pusula sayı 1

GÜVENLIK.

İÇTENDIŞA

sorumlusu aranıyor!Verİ Kaybının

Verİ GüVenlİğİ AnlAyışımız Değİşİyor

orAcle’ın İçten DışA GüVenlİk yAklAşımı Ve Verİ GüVenlİğİ

exADAtA GüVenlİğİ: tüm yumurtAlAr tek Sepette!

Verİ GüVenlİğİ şArt AmA neDen?

Bu ne hız!

Veri güvenliğine gereken önemi vermeyen şirketlerin “kötü deneyimleri” yukarıdaki manşet gibi gazeteleri süslüyor. Siz de hacker’ların hedefi olmadan ve manşetlere bu sebeple çıkmadan gerekli önlemleri alın. Son dönemde ülkemizde ve dünyada ortak ihmaller sebebiyle basında yer verilen haberlere istatistiksel veriler ile gelin birlikte bakalım.

Oracle veri tabanı bilgi güvenliği özellikleriyle öne çıkıyor.

Ancak şanlısınız ki bu sepet diğerlerine hiç benzemiyor.

Veri güvenliğini biliyoruz, peki ama veri güvenliği farkındalığımız ne durumda?

Oracle, bilgi güvenliğinin bileşenlerinden biri olan kimlik yönetimi servislerinde de çok yüksek ölçeklenebilir mimari tasarıma sahip.

hüSeyİn Özel Bilgi Güvenliği Ürünleri Satış Yöneticisi

Fİlİz DoğAn Oracle Türkiye Genel Müdürü

onur ArSun Orta ve Doğu Avrupa Güvenlik Ürün Lideri

orkun erArDAğ Endüstri ve BT Stratejileri Insight Direktörü

turGut AyDın Bilgi Güvenliği Çözümleri Satış Danışmanı

Bu GAzeteyİ neden okumAlıSınız? Son dönemde basında yer alan haberlere kayıtsız kalamazdık.

GÖkçe İlSeVer İş Ortakları Kampanya Yöneticisi

Veri Maskelemede Lider!Gartner, ilk kez yaptığı maskeleme değerlendirmesinde Oracle’ı dünya lideri ilan etti.SAyFA 6

Kimlik Yönetiminde TrendlerBir sistem yöneticisinin kimlik yönetimi konusunda nelere dikkat etmesi gerektiğini biliyor musunuz?SAyFA 7

SAyFA 3

SAyFA 2

SAyFA 10-11

SAyFA 4

SAyFA 5

SAyFA 8

SAyFA 8

>>

Oracle veri güvenliği paneli yapıldı

Oracle Kimlik Yönetimi İnovasyon Ödülü Yine Türkiye’de

Panelde, Oracle çözümlerini kullanan sektöründe lider kurumlar, katılımcılarla tecrübelerini paylaştılar.

Oracle her sene kimlik yönetiminin de içinde bulunduğu değişik kategoriler için “Fusion Middleware Innovation Awards” dağıtıyor. 2011 senesinde TTNET’in erişim yönetimi projesinin layık görüldüğü ödül, bu sene de Avea’nın projesine gitti.

SAyFA 5

SAyFA 4

UZMAN GÖRÜŞÜTarafsız bölge olarak ta adlandırdığımız bu bölümde uzmanlar veri güvenliği ile ilgili yasal düzenlemeleri mercek altına alıyor. Yasalar başta müşteri bilgileri olmak üzere tüm önemli verilerin güvende olmasını öngörüyor.

Paradigma’mız Yönet, Sapta ve Önle. İlkemiz, Security Inside Out.

SAyFA 9-12

Tek ÜRÜN hem de daha MAkUl fİyAtAVeri tabanı aktivitelerinin izlendiği ve iz kayıtlarının analizinin yapılabildiği Oracle’ın yeni ve bütünleşik çözümü Oracle Audit Vault - DB Firewall duyuruldu.

eDİtÖrDen:

orAcle Ve orAcle İş ortAklArı tArAFınDAn yAyınlAnmıştır, ücretSİzDİr. SAyı: 1

puSulA

SAyFA 2

GÜVENLIK.

İÇTENDIŞAO r a c l e D Ü N Y a S I N D a N2

Audit Vault - Database Firewalltek ÜRÜN, heM de çok dAhA MAkUl fİyAtA

Veri tabanı aktivitelerinin izlendiği ve iz kayıtlarının analizinin yapılabildiği Oracle’ın, yeni ve bütünleşik çözümü Oracle Audit Vault ve DB Firewall (AVDF), 2012 Aralık ortalarında tek ürün olarak duyuruldu.

Oracle güvenlik çözümleriyle ilgili detaylı bilgi almak için www.bilgicozumleri.com/guvenlik adresindeki kayıt formunu doldurarak sizinle iletişime geçmemizi sağlayabilir veya 0212 335 22 38 numaralı telefonumuzdan bize ulaşabilirsiniz.

Güvenlik gazetemizin bu ilk sayısında bildiğiniz güvenlik paradigmalarını size yeniden hatırlatmak istiyorum.

Paradigmayı ilginç bir hikayeyle açıklayabiliriz.Karanlık bastıktan kısa bir süre sonra savaş gemisinin gözetleme yerinde iskele tarafındaki nöbetçi haber verdi

“Işık. Baş sancak tarafında.”Komutan seslendi: “Sabit mi, yoksa tornistan mı yapıyor?”Nöbetçi “Sabit, komutanım” diye cevap verdi. Bu, o gemiyle çarpışma rotası üzerinde olduğu anlamına geliyordu. Komutan nöbetçiye emir verdi: “Gemiye sinyal gönder: Çarpışma rotasındayız. Rotanızı 20 derece değiştirmenizi öneriyoruz.” Karşıdan şu sinyal geldi:”Rotanızı 20 derece değiştirmeniz önerilir.”Komutan, “Sinyal gönder,” dedi. “Ben komutanım. Rotayı 20 derece değiştirin.”Karşıdaki, “Ben deniz onbaşısıyım, rotanızı 20 derece değiştirseniz iyi olur.”Komutan bu arada iyice öfkelenmişti. Hırsla emretti.”Sinyal gönder! Ben bir savaş gemisiyim. Rotanızı 20 derece değiştirin.”Karşıdaki ışıklarla işaret verdi: “Ben bir deniz feneriyim.”

Bu kısa hikayede de yaşandığı üzere; sadece izleyerek güvenlik sağlamamız mümkün değil, anlayışımızı değiştirmemiz gerekiyor.

6 MİLYOn pArOLA çALınDıVeri güvenliğinde de kurumlar artık

algılarını değiştirmek zorundalar. Sadece reaktif çözümlerle veri güvenliği sağladığımız zamanlar çoktan geride kaldı. Artık kurumlar pro-aktif çözümler geliştirerek verileri kaynağında korumak zorundalar. Kamu kurumları gibi politik veya milli güvenliği ilgilendiren belgelere sahip kurumlar risk altında. Hırsızlar müşteri verisinin peşinde. Dünyanın en büyük profesyonel sosyal iletişim ağı olan firmada 6 milyon parola çalındı. Artık hedefte sadece bir firmanın fikri mülkiyet hakları değil müşteri verisi de var. Müşteri verisini güvenlik sorunlarıyla hırsızlara kaptırmak utanç verici ve markaya zararı büyük. Japon elektronik devinin oyun sitesinde büyük çaplı bir hırsızlık yaşandı. Artık hırsızlar daha cesur ve büyük miktarlarda bilgiyi hedefliyor. Kredi kartı bilgileri çalınması sadece habere manşet olan şirkete zarar vermedi; tüm endüstride milyarlarca dolar zarara neden oldu.

