip olduğu bilişim sistemlerindeki güvenlik zaafiyetlerinin üçüncü bir göz tarafından kontrol edilmesi ve raporlanması konusudur. Proaktif güvenliğin ilk adımı olan bu test, sızma testi olarak da adlandırılır. Kurum tarafından belirlenmiş bilişim sistemlerine, tüm yollar denenerek sızmaya çalışma işlemleri yapılır. Bu sızma testindeki amaç, sistemdeki güvenlik açığını bulmakla beraber, yetkili erişimler sağlanmasıdır.

Penetrasyon testinin tanımlandığı, yapıldığı ve pazarlandığı birçok farklı yol vardır. Genellikle “güvenlik açığı taraması”, “uyumluluk denetimi” veya “güvenlik değerlendirmesi” yürütülmesi ile karıştırıldığından, penetrasyon testi bu çabaların dışında birkaç kritik yolla durur:

Bir sızma testi, güvenlik açıklarını açığa çıkarmakla kalmıyor: Bir kuruluşun BT varlıklarına, verilerine, insanlarına ve / veya fiziksel güvenliğine karşı gerçek dünya saldırı vektörlerini kanıtlamak (veya onaylamak) için bu açıkları aktif olarak kullanmak adına bir sonraki adımı atıyor.

Bir penetrasyon testi, otomatik araçların ve süreç çerçevelerinin kullanımını içerebilse de, eninde sonunda, bireyin veya test uzmanlarının, testin getirdiği deneyimin, ve bunlara bağlı aktif bir saldırı bağlamında kullandıkları beceriler ve yetenekleri vardır ve bunlardan en önemlisi; organizasyon.  Gelişmiş karşı önlem teknolojilerini kullanan yüksek oranda otomatik, iyi kaynaşmış ve gelişmiş ağlar, genellikle, insan zihninin kendine özgü niteliğine karşı savunmasızdır.

Bir penetrasyon testi şu soruya cevap verecek şekilde tasarlanmıştır: “Mevcut güvenlik kontrollerimin aktif, yetenekli bir saldırganın gerçek dünyadaki etkinliği nedir?” Bunu, gerekli kontrollerin varlığını kontrol eden güvenlik veya uyumluluk denetimleriyle basit bir senaryo oluşturarak  doğru konfigürasyonları karşılayabiliriz. % 100 uyumlu bir kuruluş bile, gerçek dünyada yetenekli bir insan tehdit etmenine karşı savunmasız olabilir.

Bir penetrasyon testi, aynı hedefe karşı çoklu saldırı vektörlerinin araştırılmasına izin verir. Çoğunlukla, başarılı bir uzlaşmaya yol açacak farklı sistemlerdeki bilgi veya güvenlik açıklarının birleşimidir. Her ne kadar bir vektör üzerinden kapsamlarını sadece bir hedefle sınırlandıran penetrasyon testi örnekleri olsa da (örneğin, sadece internet tarayıcısı açısından yürütülen bir web uygulama kalem testi), sonuçları her zaman detaylıca göz önünde bulundurulmalıdır : Test değerli sonuçlar vermiş olsa da, sonuçlardan sadece testin yapıldığı bağlamda yararlıdır. Başka bir deyişle, kapsamı ve vektörü sınırlamak, gerçek dünyadaki güvenlik riski anlayışını sınırlar.

6698 Sayılı Kişisel Verilerin Korunması Kanunu’na göre, gizlilik gerektiren sistem ve uygulamalarınızı, KVKK mevzuatı kapsamında, değerlendirerek KVKK uyumluluğunuzu bir adım öteye taşıyoruz.

7 Nisan 2018 tarihinde yürürlüğe giren Kişisel Verilerin Korunması Kanunu (KVKK) ile kişisel verilerin korunmasının önemi ülkemizde artmıştır . Tüzel kişi ya da gerçek kişi ayrımı yapmaksızın herkeste büyük bir farkındalık yaratmıştır. Bilgi sistemleri, günümüzde tüm sektörlerde temel ihtiyaçlardan biri olmuştur. KVK Kanunu’na  uyumlu olmak organizasyonları karşılaşabilecekleri büyük cezalardan da korumaktadır.

