Yazılım Güvenliği

Merhaba,

Bu konuya da daha fazla yer vermek gerektiğini düşünüyorum.

Yazılım güvenliği dediğimizde ilk aklımıza gelen konu yapılan yazılımın içeriden yada dışarıdan saldırılara karşı güvenli olması aklımıza geliyor.

Bunun için yazılımcının yazılımı hazırlarken çok bilinçli olması gerekiyor. Kullanıcıların farklı seviyelerde yetkileri olduğunda yada yetkisiz olduğunda neler yapabileceği çok iyi tarif edilmesi ve yazılımda bunların uygulanmış olması çok önemli. Tabiki bu iyi bir analiz gerektiriyor ve yazılımcı bunları yaptı diyelim. Ardından sadece bu sorumluluğu ona bırakmamak dışarıdan yetkili ve yetkisiz roller ile penetrasyon testleri yani güvenlik testleri yapmak gerekiyor. Malesef işin bu kısmı hep eksik kalıyor.

Bunun için basit ama etkili uygulayabileceğiniz yöntemler elbette var.  Evet bazı araçlardan bahsediyorum. Ancak bu araçları burada anlatmayacağım. Sebebine gelince bu araçlar bilgisiz kişiler tarafından kullanıldığında yada sadece tek başına kullanıldığında malesef hiçbir işe yaramıyor. Uzman bir göz bu araçları sadece yardımcı olarak kullanabilir ama aslında yazılım güvenlik uzmanları bu konuda yazılımı çok iyi testlere tabi tutup sonrada detaylı olarak incelemeli hem dışarıdan saldırı tekniklerini uygulayarak hemde yazılan kodun kalite ve güvenlik kontrollerini yapmalı.

Son zamanlarda bu konuda kendimi oldukça geliştirmiş biri olarak şunları söyleyebilirim.

  • Mutlaka yazılımcıyı güvenlik testlerine tabi tutan dışarıdan bir yöntem belirleyin
  • Sadece yazılımı değil kurduğunuz yapıyı da , organizasyonuzu da güvenli hale getirin.
  • Güvenlik ve güvenli yazılım geliştirme birarada yürütülmesi , bilinç seviyesinin bu anlamda artması açısından çok önemli.
  • Çalışan ekip küçük bir ekipte olsa büyük bir organizsyon da olsa bu değişmiyor bu iş için dışarıdan bu işi bile iyi danışmanlar gerekiyor.
  • 27001 sertifikasına başvurabilirsiniz. Firmanızı , işletmenizi bu konularda çok bilinçlendirecektir. Bu sertifika alımı sırasında tüm güvenlik önemlerini almış olmanız, risk planlarını yapmış olmanız ve işletiyor olmanız gerektiğinden buda ön hazırlık sırasında bir danışman ile çalışmanız anlamına geliyor.
  • Sertifika alsanız da almasanız da risk yönetimi çok önemli. Güvenliğin bir parçası. Örneğin bir saldırı yaşadınız ve veri kaybına uğradınız. Risk planınız nasıl? Yani online yedek tutuyorsanız sadece bu çok riskli bunu farkedememiş olabilirsiniz ama çok yatırım yapılmış bir işiniz var diyelim. Hiçbirşeyi şansa bırakmamak sizin elinizde. Ancak birçok kişi bunu şansa bırakıyor bunu görüyorum ve şaşırıyorum. Ciddi ve her ihtimali göz önünde bulunduran yedek planları ve işin aksamaması için risk planları yapmak çok önemli.
  • Yazılım güvenliği dediğimizde bunu sadece yazılım güvenliği olarak algılanmaması gerektiğini anlamanız gerekiyor. Evet bu çok önemli ancak bir sorun oluştuğunda işin aksamadan devam etmesi de o yazılımın güvenliği kadar önemlidir.

Bu ve bunun gibi çok konu var. Bu konuya değinmeye devam edeceğim. Bilinçlenmek açısından bu çok önemli.

Şimdilik hoşçakalın.