7 MİLYAr DOLArLıK YOLsuzLuK

Fransız finans şirketinde ise farklı bir durum var; hırsızlar içerideler. Başarılı bir yatırım temsilcisi, denetimleri bypass ediyor, gereğinden fazla erişim yetkisine sahip

oluyor ve sonuçta 7 milyar dolarlık yolsuzluk yapıyor. Dünya çapında bu tip saldırıların toplam maliyeti 1 trilyon doları aşıyor. Örneklere baktığımızda risklerin çoğunlukla içeride olduğunu görüyoruz• Profesyonellerintakipettiğibirsitede

parolaların MD5 gibi nispeten zayıf bir algoritmayla hash’lenmiş olduğunu,

• Fransızfinansşirketindeaşırıyetkilibirkullanıcının tanımlandığını,

• Japonelektronikdevindekredikartıverisininin şifreli bile olmadığını,

• Yüksekeğitimidüzenleyenkurumdazayıf ve uzun süredir değiştirilmemiş bir parolanın kullanıldığını görüyoruz.

Tehlikeler dışarıda başlıyor ama içerideki riskleri açığa çıkararak gerçekleşiyor.

İçTen DıŞA GÜVenLİKOracle olarak veri güvenliğini sağlamak

adına, pro-aktif olmayı hedefliyoruz. Kendi denetimlerimizi yapıyoruz ve güvenlik açıklarını birlikte tespit ediyoruz. DB Security Assessment ve Security Insight çalışmaları bunlardan ikisi. Bu hizmetler, Oracle’ın ücretsiz olarak sağladığı hizmetlerdir. Oracle veri güvenliği için, “Security Inside Out (İçten Dışa Güvenlik)” konseptinde öncelikle verilerinizin durduğu noktadan veri güvenliğini sağlamanızı önermektedir.

Network içerisinde alınan güvenlik önlemleri anlamlı ama yetersiz, güvenlik çözümleri veri tabanı üzerinden başlamalıdır. Oracle bu amaçla veri tabanı güvenliğini 3 başlık altında toplamıştır. Sapta, Önle ve Yönet.

ÖncÜ Ve ÖnLeYİcİ OLun Sapta, tüm veri tabanı sistemlerinizin

aktivitelerini görün, hangi kullanıcı, hangi sistem üzerinden, ne zaman, ne tür işlemler yapıyor, bunu bilin. BBG evi misali, verilerinize erişimi gözetleyin, veri tabanı sistemleri üzerine ajanlar yerleştirin, veri tabanınızın network bağlantısının önüne ateşten duvar örün. Bu duvar istediğinizde önleyici çözümler de sunsun. Saldırıyı veri tabanına erişmeden önleyebilsin. Size uyarılar, mesajlar göndersin ki saldırılardan haberiniz olsun. SOX gibi regülasyon uyumlu raporlar alın, bunları kanıt olarak sunun. Önle, bulduğunuz kanıtlara seyirci kalmayın, re-aktif olmayın, pro-aktif çözümler geliştirin. Veri tabanı erişimlerinizi yönetin, 5N1K sorularının cevaplarını siz tanımlayın, erişim politikaları belirleyin, öncü ve önleyici olun.

Paradigma’mız Yönet, Sapta ve Önle. İlkemiz, Security Inside Out, haritamız Oracle Security Assessment Services (OSAS), çözümlerimiz, her kurum için özel, kolay, uyumlu Bilgi Güvenliği Çözümleri.

AVDF, Oracle ve Oracle olmayan veri tabanı yönetim sistemlerinin iz kayıtlarının merkezi olarak kayıt altına alınmasını ve analiz

edilmesini sağlamaktadır. Yeni ürün aynı zamanda Microsoft Active Directory ve işletim sistemlerinin de iz kayıtlarının toplanması için ek kollektörler sunmaktadır. Bu ek çözümle birlikte yeni Oracle AVDF sadece veri tabanı sistemleri değil aynı zamanda XML tabanlı yeni kollektör mimarisi ve SDK’sı (Software Development Kit) ile diğer sistemlerden de iz kayıtlarının toplanması için imkân sağlamaktadır. Oracle AVDF bir yazılım çözümüdür, ek olarak bir

donanım içermez, bu anlamda var olan donanımlar üzerinde kolay kurup, konfigüre edebileceğiniz bir yazılımdır. Yeni çözüm tek bir yönetim konsolundan yönetilebilmektedir. Veri tabanı kollektörleri ya da DB Firewall üzerinden gelen tüm iz kayıtları bu tek yönetim ekranı üzerinden izlenebilmekte ve kutudan hazır çıkan SOX ve benzeri regülasyonların kullanımına hazır raporları ile birlikte sunulmaktadır. Rol tabanlı erişim yönetimiyle web ekranı kullanıcılara göre otomatik olarak değişmektedir.

Database Firewall olarak adlandırılan bileşeni, network seviyesinde, network switch üzerinden tüm SQL cümlelerinin kopyalanarak audit edilmesini sağlamaktadır. DB Firewall aynı zamanda inline olarak veri tabanı ile network switch arasında pozisyonlandırıldığında, SQL cümlecikleri bloklanabilmekte ya da başka bir SQL cümleciği ile değiştirilebilmektedir. Bu amaçla DB Firewall kara liste SQL cümleleri ile SQL injection ataklarına karşı koruyucu bir önlem olarak da kullanılabilir.

Oracle veri tabanı kadar hızlı SQL

Verİ GÜVenLİğİ AnLAYıŞıMız OrAcLe çÖzÜMLerİ İLe DeğİŞİYOrParadigma’mız Yönet, Sapta ve Önle. İlkemiz Security Inside Out. Haritamız Oracle Security Assessment Services (OSAS)Hüseyin ÖZEL, Bilgi Güvenliği Ürünleri Satış Yöneticisi / [email protected]

parsing özelliği ile SQL cümleleri hızla parse edilir ve analizi sonucunda ataklar önlenir, gerekli uyarı mekanizmaları çalıştırılır ve sistem yöneticileri anında saldırıdan haberdar edilir. Audit Vault ve DB Firewall birleşmesi, fiyat açısından da ciddi bir değişim yaşamıştır ve artık çok daha makul fiyatlarla sunulmaktadır. Önceki dönemde, lisanslama modelinde Management Server

olarak adlandırılan, ürünün yönetimi için kullanılan Sunucu artık lisanslanmamaktadır. DB Firewall ya da Audit Vault Kollektörü, kullanmış olduğunuz hedef sistem üzerinden lisanslanmaktadır. Bu lisanslama diğer modele göre de çok daha uygundur. Fiyatlar hakkında daha fazla bilgi almak için benimle yukarıdaki email adresimden iletişime geçebilirsiniz.

Identitiy Governance (Kimlik Yönetişimi), Kimlik Yönetimi’nden öteye, Kimlik Yönetimi’nin de içinde bulunduğu Rol Yönetimi ve Yetkili Hesap Yönetimi’ni de içeren Oracle ürün ailesidir. Kimlik Yönetişimi ürün ailesi çözümüyle kurum kimlik yaşam döngüsü ile birlikte rol yaşam döngüsü de yönetilmektedir. Kimlik Yönetiminin bir parçası olan rol - tabanlı erişim politikalarının (RBAC) belirlenmesi için kurum içindeki rollerin tanımlanması gerekmektedir. Kimi zaman kimlik sayısından fazla bulunan kurum rollerinin bulunması RBAC’lerin tanımlanmasını zorlaştırmaktadır. Bu amaçla Oracle Identity Analytics kurum rollerinin analiz edilmesini sağlamaktadır. Yetkili Hesapların Yönetimi için Oracle Privileged Account Manager’da (OPAM) bu ürün ailesi içinde yer almaktadır.

IdentIty Governance

o r a c l e S e c u r I t y

Bu gazete EMY Medya Tarafından Oracle ve Oracle İş Ortakları

Adına Hazırlanmıştır.EMY Medya YayıncılıkTel: 0212 275 22 66Fax : 0212 275 22 76Adres: Fulya Mah. Ortaklar CaddesiÖrmeci Sokak, Neşe Ap. No: 2 Kat: 4 Daire: 9 34349 Mecidiyeköy/İSTANBUL E-posta : [email protected]

GÜVENLIK.