KVKK Sızma testi bir diğer adıyla Penetrasyon Testi olarak ifade edilebilir. KVKK Sızma Testlerindeki amaç sistemdeki güvenlik açıklarını saldırganlardan önce tespit etmek ve sistemi daha güvenli hale getirmektir.

KVKK Sızma Testi, test edilmesi istenen hassas ve gizlilik gerektiren sistemlere, uzman güvenlik danışmanlarımız tarafından, tüm yöntemler denenerek sızmaya çalışılması işlemidir . Saldırganın ne kadar ileriye gidebileceğini öngören ve raporlayan ileri seviye bir güvenlik testidir.

Sızma Testi, taranan sistemdeki güvenlik zafiyetinin bulunması durumunda, zafiyetin giderilmesi çalışmalarının başlamasına olanak tanır. Kötü niyetli hackerlar sisteminize bir siber saldırı yapmadan önce, sisteminizin güvenlik danışmanlarımız tarafından güvenlik açıklarına karşı test edilmesi firmanızı oluşabilecek tüm siber saldırılara karşı güven çemberi içinde kalmanızı sağlayacaktır.

KVKK konusunda veri kayıt sistemi ne de kayıt olarak verilerinizin otomatik işlenmesi konusundaki ispat yükümlülüğünüzü sağlayabilirsiniz. Hangi veriyi ne zaman kadar saklayıp, ne zaman ne şekilde imha etmelisiniz, bu soruların yanıtı Veri Kayıt Sisteminde yanıt buluyor

Neden Pentest (Sızma Testi) yaptırmalıyım?

Sahip olduğunuz bilişim sistemlerindeki güvenlik zaafiyetlerinin üçüncü bir göz tarafından kontrol edilmesi ve raporlanması proaktif güvenliğin ilk adımlarındandır. Her ne kadar güvenliğinize dikkat ederseniz edin, her zaman birşeylerin gözünüzden kaçma ihtimali vardır ve bu nedenle, kendi güvenliğinizi beyaz şapkalı hackerlara test ettirmeniz yararınıza olacaktır. Ek olarak PCI, HIPAA gibi standartlar da Pentest yaptırmayı zorunlu tutmaktadır.

Bir kuruluşların penetrasyon testine yatırım yapmasının birkaç nedeni:

Belirli bir saldırı vektörlerinin fizibilitesinin belirlenmesi
Belirli bir sekansta istismar edilen düşük riskli güvenlik açıklarının birleşiminden kaynaklanan yüksek riskli güvenlik açıklarının belirlenmesi
Otomatik ağ veya uygulama güvenlik açığı tarama yazılımı ile tespit edilmesi zor veya imkansız olabilecek güvenlik açıklarını belirlemek
Başarılı saldırıların potansiyel iş ve operasyonel etkilerinin büyüklüğünü değerlendirmek
Ağ savunucularının, saldırıları başarılı bir şekilde tespit etme ve bunlara cevap verme yeteneklerini test etme
Güvenlik personeli ve teknolojisindeki C seviyesindeki yönetim, yatırımcılar ve müşteriler için artan yatırımları desteklemek için kanıt sağlamak
Uyum uyumu (örneğin: Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS), hem yıllık hem de devam eden penetrasyon testini gerektirir (herhangi bir sistem değişikliğinden sonra)
Güvenlik olayından sonra, bir kuruluşun, ele geçirilmiş bir sisteme (veya tüm ağa) erişmek için kullanılan vektörleri belirlemesi gerekir. Adli analizle birleştirildiğinde, genellikle saldırı zincirini yeniden oluşturmak için bir penetrasyon testi kullanılır veya yeni güvenlik kontrollerinin devreye sokulduğunu onaylamak, gelecekte de benzer bir saldırıyı engeller.