ateş

SİBER GÜVENLİK VE PCI DSS
Siber Güvenlik önemli bir kaygı haline geldi
Günümüzde teknolojik ilerlemelerin hiç olmadığı kadar hızlanmasıyla birlikte birey olarak bizler de interneti ve mobil cihazlarımızı kullarak devlet ödemelerimizi, market alışverişlerimizi ve benzeri pek çok hizmeti interneti kullanarak almaya başladık. Şirketlerin de daha çok müşteriye ulaşma stratejisiyle sistemlerini internet ortamına açmasıyla birlikte siber güvenlik şirketler için önemli bir kaygı haline gelmeye başladı. Buna karşın 90’lı yıllarda birey olarak gördüğümüz bilgisayar korsanları artık ordu olarak karşımıza çıkıyor ve bu durum güvenlik kaygılarımızı arttırdı.
Peki kaygılarımız ne kadar gerçek ?
PCI DSS ve kredi kartının korunması
Ödeme Kart Endüstrisi Veri Güvenliği Standartı (PCI DSS), küresel olarak kabul görmüş ve kurumlarında kredi kartı bilgilerini korumasında yardımcı olacak kontroller bütününü tanımlayan bir standarttır. 12 ana kontrol hedefinden oluşmaktadır ve çok katmanlı olarak kontrolleri içermektedir:
Söz konusu kontroller tam anlamıyla uygulandığında veri sızmaları risklerini kabul edilebilir seviyelere kadar düşürmektedir. Bununla birlikte PCI DSS gelişen ve yenilenen bir standarttır. 15 Nisan 2015 tarihinde PCI Güvenlik Konseyi yeni sürüm olan PCI DSS v3.1’i yayınlamıştır. Konsey standartta büyük bir değişikliği normalde 36 ay periyodunda gerçekleştirmekte ve bu sayede güvenlik tedarikçilerinin yeniliklere uyum sağlaması için makul süre sağlamaktadır. Baktığımızda 2.0 sürümünden yakın zamanda 3.0 sürümüne geçilmişken ve değerlendirme formlarında (SAQ) büyük değişiklikler yapılmışken yeni sürüme geçme ihtiyacı neden kaynaklanmıştı? Burada sihirli kelime POODLE.
Güvenliğin ve en iyi uygulamaların yaşam döngüsünde unutulmaması gereken, tehditler evrimleşir ve gelişirken standartlarında evrimleşme ihtiyacı olduğudur, PCI standartındaki bu değişiklik buna güzel bir örnek teşkil etmektedir.
Güvenlik evrimini takip ederken risk bazlı yaklaşım
Üye işyerleri ve servis sağlayıcılar PCI uyumluluğuna çeşitli farklı yöntemlerle yaklaşmaktadır. Genelde görülen yaklaşım uyumluluk esaslıdır ve artık risk (Residual Risk) üzerine yoğunlaşılan bir yaklaşım sergilenmektedir. Bununla birlikte veri sızma riskini bertaraf edecek şekilde yol haritası çıkarılması, uyumun sağlanmasında ve gizli bilgilerin korunmasında devamlılık vaat etmektedir.
Risk bazlı yaklaşımın başarıya ulaşması için aynı zamanda;
ü Risk envanterinin kapsamdaki sistemleri içermesine dikkat edilmesi.
ü PCI DSS’in her zaman genel risk yaklaşımında bir kontrol yaklaşımı olarak benimsenmesi.
ü Gerekli önceliklendirme yapılarını kullanarak risk giderme planları hazırlanması.
Önem arz etmektedir.
Doğru kararı vermek çok önemli
Risklere istinaden her zaman doğru kararları veremeyebiliyoruz. Bunu da bazı bilindik nedenlerle yapamamaktayız.
Standart incelendiğinde, pek çok noktada risk bazlı karar almamıza bizleri zorluyor ve bu kararı verirken risk süreçlerimizin işlerliği çok önem kazanıyor.
Örnek vermek gerekirse 6.1 maddesinde “Güvenlik açığı bilgisi için tanınmış dış kaynakları kullanarak, güvenlik açıklarını belirlemeye yönelik bir süreç oluşturun ve yeni keşfedilen güvenlik açıklarına bir risk derecelendirmesi atayın.” Hatalı risk atamalarının yapılması pek çok noktada zafiyetlerin oluşmasına neden olacaktır.
Siber güvenliği üst seviyeye çıkarmak için öneriler
Son olarak PCI DSS kontrolleri özelinde 365 gün güvenliğin sağlanabilmesi için birkaç notumuz olacak;
[1] 2015 Veri Sızma Maliyet Çalışması: Küresel Analiz (IBM and Ponemon Enstitüsü) – PCI konseyi
[2] PwC anketi - Verizon 2015 PCI Uyumluluk Raporu
[3] Verizon 2015 PCI DSS Uyumluluk Raporu
This website uses cookies.
Some of these cookies are necessary, while others help us analyse our traffic, serve advertising and deliver customised experiences for you.
For more information on the cookies we use, please refer to our Privacy Policy.
This website cannot function properly without these cookies.
Analytical cookies help us enhance our website by collecting information on its usage.