İÇTENDIŞA O r a c l e D Ü N Y a S I N D a N 3

Oracle’ın içten dışa güvenlik yaklaşımı ve veri güvenliği

oracle, uygulamaların, verilerin, web servislerinin ve bulut tabanlı hizmetlerin korunması için sektörün en gelişmiş erişim güvenliği çözümünü sunmaktadır. Entegre edilmiş modern bir mimari üzerine kurulmuş olan Oracle Access Management çözümü, müşterilere kimlik doğrulaması, çoklu oturum açma, yetkilendirme, federasyon, mobil ve sosyal oturum açma, kimlik yayma ve ağ çevresinde risk tabanlı kimlik doğrulaması ile yetkilendirme imkânları sunan kapsamlı bir çözüm grubunu kullanma imkânı verir.

acceSS ManaGeMent


Kritik verilere yönelik saldırıların arttığı bir dönemde Oracle Türkiye Genel Müdürü Filiz Doğan ile yaptığımız söyleşide Oracle’ın veri güvenliği yaklaşımını değerlendirirken, değişen riskler karşısında BT yöneticilerinin önceliklerini belirlemeye çalıştık.

Oracle’ın misyonunu “Güvenlik Çözümleri İş Ortağı” olmak olarak özetleyen Oracle Türkiye Genel Müdürü Filiz Doğan

“Vizyonumuz ise ‘İçten Dışa Güvenlik’ için koruyucu, yönetici ve gözetleyici bilgi güvenliği çözümleri sunmaktır” dedi.

Oracle’ın bilgi güvenliği çözümlerinden bahseder misiniz? Bu çözümleri nasıl gruplayabilirsiniz ve işleyişteki metadolojisi hakkında bilgi verebilir misiniz?

Oracle, içten dışa güvenlik yaklaşımı ile veri tabanı katmanından, son kullanıcıya kadar güvenlik çözümleri sunmaktadır. Her katmanda güvenlik çözümleri gözlemleyici, koruyucu ve yönetici özellikler taşımaktadır. Bu temel özelliklerle şirketlerin ve kurumların veri tabanı seviyesinden son kullanıcıya kadar sağlamış olduğu veri ve bilgiler korunmaktadır. İşleyişine ve sürece kısaca gözatmak gerekirse; koruyucu özelliklerle bilginin kimler tarafından erişilebilir olduğu ve en temel güvenlik ilkesi olan ‘görevler ayrılığı’ ilkesi tanımlanır.

Bu sayede her kullanıcı, ihtiyaç duyduğu bilgiye yetkisi ve rolü seviyesinde ulaşır. Bu işleyişte, yönetici konumdaki kullanıcılar, temel görevleri olan sistem ve bilginin erişilebilirliğini yönetirlerken, son kullanıcılar bilginin yönetimini ilgili

uygulamalar üzerinden yine yetkileri dahilinde yapabilmektedirler.

Koruyucu özelliklerden bir diğeri ise verilerin şifrelenerek saklanmasıdır. Veri tabanı seviyesinde veriler erişilebilir oldukları her noktada ve bulundukları yerde kriptolanmalıdır. Ancak son kullanıcının uygulamalar üzerinden erişebileceği bu veriler, her zaman anlamlı ve anlaşılır olmalıdır. Son kullanıcılar dışındaki erişimlerde, ağ ve veri tabanı seviyesinde veri, maskeli ve kriptolu saklanmalıdır.

Maskeleme üretim ortamından, uygulama geliştirme ortamına kadar yapılmalıdır. Oracle Maskeleme Çözümleri, canlı verilerin farklı veri tabanlarına aktarılması sırasında bilgilerin bütünlüğünü koruyarak hazır şablonlarla verilerin karışık halde uygulama geliştiriciler tarafından test edilmesini sağlamaktadır.

Oracle’ın Database Vault, Advanced Security, Label Security, Data Masking çözümleri ile veri tabanı seviyesinde %100 veri güvenliği sağlanır.

Koruyucu özelliklerin yanında gözetleyici özellikler ise; saldırıların, ne zaman, nasıl ve kim tarafından yapıldığını analiz edilmesini sağlar. Koruyucu özellikler sayesinde bilginin nasıl korunacağını tanımladıktan sonra gözetlemesinin yapılması gerekmektedir. Gözetleme, network seviyesinde ve veri tabanı seviyesinde yapılır. SQL injection gibi saldırılar için, yapılan veri

tabanı sorguları gözetlenmelidir, hatta bu aşamada önleyici ve koruyucu çözümler kullanmak gerekmektedir. Örneğin, SQL incelemelerinden doğan kara liste ve beyaz liste SQL’ler tanımlanmalıdır ve gerekli durumlarda uyarı kanalları ile sistem yöneticileri anlık olarak bilgilendirilmelidirler.

Oracle, bulut ortamlar da dahil olmak üzere veri tabanı yönetiminin kolaylıkla yapılabilmesi adına, müşterilerine geniş özelliklere sahip olan bir Yönetim Konsolu sunmaktadır. Şirketler, veri tabanlarının performanslarından, patch seviyelerine ve de veri maskelemesine kadar her türlü veri ve güvenlik yönetimini bu konsol üzerinden yapabilmektedir.

Tüm veri tabanı kullanıcı yönetimi, merkezi bir LDAP sunucusu üzerinden yapılabilmektedir. Kullanıcıların yetki ve hakları, bu konsoldan yönetilebilmektedir.

Oracle veri tabanının yeni versiyonu ile birlikte gelen yeni özellikler, veri tabanı yöneticilerinin işlerini artık daha da kolaylaştırmaktadır. Veri tabanlarında tanımlanmış tüm hakların gözden geçirilmesini sağlayan “Yetki Analizi” ve hassas verilerin tanımlanmasını sağlayan “Sensitive Data Discovery” bu yeni özelliklerden sadece iki tanesidir.

Orta Katman Bilgi Güvenliği çözümleri hakkında bilgi verebilir misiniz? Oracle’ın orta katman güvenliğinde adreslediği iş ihtiyaçları hangileridir?

Oracle içten dışa güvenlik çözümlerinin orta katmanında da her bir ihtiyaç için güvenlik çözümleriyle müşterilerinin güvendiği bir Bilgi Güvenliği İş Ortağı haline gelmiştir. Yıllardır kazandığımız tecrübeler ile, orta katmanda bilgi güvenliği iş ihtiyaçlarının 3 temel noktada birleştiğini görüyoruz. İlki ve en önemlisi kimlik depolarıdır. Dolayısıyla, Oracle Kimlik Yönetimi çözümlerinin ilk ürünü Oracle LDAP sunucusudur. Oracle’ın Sun’ı satın almasıyla birlikte dizin sunucuları ile ilgili yapılan çalışmaları geliştirerek ürün portföyünü geliştirmeyi başardı ve yeni nesil kimlik depolama sunucuları geliştirdi. Bu

sunucular ekstra bir veri tabanı ihtiyacına gerek duymadan, 3 kat daha hızlı bilgi yazma ve 5 kat daha fazla bilgi sorgulama özelliğine sahiptir. Ayrıca sanallaştırma çözümleriyle farklı LDAP sunucuları, veri tabanı kaynakları hem LDAP protokolleri, hem de farklı teknolojilerle uygulama geliştiricilere kimlik depolarına erişimlerinde sanallaştırma çözümleri sunmaktadır.

Kimlik depoları kurumların Kimlik Yönetimi çözümlerinin kalbini oluşturmaktadır. Bu temelin üzerinde kurulan diğer 2 önemli özellikle Erişim Yönetimi ve Kimlik Yönetişimi çözümleri kurumun, AuthN, AuthZ ve Audit dediğimiz 3A niteliğini kazanmasını ve bu sayede etkin, yetkin kimlik yönetimi ve erişim yönetimi yapmasına imkân vermektedir.

Bilgi Güvenliği konusuna ve çözümlerine kurumların yaklaşımını nasıl değerlendiriyorsunuz?

