Page 77 - st-proses-otomasyonu-2023-haziran
P. 77
siber güvenlik
ilk ve önemli tavsiyesi şirket mantığını sonuç, kritik varlıkların kapsamlı bir
düşünmek ve yönetimin desteğini sağ- listesinin oluşturulabilmesi ve bağlan-
lamaktır. Destek sağlamak için şirketin tının nerede yapıldığının belirlenebil-
sistemleri, alt sistemleri ve güvenlik ve mesidir. Değerlendirme ayrıca bağım-
işletim için zaruri veya kritik olan bile- lılıkları belirleyebilmeli, bu süreçlerin
şenleri yeterince iyi biçimde kavramış işletme/güvenliği için kritik riskleri
olması gerekir. Bu sağlandıktan sonra belirleyebilmeli ve bu risklere uygun
yönetime herhangi bir bileşenin etki- yanıtları, sistemlerin bölge ve hatlara
lenmesi durumunda olası etkileri ak- ayrılmasını içeren, şirketin kabul ede-
tarmak daha kolay hale gelecektir.[4] bileceği risk seviyelerine azaltacak kar-
şı önlemleri belirleyebilmelidir. [15]
Kritik Varlıklar
Gizliliği ihlal edildiği takdirde bir ku- Katmanlı Savunma
ruluş üzerinde yüksek finansal, sağlık- Bir EKS’deki en yaygın güvenlik açık-
sal, çevresel veya güvenliğe dair etki larından biri, tüm cihazların gerek
oluşturabilecek herhangi bir cihaz, kuruluş, misyon/iş süreçleri ve bilgi olmasa bile birbirleriyle iletişim kur-
kritik varlıklar arasında sayılır. Bir sistemleri (IT ve EKS) seviyeleri olarak masına izin veren, koruma ve ayrım-
şirketin kritik varlıklarının listesi, risk tanımlanmıştır. [11][13] cılık amacıyla katmanlara ayrılmamış
yönetim analizinin temelini oluşturur, Risk yönetimi, yatırım, bütçeleme, ya- “yatay” ağların kullanılmasıdır. Bu
gelecekte alınacak kararlarda bir reh- sal sorumluluk, güvenlik, envanter ve istenmeyen bir senaryodur, tehditlerin
ber görevi görür. [18] yayılmasını (harici faktör) ve iletişim
tedarik zinciri riskleri gibi farklı alan-
larda şirketin maruz kaldığı farklı risk bozulmasını (dahili faktör) kolaylaştı-
Şirket Gerekçeleri türlerini değerlendirmeyi ve anlamayı ran farklı içsel ve dışsal faktörlerden
Şirketin kritik varlıklarını belirle- amaçlar. [9][10][12] kaynaklanır. Her ikisine de ağ üzerin-
mesinden itibaren yönetimi devreye EKS‘nin risk değerlendirmesini ya- deki veri iletişiminin gerekli biçimde
sokmak ve yönetimden geliştirilecek pabilmek için, değerlendirilecek sis- kontrol edilememesi neden olur. [30]
siber güvenlik planına yatırım yapma temin (System under Consideration, Bu tür sorunları ele almak için, yüksek
güvencesini almak gereklidir. Üst dü- SuC) kapsamı ve sınırlarının tanım- düzeyde siber güvenlik risk değerlen-
zey yönetim, CSMS’in yeterli kaynak lanması gereklidir. SuC tanımlandık- dirmesi tamamlandıktan sonra, Su-
ve desteğe sahip olacağını güvenceye tan sonra, tehditleri ve zayıflıkları C’nin ilk bölümlendirmesine başlamak
almak için şirketin temel ilkelerini be- sistemli olarak tanımlamak, analiz et- gereklidir. Ayrılan her bölüm bir “böl-
lirlemede aktif rol oynamalı ve onay- mek ve riskleri potansiyel sonuçları- ge” olarak adlandırılır. Bölge kavramı
lamalıdır. Böylece CSMS gerektiğin- na göre önceliklendirmek gereklidir. bir sonraki bölümde detaylandırılmış
de sistemde ve tüm işletme boyunca Aynı zamanda, varlık önem derecesi olmakla birlikte, daha geniş bağlamda
gerekli değişiklikleri uygulamaya ve operasyona olan bağımlılıkların da bir katmanlı savunma yaklaşımının da
koyabilir. Bazı durumlarda yönetim tanımlanması önemlidir.[9] önemli bir parçasını oluşturur. [18]
ekibine sunmak üzere IEC 62443 stan- Katmanlı savunma, bir potansiyel
dartlarının da önerdiği üzere bir iş Risk şu formülle hesaplanır: [1][2][4] saldırgan veya izinsiz giriş yapan bir
mantığı oluşturmak gerekli olabilir. İş Tehlike Olasılığı = Tehditin Gerçek- kişiye karşı farklı seviyelerde veya
mantığı, olası tehditlerin ve işe olası leşme Olasılığı x Etki Büyüklüğü [1] katmanlarda koruma sağlayan bir as-
etkilerinin bir listesinden oluşur. Bu Risk = Tehlike Olasılığı x Etki [2] keri kavramdır. Bir ağ söz konusu ol-
listeye olası etkilerin yıllık masrafla- EKS için uygulanabilecek iki farklı risk duğunda, bu yaklaşımın sonucunda
rı ve alınabilecek önlemlerden doğan değerlendirmesi türü vardır: yüksek sistem boyunca farklı, özelleştirilmiş
masraflar da eklenir. Bu listeyle risk- seviyeli ve detaylı risk değerlendir- siber güvenlik karşı önlemlerinin uy-
lere genel bir bakış elde edilirken bu meleri. İsimlerinden de anlaşılabilece- gulanmasıdır. Teknoloji ile yakından
riskleri tahammül edilebilir düzeye ği gibi, bir yaklaşım özellikle yüksek ilişkili olsa da, katmanlı savunma, ko-
çekmenin giderleri de görülebilir, seviye hassasiyete sahip konularla il- numlandırılmasının bir parçası olarak
böylece yönetimin desteğini alma ih- gilenirken, diğeri farklı risk türlerine insanlar ve süreçleri de dikkate alma-
timalleri de yükseltilmiş olur. [4][7][8] detaylı bir bakış gerektirir. İş mantığı lıdır. Katmanlı savunmanın önemli
ve iş durumu için genellikle yüksek unsurlarından başlıcaları fiziksel gü-
Risk Değerlendirmesi seviyeli risk değerlendirmesi yapılır, venlik, EKS ağ mimarisi (bölgeler ve
Yönetim ekibi, CSMS’i desteklemeye akabinde tasarımın içerisine özel kar- hatlar), EKS ağı sınır güvenliği (gü-
ve benimsemeye karar verdiğinde, bir şı önlemlerin dahil edildiğinden emin venlik duvarları ve atlama sunucula-
risk değerlendirmesi yapmak önem- olmak için detaylı bir risk değerlendir- rı), ana bilgisayar veya cihaz güven-
lidir. Şirket içinde birçok farklı grup mesi yapmak da elbette gereklidir. [4] liği, güvenlik izleme, insan faktörü ve
arasında ilişki ve işbirliği gerektirir. [9][10][13][14] Bu adımdan beklenen tedarikçi yönetimidir. [10][19]
Bu seviyeler, NIST (Ulusal Standart-
lar ve Teknoloji Enstitüsü) tarafından
ST Proses Otomasyonu Haziran 2023 75