Regülâsyonların ve denetimlerin etkisiyle bilgi sistemleri yöneticileri bilgi güvenliği çözümlerine daha fazla yatırım yapmaya başladılar. Özellikle bankacılık ve telekomünikasyon sektörünün önderliğinde bilgi güvenliğine ve çözümlerine yapılan yatırımlar artmıştır. Temelde re-aktif çözümler uygulayan kurumların artık daha çok pro-aktif çözümler uygulamaya başladıklarını görüyoruz. Artık sadece gözetlemek yeterli olmuyor, detaylı politikalarla bilgi erişiminin nasıl ve kimler tarafından yapılması gerektiği net bir şekilde tarifleniyor. Regülâsyonların yanı sıra Bilgi Hırsızlığı adına yapılan saldırıların da şekil değiştirdiğini görüyoruz. Artık saldırılar tamamen kişisel bilgileri çalmak adına yapılıyor. Bilgi hırsızları, GSM operatörlerindeki konuşma kayıtlarından kredi kartı bilgilerine ve hatta sağlık verilerinize kadar farklı bilgilerin peşindeler. Seçtiğimiz fotoğraflara kadar geniş bir ölçekteki bilgileri kişilik analiziniz için kullanılabiliyorlar. Bu anlamda, yasal düzenlemeler ve denetimler olsa da olmasa da her kurum kendi verilerinin güvenliğini “Kişisel Verilerin Gizliliği İlkesinde” sağlamak zorundadır.

GÜVENLIK.


Exadata’nızı konsolidasyon ya da bulut hizmetlerinizi güçlendirmek için kullanıyorsanız, bunun bir anlamı var: Yumurtalarınızın hepsi bir sepette! Ancak şanlısınız ki bu sepet diğerlerine hiç benzemiyor.

Exadata’nın hız, maliyet, verimlilik ve rekabetçilik konularında size kazandırdıklarının tekrardan üstünden geçmemize gerek yok. Peki ya güvenlik? Şirketinizin ve müşterilerinizin pek çok kıymetli verisini artık Exadata üzerinde tutuyorsunuz. Araştırmalar da gösteriyor ki; saldırganların hedefinde artık sunucular ve sunucuların üzerindeki (özellikle de müşteriye ait olan) bilgiler var (Verizon Business Data Breach Investigations Report, 2012). Yani bu bilgilerin güvenliğini de es geçmemiz mümkün değil. Zaten pek çok sektördeki tüzük ve yönetmelikler da buna müsaade etmiyor ve belli kıstasları şart koşuyor.

Peki, hız ve verimlilik için yatırım yaptığınız bu cihazlarda maliyetleri arttırmadan güvenliği nasıl sağlayabilirsiniz? İyi haber de bunun cevabında yatıyor: Ayak izinizi küçülterek tüm verileriniz için daha fazla güvenliği, daha düşük karmaşıklıkta sağlayabilirsiniz. Hem de Exadata’nızın sunduğu üstün başarımdan ödün vermeyerek. Konsolidasyon öncesinde her bir uygulama için dedike kaynaklar; ayırıyorduk. Bu dedike kaynaklar onlarca, hatta yüzlerce veri tabanı içeren yazılım ve donanım kümeleri oluşturuyordu. İş güvenliğe gelince de, hangi kümede hangi hassas verinin yer aldığını saptamak güç olduğu için kümenin içindekileri değil, kendisini korumaya çalışıyorduk. Bunu da genelde ağ güvenliğiyle sağlıyorduk. Burada sorun aslında kendini anlatıyor, değil mi? Her küme için ayrı güvenlik yatırımı, bunları izlemek için ayrı kaynaklar ve günün sonunda saldırganların yapması gereken tek şey ağ güvenliğini aşmak – sonra bütün bilgiler ellerinin altında! Biliyoruz ki saldırganların derdi ateşduvarımızı yıkmak değil, verilerimize ulaşmak.

KArMAŞıK, YÖneTİMİ zOr, YÜKseK MALİYeTLİ Verİ TABAnı GÜVenLİğİ exADATA KuLLAnıcıLArı İçİn GeçMİŞTe KALDı

Exadata konsolidasyonları işte bu karmaşıklığı adresliyor. Artık verinizin nerede olduğunu biliyor, karmaşık topolojilerden kaçabiliyorsunuz. Ağ güvenliğinizi de daha basit olarak sağladıktan sonra geriye tek bir şey kalıyor: Konsolide ettiğiniz verinizi korumak ve buna erişimi kontrol etmek.

Bu noktada Oracle’ın veri tabanı güvenliği ürünleri, Exadata’nızda daha yüksek güvenlik ve verim sağlamak üzere devreye giriyor. Örneğin, veri tabanınız için şifreleme performansı Exadata üzerinde “Advanced Security Option” ile 10 kat daha hızlı. Uygulamalarda değişiklik yapmadan kullanabileceğiniz bu şifreleme ortamlarınıza karşı saldırıları da önlüyor. Veri tabanı yöneticileri veya uygulama hesapları gibi fazla yetkili kullanıcılarınızı yönetme imkânı sağlayan “Database Vault” ürünü görevler ayrılığı ilkesiyle, kimin hangi veriye erişebileceğini yüksek hassasiyet ve politikalarla kontrol etmenizi sağlıyor. Yeni sürümüyle beraber kabiliyetleri, başarımı ve rekabetçiliği arttırılan yeni konsolide ürünümüz Audit Vault & Database Firewall sadece Exadata’nız için değil, Oracle harici üreticilerin veri tabanları için de SQL grameri tabanlı trafik izleme, filtreleme, alarm ve engelleme imkanları sunuyor. Üstelik işletim sistemleriniz, veri tabanlarınız ve diğer uygulamalarınızdan da denetim verisi toplayıp korelasyonlar kurarak her bir şüpheli olayı detaylarıyla incelemenizi sağlıyor.

İster konsolidasyon, ister bulut için olsun Exadata sahibi olmak size daha kolay, merkezi ve verimli güvenlik için yeni bir kapı açıyor. Üstelik veriyi kaynağında korumanızı sağlıyor. Karmaşık, yönetimi zor, yüksek maliyetli veri tabanı güvenliği Exadata kullanıcıları için geçmişte kaldı.

Bu sene 250’den fazla projenin aday olduğu Oracle İnovasyon Ödülleri’nde, Avea 2012 senesinde başarıyla tamamladığı Kimlik Yönetimi Projesi’yle ödülü aldı.

San Francisco’da Oracle OpenWorld kapsamında gerçekleştirilen ödül töreninde Avea’dan Güvenlik Planlama ve Operasyon Müdürü Ulvi Cemal Bucak ve Güvenlik Planlama Süpervizörü Mahmut Küçük plaketi teslim aldı.

Peki Avea bunca projenin arasından nasıl sıyrıldı? Cevap projenin Avea’ya sağladığı hızlı yatırım getirisinde yatıyor. En önemli kazanım kalemi çağrı merkezi verimliliğin arttırılmasında. GSM operatörleri için çağrı merkezlerinin büyük ölçeğini yönetmek ve dinamikliğini sağlamak kritik bir konu. Daha önce Sun Identity Manager ile çalışan Avea’nın kimlik yönetimi altyapısı, Oracle IDM’e taşınırken önemli hassasiyetlerden biri de bu kritik konuyu adreslemekti. Altyapı çağrı merkezi çalışanlarının hızlı bir şekilde aldıkları çağrı profillerini değiştirebilmesi için tasarlandı.

OrAcLe ıDenTıTY AnALYTıcsBir diğer önemli kazanım da yardım masası

verimliliğini arttırarak sağlandı. Kullanıcıların SMS, IVR ve web önyüzleri gibi pek çok değişik kanaldan kolayca parola değiştirmeleri ve sıfırlamaları sağlandı. Artık Avea çalışanları parolaları için nadiren yardım masasına başvuruyorlar.

Bu projeyle beraber Avea, Türkiye’de çok da fazla benzeri bulunmayan ve özellikle teknoloji firmaları için hiç de kolay olmayan başka bir çalışmayı da başarıyla gerçekleştirmiş oldu: Kurumsal rol madenciliği. İnsan Kaynakları departmanın da yoğun desteğiyle, tüm kurumun organizasyonunu kapsayacak şekilde roller belirlendi. Bu çalışmada aşağıdan - yukarıya yaklaşım için Oracle Identity Analytics ürününden faydalanırken, sonuçlar yukarıdan - aşağıya yaklaşımla yapılan anketlerle desteklendi. Çalışmanın sonucunda çalışanların; işe giriş, transfer ve vekalet gibi İK süreçlerinin takibinde işlerini gerçekleştirmeleri için gerek duyduklara hesap ve yetkilere ulaşım süresi dakikalara indirildi.Örneğin bu sistem sayesinde işe girişi yapılan yeni bir çalışan aynı gün içerisinde hesap ve yetkilerine sahip olarak masasına yerleşebiliyor. Kurumsal rol modeli sayesinde, çalışanların fazla yetki sahibi olabilmesinden kaynaklanan riskler de adreslenmiş oluyor.

KİMLİK YÖneTİMİ sÜreçLerİProjenin sağladığı faydalar bunlarla sınırlı değil.

Avea’nın özelleşmiş istekleri için tasarlanan detaylı raporlama mekanizması, çalışanların mevcut ve tarihsel yetkilerinin hızlıca hazırlanmasını sağlıyor. Düzenli olarak yetki ve rollerin gözden geçirilmesini sağlayan sistem, tüzük ve yönetmeliklere uyumluluk konusunda Avea’nın süreçlerini destekliyor.

Tüm bu faydaların yanında projenin yürütülmesi de pek çok diğer çalışmaya örnek olabilecek nitelikte. Kimlik yönetimi süreçleri konusunda olgunluk seviyesi çok yüksek olan Avea, proje başlangıcında teknoloji birimlerinin yanı sıra, İK, Denetim, Müşteri İlişkileri ve Hukuk bölümlerinden ilgililerin de bulunduğu geniş bir proje ekibi oluşturdu. Bu sayede kurulacak yeni sistemden direk veya dolaylı olarak fayda görecek her fonksiyonun beklentilerinin karşılanması sağlandı. Avea’nın tecrübeli güvenlik ekibi, her aşamada projeyi destekleyerek işlerin zamanında bitmesini ve sonuçların gereksinimleri doğru olarak adreslenmesini sağladı. Gerçeklemeyi yapan Oracle Türkiye’nin tecrübeli danışmanlık ekibi, yerel çözüm mimarları ve Oracle’ın yurtdışı ürün mühendisliği ekibinin başarılı çalışmalarıyla, Avea’ya en uygun tasarımın ve çözümün en verimli ve çabuk şekilde sunulmasını sağladı. Bizler de iki sene üst üste Türkiye’ye gelen bu ödüllerin gururunu yaşıyoruz. Şimdi sıra 2013 ödüllerinde!

Oracle IDM çözümüne özel kampanyamıza www.bilgicozumleri.com/IDM adresinden hemen kayıt yaptırarak ücretsiz kimlik yönetimi analizi hizmetimizden yararlanabilirsiniz.

veri tabanInIz için şifreleMe perforManSI

exadata üzerinde

“advanced SecurIty optIon”

ile 10 kat daha hIzlI

exadata Güvenliği: Tüm Yumurtalar Tek sepette!ONUR ARSUN, Orta ve Doğu Avrupa Güvenlik Ürün [email protected]

Oracle Kimlik Yönetimi İnovasyon Ödülü Yine Türkiye’ninOracle her sene kimlik yönetiminin de içinde bulunduğu değişik kategoriler için “Fusion Middleware Innovation Awards” dağıtıyor. 2011 senesinde TTNET’in erişim yönetimi projesinin layık görüldüğü ödül, bu sene de Avea’nın projesine gitti. İki sene üst üste Türkiye’ye bu ödülü kazandıran herkesi kutluyoruz.


GÜVENLIK.


oracle; uygulamaların, verilerin, web servislerinin ve bulut tabanlı hizmetlerin korunması için sektörün en gelişmiş güvenlik çözümünü sunmaktadır. Özel olarak entegre edilmiş modern bir mimari üzerinde kurulmuş olan Oracle Access Management çözümü, müşterilere kimlik doğrulaması, çoklu oturum açma, yetkilendirme, federasyon, mobil ve sosyal oturum açma, risk ve fraud yönetimi imkânları sunmaktadır. Tüm uygulamalara erişim, yetki denetimleri bu çözümlerle yapılmaktadır ve her erişim iz kaydı sistem üzerinde tutulmaktadır.


dIrectory ServIceS

Türkiye’nin önde gelen kuruluşlarının katıldığı Bilgi Güvenliği Paneli’nde bilgi, bilgi güvenliği, regülasyonlar ve denetimler konuşuldu. Panele telekomünikasyon

sektöründen Turkcell, finans sektöründen Yapı Kredi Bankası, hızlı tüketim tarafında Tuborg’un yanı sıra Oracle ve Oracle İş Ortakları ile Deloitte’tan temsilciler katıldı.

Turkcell Kurumsal Altyapı ve Güvenlik Müdürü Gürkan Papila, Yapı Kredi Bankası BT Güvenlik Yönetimi Müdürü Levend Abay, Türk Tuborg Bilgi Teknolojileri Direktörü Meltem Atay, Biznet Bilişim Genel Müdür Yardımcısı Onur Arıkan, Deloitte Kurumsal Risk Hizmetleri Kıdemli Müdürü Metin Aslantaş, Oracle Orta ve Doğu Avrupa Güvenlik Ürün Lideri Onur İhsan Arsun’un katıldığı panelin moderatörlüğünü Oracle Bilgi Güvenliği Ürün Satış Yöneticisi Hüseyin Özel yaptı.

eTKİnLİKTen KısA KısA

Panelde değinilen başlıca konuları sizler için derledik. “Bilgi sahipleri iş sahipleridir. Hangi bilginin kritik bilgi olduğunu bilmek, bilgileri sınıflandırmak işin sahiplerinin işidir.Bu kritik bilginin nerelerde durduğunu bilmek ise; IT yöneticilerinin sorumluluğundadır. Bilgi güvenliğinin en temel adımı budur. Bu anlamda veriler sınıflandırılmalı ve bu sınıflama işin sahibi olan kullanıcıların katılımıyla yapılmalıdır. Bilgilerin sınıflandırılması sonucunda verilerin durduğu yerden başlayarak her katmanda veri güvenliği çözümleri uygulanmalıdır. Veri güvenliği çözümlerinin uygulanabilmesi için sınıflandırılmış verilerin veri güvenliği politikalarıyla eşleştirilmesi gerekmektedir. Bilgi ve verinin sınıflandırılması yapılmadan Hayata geçirilen Bilgi Güvenliği Projeleri eksik yapılmış projeler olarak adlandırılabilir.

Bilgi güvenliği harcamalarının temel kaynağı regülasyonlardır. Çünkü kurumlar hem adli hem de

maddi yaptırımlara tabidirler.Regülasyonların temel çıkış amacı ise

“müşteri bilgilerinin ve kurum sırlarının” korunmasıdır. Bir çok sektör için en değerli bilgi müşteri bilgisidir.

Regülasyonlar geniş tanımlı ve yoruma açık maddeler içeriyor ve evrimleşiyor, şirketler regülasyonlar karşısında zorlanıyorlar. Denetleme kurumlarının, şirket gelirlerinin % 3’üne varan oranlarda ceza yazma hakkı vardır. Bu durum operatörlerinin lisans iptaline kadar gidebilir.

DeneTİMLerDen GeçMeK çOK ÖneMLİ

Şirketler farklı denetimlerden geçiyorlar. Her denetimin ayrı sonuçları ve yaptırımları oluyor. Denetimler yılda 7 - 8 defa yapılınca çok vakit alan süreçler haline dönüşüyor. Eğer pro-aktif bilgi güvenliği çözümlerine yatırım yapılırsa, denetime harcanan kaynaklardan tasarruf edilebilir. Denetim birimleri teknik operasyon birimlerinin her zaman bir adım önündeler.

Bilgi güvenliği projelerine ayrılan paralar genelde perimeter defense, audit ve re-aktif projeler için harcanıyor. Büyük resim hiçbir zaman göz önüne alınmıyor. Dolayısıyla çözümler sadece kanayan yaraya parmak basmak şeklinde oluyor. Bilginin durduğu yerden itibaren güvenlik çözümlerinin sağlanması gerekmektedir.

Regülasyonların yaptırımları sonunda şirketler maddi cezalardan, iş lisanslarının geri alınmasına kadar uzayan maliyetlere ve zararlara uğrayabiliyorlar. Firmalara yapılan saldırıların kamuya ifşa olması durumunda markalarının uğrayacağı değer kayıpları daha da yükseliyor. Bu tip zararları önleyecek her türlü proje her türlü bütçeyi hak eder ve riskleri azaltır.

Oracle geniş eko-sistemi ile birlikte Bilgi Güvenliğinde en güçlü çözüm ortağıdır.”

Oracle, oyuncu olduğu tüm platformlarda olduğu gibi bilgi güvenliğinin en önemli bileşenlerinden biri olan kimlik yönetimi servislerinde de çok yüksek ölçeklenebilir mimari tasarıma sahip. Bunun sonucu olarak da bu servislerde

Formula 1 ölçeğinde performansları rahatlıkla elde edebiliyoruz!

KİMLİK DOğruLAMA perFOrMAnsıGüvenlik uygulamalarında performansa en çok ihtiyaç duyan

servislerin başında kimlik doğrulama geliyor. Kimlik doğrulama, bir kullanıcının bir uygulamaya erişmeden önce kim olduğunun belirlenmesidir. Çoğu zaman bir kullanıcı adı ve şifreyle yapılan, hepimizin günde defalarca tekrarladığı işlemden bahsediyorum.

Bir web sitesine girerken kullanıcı adı ve şifremizi yazıp “Giriş” butonuna basmak ne kadar basit görünse de sonucu oluşturmak için arka planda birçok bileşen çalışıyor. En azından sağlıklı çalışan uygulamalarda bu böyle. Üstelik kullanıcısı çok, işlemi yoğun olduğu zaman arka taraftaki sistemlerin “yığılmayı önleyecek” nitelikte olması gerekmektedir. Bunun için öncelikle bir “kimlik deposu” gereklidir. Burada bizim ve diğer kullanıcıların, kullanıcı bilgileri (kullanıcı adı ve belki de isim, soyad gibi tanımlayıcı diğer bilgileri) ve kimlik doğrulamayı sağlayan şifre (ya da diğer gizli bilgilerin) güvenli olarak saklanmalıdır. Olmaz ya, kötü niyetli biri bu bilgilerin saklandığı veri dosyalarını ele geçirse bile şifreleri çözemesin. Fakat çoğu zaman “Giriş” butonuna bastığımızda bir şey daha oluyor: Servis sağlayıcısının diğer servis ve uygulamalarına erişmek istediğimizde bize tekrar tekrar şifre sorulmaması için bir de “tekil oturum” açılıyor. Bu tekil oturumu sağlayan çözüm, OAM (Oracle Erişim Yönetimi) servisleridir. Şifre giriş ekranını da bu servis sağlıyor zaten. Onun için servis sağlayıcısının hangi uygulamasına erişirseniz erişin, göreceğiniz “Giriş” ekranı aynı olacaktır. Tabii bütün bu bahsettiklerimiz Oracle’ın yazılım bileşenleridir. Bu bileşenlerin performanslı çalışmasını sağlayacak bir donanım platformu da gerekmektedir. Sun Microsystems birleşmesinden bu yana Oracle tam da bu amaca hizmet eden bütünleşik platformlar tasarlıyor. ODS ve OAM bileşenlerinin yüksek performanslı çalışmasına uygun ideal platform da bunlardan biri olan Oracle Exalogic’tir.

TesT sOnuçLArı: perFOrMAns Ve ÖLçeK AçısınDAn çeKİneceğİMİz prOJe YOK!

Oracle, geliştirdiği bu çözümlerin performansını ve yüksek ölçeklenmesini çeşitli platformlarda test eder. Geçen yıl sonunda 250 milyon kullanıcı için bir çalışma yapıldı! ODS üzerinde 250 milyon kullancının tanımlı olduğu bu testler sırasında %10‘luk aktif kullanım kabul edildi.

İsTAnBuL pArK!Geçtiğimiz ay benzer bir test İstanbul’da tekrarlandı ama

çalışmanın amacına bağlı olarak daha mütevazi hedefler koyuldu. ODS’in OUD (Oracle Unified Directory 11g Release 2) sürümünün kimlik deposu ve kimlik doğrulama servisi için kullanıldığı çalışmada 12 milyon kullanıcı kaydı oluşturuldu. Tekil oturum açmak için OAM (Oracle Access Manager 11g Release 2) sürümü kullanıldı. Test senaryoları için de Oracle ATS (Application Testing Suite) kullanıldı. Tüm bunlar en küçük model olan (1/8) Exalogic makinesi üzerinde çalıştırıldı. Yalnızca kimlik doğrulamanın ve kimlik doğrulamayla beraber tekil oturum performansının ayrı ayrı ölçüldüğü çalışmada OUD ile saniyede 8500‘den fazla doğrulama ölçüldü. Bu saatte 30 milyon kimlik doğrulanması anlamına gelmektedir. OAM ile tekil oturumların ölçüldüğü testlerde ise saniyede 1500, saatte 5.5 milyon tekil kimlik oturumu elde edildi!

sOnuçBu çalışmadan sonra bir kere daha emin olduk ki, Oracle Kimlik

Yönetim platformuyla Türkiye’de ölçek ve performans açısından çekineceğimiz hiç bir proje yok! Oracle IDM çözümüne özel kampanyamıza www.bilgicozumleri.com/IDM adresinden hemen kayıt yaptırarak ücretsiz kimlik yönetimi analizi hizmetimizden yararlanabilirsiniz.

Bu ne hız!TURgUT AydıN, Bilgi Güvenliği

Ürünleri Satış Danışmanı[email protected]

Bilgi güvenliğine kurumsal yaklaşımlarBilgi Güvenliğindeki Yenilikler ve Kurumların Yaklaşımı konulu panelde, denetimlerden kritik bilgiye kadar veri güvenliği ile ilgili her şey konuşuldu.

GÜVENLIK.


Rol tabanlı erişim yönetimi (Role-based access control - RBAC) kurumsal güvenlik ve kimlik yönetimi süreçlerinde sıklıkla kullanılan bir modeldir. Bu model, kurumsal yetkileri, iş birimleri ile ilişkilendirebilmeyi

amaçlayan kavramsal açıdan oldukça basit bir fikre dayanır. Çok kısa tarif etmek gerekirse amaç, kurumsal yetkileri iş birimleri açısından anlamlı bir şekilde gruplamak, bu grupları birer rol olarak tarif etmek ve kullanıcıları bu rollere atamaktır. Bu sayede yönetilmesi gereken veri ilişkilerini en aza indirgemek amaçlanır. Rol tarifinin yapılmadığı ve yetkilerin kullanıcılarla doğrudan ilişkilendirildiği duruma kıyasla bu yöntem, doğal olarak çok daha az veri ilişkisi (rol - yetki ve rol - kullanıcı) ortaya çıkarır.

Ancak bir kurumun RBAC’a dayalı bir kimlik ve erişim yönetimine sahip olması o kadar da kolay değildir. N.I.S.T (National Institute of Standards and Technology)’nin yaptığı bir araştırmaya göre RBAC sistemi kurmanın en maliyetli kısmı, kurumsal rollerin ortaya çıkarılma aşaması olarak tarif edilen, rol mühendisliği aşamasıdır. Rol mühendisliğinin temel olarak üç ana hedefi vardır; kurumsal rollerin belirlenmesi, kurumsal sistemlere yayılmış durumdaki yetkilerin bu rollere atanması ve çalışanların iş tanımlarına göre bu rollere üye yapılması. Faaliyetine başladığı günden itibaren IT altyapısını sürekli geliştiren firmalarda bu sistemlere ait kullanıcı – yetki ilişkilerinin sürekli büyüdüğü düşünülürse, rol mühendisliğinin ortaya çıkaracağı maliyet daha da anlaşılabiliyor. Bu maliyeti düşürebilmek için, rol mühendisliğinin süreçlerini olabildiğince otomatikleştirmenin yolları bulunuyor ve rol madenciliği denilen kavram ortaya çıkıyor.

Rol madenciliği üzerinde akademi ve iş dünyasında genel bir fikir birliği oluşmuşsa da, iyi bir rol madenciliği çözümünün neleri içermesi gerektiği halen tartışılıyor. Bu konuda tartışılan üç ana başlık var. 1- Problemin tanımı, 2- Rol madenciliği algoritmaları, 3- Rol madenciliği sonucunda ortaya çıkan verinin değerlendirilmesi. Dolayısıyla rol madenciliği çözümü sunan araçların bu üç noktada güçlü olması gerekiyor. Bu başlıkları adresleyen çözümler sonuç olarak, kurumların gerçek hayat ihtiyaçlarına odaklanmış, RBAC çözümünün temellerinin etkin bir şekilde atılabilmesini sağlayacak kalitede çıktılar verebilmelidirler.

rOL MADencİLİğİ YAKLAŞıMıKurumlar rol madenciliğine iki farklı moldelde yaklaşıyorlar:1. Yukarıdan aşağı rol madenciliği yaklaşımı: Kurumda

tanımlanmış iş süreçleri, güvenlik politikaları ve diğer tanımlamalar ile kullanıcıların ortak kaynak ihtiyaçları belirlenir.

2. Aşağıdan yukarı rol madenciliği yaklaşımı: Mevcut durumda kullanıcılara doğrudan verilmiş yetkilere bakılır, bir arada olması gereken yetkilerden roller tanımlanır ve bu yetkilere sahip olan kullanıcılar yetkiler yerine tanımlanan rollere atanır.

Tipik olarak kurumlar RBAC modelini uygulamaya, aşağıdan yukarı yaklaşımı kullanarak girişiyor. Bunun nedeni birçok kurumun rol temelli yetki kontrolü mekanizmasına, faaliyete geçtikten uzunca bir süre sonra başlıyor olması. Haliyle bu kurumların geçmişten beri oluşagelmiş bir kullanıcı – yetki verisi birikimi oluşuyor ve bu birikim kullanılarak kurumsal roller ortaya çıkarılıyor. Ancak çoğu zaman ortaya çıkan tablo, kurumun kural ve politikalarına % 100 uyumlu çıkmayabiliyor. Bu durum iki temel sebepten kaynaklanıyor; 1- tipik olarak kurumun yetki ve erişim yönetimi tüm sistemler genelinde merkezileşmiş değil, 2- günlük iş ihtiyaçları kişileri kurumsal rollerinden başka yetkileri de kullanma ihtiyacı doğuruyor ve istisnai durumlar her gün artıyor. Aşağıdan yukarı yaklaşımın bir diğer avantajı da çığ gibi büyüyen bu istisnai durumlardan yeni rol şablonları üretebilmek ve rol temelli yetkilendirme mantığını kurumun ömrü boyunca sürdürebilmek. Bu da aslında şu anlama geliyor, rol madenciliği bir defalık bir projeden çok, süregiden bir iş süreci olarak görülmelidir ve kurumların bu vizyona üst yönetimden başlayarak sahip olması gerekmektedir.

Veri maskeleme, veri tabanlarında saklanan tüm bilgilere erişimi engelleyen bir güvenlik yöntemidir. Bu yöntem, gerçek verilerin yerine, gerçek olmayan

ancak uygun verilerin yerleştirilmesi yöntemine dayanmaktadır. Böylece veriler dışarıya sızsa bile, kötü niyetli kişilerin eline gerçek olmayan bilgiler ulaşmış olur. Bankacılıkta sıklıkla kullanılan bu teknik, özellikle internet bankacılığı işlemleri sırasında ve basılı hesap dökümleri, ekstrelerde kart numarası veya şifrenin yıldızla gizlenmesi şeklinde kullanılmaktadır.

neDen Verİ MAsKeLeMe?Oracle, veriyi bulunduğu yerde, yani veri

tabanında korumak için sektörün en gelişmiş teknolojisine sahiptir. Oracle başta veri gizliliği olmak üzere, kritik verileri şirket içindeki tehditlere karşı korumak ve düzenleyici kurallara uyumu güçlendirmek için kapsamlı bir güvenlik çözümleri paketi sunmaktadır.

Gartner en son yaptığı Magic Quadrant for Data Masking Technology isimli pazar araştırmasında Oracle’ın veri maskeleme konusunda lider olduğunu açıkladı. Gartner’a göre veri maskeleme yöntemini benimseyen işletmeler, ihlallere karşı daha güvenli olurken, veri tabanlarında üst düzey gizlilik ve koruma yeteneklerini de geliştirmiş oluyorlar. Aynı zamanda veri maskeleme opsiyonları, işletmelerin yasal otoriteler tarafından düzenlenen güvenlik standartlarına uyumunu da kolaylaştırmış oluyor.

Gartner’ın deneyimli analistlerinden Joseph Feiman veri maskelemenin şirketleri yalnızca güvenlik açıklarına karşı korumadığını, veri tabanlarında tutulan bilgileri düzenleyici ve uyum konusundaki hatalara karşı da koruduğunu

söylüyor. Ayrıca Feiman’a göre halen gelişmekte olan bir pazarda önemli eğilimlerin net bir şekilde anlaşılması, doğru uygulama kararlarının alınması için de veri maskeleme oldukça kritik bir nokta.

KrİTİK VerİLerİ KAYnAğınDA KOruYun

Oracle veri maskeleme paketi gerçek müşteri verilerinin kullanımını kısıtlayarak koruma düzeyinin yükseltilmesine yardımcı olmaktadır. Böylece kuruluşların veri tabanlarında tutulan müşteri bilgileri üçüncü kişilerin eline geçse bile maskelendiği için tekrardan kullanılamaz durumda olur. Oracle veri maskeleme çözümleri sayesinde müşteri adresleri veya kredi kartı bilgileri gibi hassas veriler, test veya kontrol gibi çeşitli nedenlerle üçüncü parti şirketlere açılsa bile gerçekçi değerlerle değiştirildiği için güven altında tutulmuş olurlar.

Oracle Veri Tabanı Güvenliği Ürün Geliştirme Başkan Yardımcısı Vipin Samar’ın, Oracle’ın Gartner tarafından pazar lideri seçilmesinin akabinde yaptığı açıklamada belirttiği gibi Oracle maskeleme teknolojileri, güvenlik anlamında entegre çözümler sunuyor. “Şirketlerin veri tabanlarında bulunan yapılandırılmış ve yapılandırılmamış veriler, kurumların iş analizi, test veya uygulama geliştirme süreçleri sırasında farklı birimlere kopyalanabiliyor. Veri maskeleme çözümlerimiz ile hassas verilere yetkisiz erişimi tamamen engelleyebiliyoruz” diyen Vipin Samar, açıklamalarına şöyle devam ediyor: “Yüksek performans sunmak ve müşterilerimiz için sağlam bir veri tabanı güvenliği sağlamak için Oracle, sınıfının en iyi donanım ve yazılımlarını entegre eden dünyanın bir numaralı veri tabanı sağlayıcısıdır.”

rol Madenciliği ile etkin erişim ve Yetki YönetimiGÜrol Erdoğan, Kıdemli Oracle Danışmanı [email protected]

Gartner, Oracle’ın veri maskeleme çözümlerinin pazar lideri olduğunu açıkladı. Çünkü Oracle, veriyi bulunduğu yerde, yani veri tabanında korumak için ilk günden beri sektörün en gelişmiş teknolojisini sunuyor.

oracle Advanced Security, tüm uygulama verilerini veya kredi kartı bilgileri, sosyal güvenlik numaraları veya kişisel olarak tanımlanmaya neden olabilecek bilgiler (PII) gibi hassas bilgiler içeren spesifik sütunları şifreleyerek kurumların gizlilik ve mevzuatla ilişkili zorunluluklara uymasına yardımcı olmaktadır. Oracle Advanced Security, network seviyesinde ve veri tabanı seviyesinde her verinin şifrelenerek saklanmasını sağlamaktadır. Son kullanıcılar verilere erişirken bu çözümle birlikte hakları doğrultusunda verilere maskeli olarak erişebilmektedir.

oracle advanced SecurIty


Oracle Veri Maskeleme Konusunda Lider


GÜVENLIK.


Gelişen teknoloji ve değişen alışkanlıklar kimlik yönetimini de daha zor bir hale getiriyor. Oracle veri güvenliği uzmanlarının önümüzdeki

dönemde altını çizdikleri başlıkları sizler için derledik. Gelin kimlik yönetimi konusunu şekillendirecek temel eğilimleri birlikte inceleyelim.

MOBİLİTe (hAreKeTLİLİK) İVMe KAzAnıYOr

Uygulamalar gittikçe küçülüyorlar. Küçüldükçe de web sunuculardan cep telefonu tabanlı veri merkezlerine bağlı bir sunucu modeline geçiyoruz. Bu da standart bir yerel kullanıcı deneyimi sunmak için artık kimlik doğrulama işlemlerinin mobil uygulamalar üzerinden de yapılmasını gerektiriyor. Yani hayatımıza PIN kodları, arka uç kimlik hizmetlerine güvenli erişim gibi kullanıcı kimlik doğrulama yöntemleri giriyor.

Sonuç olarak, kimlik yönetimi yetenekleri artık HTTP tabanlı protokoller üzerinden yapılmaya başlanmalıdır. Oracle’ın kimlik yönetimi platformlarına yaklaşımı, tam olarak bu modeli desteklemek için inşa edilmiştir. Bu modele olan talebin 2013 ve sonrasında güçlenerek artması bekleniyor.

hİzMeT OLArAK KİMLİK YÖneTİMİ Bugüne kadar hizmet olarak yazılım

(SaaS) konusunda birçok şey yazıldı. Ancak, hizmet olarak kimlik yönetimi kavramının benimsenmesi daha yavaş olmuştur. Neden mi? Çünkü kimlik yönetimi gerçekten kritik bir konudur. Ayrıca kuruluşların yürüttüğü diğer kritik süreçlerle de entegrasyon gerektirir. Bu yetenekleri bulut içinde kullanabilmek için önemli sistemleri üçüncü parti bir sağlayıcı ile paylaşmak gerekir.

Bu nedenle şirketlerin genel bulut değil ama özel bulut çözümleri sayesinde hizmet olarak kimlik yönetimi yeteneklerini kullanmaları gerekecektir. Bunun sonucu olarak şirketler, BT altyapılarını basitleştirirken güvenlik, kontrol ve esneklik konularında avantaj elde edeceklerdir.

TAŞınABİLİr KİMLİK YÖneTİMİne DOğru

Şirketler hizmet olarak yazılım (SaaS) çözümlerini tercih ettikçe, çalışanlar daha çok kimlik doğrulamasından geçmek zorunda kalıyorlar. SaaS olarak Oracle uygulamalarını kullanan Oracle müşterilerinin

kurum içi sistemlere birden çok kimlikle bağlanmalarındansa; Oracle Cloud kimliklerini kullanmaları çok daha yerinde bir karardır.

DOğruLAMA hİzMeTLerİ GeLİŞİYOr

Mobil teknolojilerin daha küçük ve daha ulaşılabilir olması doğrulama hizmetlerinin daha da pahalılaşmasına neden oluyor. Bir kullanıcının tam bir dijital deneyim yaşayabilmesi için şifreden bağımsız ve daha düşük maliyetli çözümlere ihtiyacı vardır ve bu çözümlerin ölçeklenebilir olması da oldukça önemlidir.

Tüm güvenlik modelleri hâlâ kimlik kontrolü gerektirirken, nasıl olur da kişileri daha ucuz bir yöntemle tespit etmek mümkün olabilir? 2013’te doğrulama hizmetleri giderek daha da önemli bir odak noktası haline gelecektir.

OrGAnİzAsYOnLAr sİLOLAr Yerİne MerKezİ sİsTeMLere GeçeBİLİrLer

Yukarıda değinilen ilk dört başlığı irdelediğimizde, kimlik yönetimini bekleyen beşinci değişim, kendini belli ediyor: Artan mobilite kimlik doğrulama hizmetleri de gerektiriyor. Bu da kimlik yönetiminin bir hizmet olarak sunulması için gereken tüm altyapıların oluştuğunu gösteriyor. İşte bu dört temel değişim kimlik yönetiminin farklı silolardan merkezi bir sisteme aktarılmasını gerektiriyor.

Görünen o ki; yakın gelecekte kimlik yönetimi, gıda sektöründeki tedarik zinciri gibi bir hal alacak. Yani hem tüm ihtiyaçları karşılamak için büyük bir dağıtım sistemi gerekecek hem de her yerde olması gerekecek. Kısaca, kimlik yönetimi kavramı, hâlâ bir açıdan bireysel küçük ihtiyaçları karşılayacak çözümlere ihtiyaç duyacak hem de hizmet tabanlı bir altyapı ile büyük ölçekli kamu ihtiyaçlarını karşılayacak.

Kimlik yönetiminde 2013’ün 5 yeni trendiMobilitenin gittikçe arttığı ve sosyal paylaşımların bile güvenlik açıklarına neden olduğu günümüzde bir sistem yöneticisinin kimlik yönetimi konusunda nelere dikkat etmesi gerektiğini biliyor musunuz?

oracle Database Vault, Oracle veri tabanı sistemi çekirdeğinde çalışan ve veri tabanı üzerindeki tüm erişim denetimlerini yapan çözümdür. Veri tabanı üzerinde görevler ayrılığı niteliğinde kullanıcı hakları, yetkileri doğrultusunda veri tabanı yönetimi güvenlikle birlikte yeniden şekillendirilmektedir. Bu anlamda veri tabanı yöneticileri temel görevleri olan veri tabanı yönetimini yaparken, Güvenlik Birimleri veri tabanı güvenliğinden sorumlu olarak veri tabanları üzerinde kullanıcı ve erişim yönetimi yapmaktadırlar.

oracle databaSe vault


irketlerin güvenlik altyapılarını iyileştirmek için kullandıkları Oracle Fusion Middleware ailesinde yer alan kimlik ve erişim yönetimi çözümü, sadece güvenliği arttırmak ile kalmayıp aynı zamanda şirketlerin maliyetlerini de ciddi oranda düşürmektedir. Şirketler

düşen maliyetleri sayesinde tahmin ettiklerinden çok daha kısa bir sürede yatırım geri dönüşü sağlarlar.

Kimlik yönetimi ile şirketler, bordrolu veya bordrosuz çalışanlarının yanı sıra beraber çalıştıkları üçüncü parti danışmanlar veya sözleşmeli çalışanlar ile bayileri ve / veya tedarikçilerinde çalışanların hesaplarını da yönetebilirler. Bu hesapların yer aldığı şirketteki sistemlere ve uygulamalara ait tüm kimlik yaşam döngüsünü, web tabanlı bir uygulama kimlik yönetimi uygulaması ile merkezi olarak yönetebilirler.

Kimlik yaşam döngüsünü yöneten kurumlarda, insan kaynaklarında gerçekleşen işe giriş - çıkış, transfer, terfi veya güncelleme gibi hareketlerin sonucunda sistemlerde kullanıcı açma, silme, yetkilerini güncelleme gibi operasyonel işlemler otomatik olarak gerçekleştirilir. Bu sayede, kurumlar hem personel maliyetlerini düşürürler hem de insan hatalarının önüne geçebilirler.

Örnek vermek gerekirse; ortalama olarak 1 yıl içinde bir şirkette 10 bin adet işe giriş, 8 bin adet işten çıkış, 12 bin adet transfer akışı olduğunu varsayalım. Bu hareketlerin kimlik yönetimi sistemi sayesinde otomatik olarak gerçekleştirilmesi ile her bir sistemde tek tek yapılması gereken işlemlerle sistem yöneticilerinin operasyonel süreleri ve elle takip edilen süreçlerin otomatik hale getirilmesi sayesinde bir yıl içinde yaklaşık olarak 12.500 adam X gün iş gücü tasarrufu sağlanabilir.

Kimlik yönetimi sistemlerinde otomatik gerçekleştirilen iş akışları dışında son kullanıcıların ek yetki talepleri, şirketlerin kendi iç onay süreçlerine uygun olarak gerçekleştirilebilir. Bu sayede yetki talepleri kayıt altına alınarak kimlerde hangi yetkilerinin olduğu ve kimlerin onayı ile bu yetkilerin verildiği raporlanabilir. Aynı örnek üzerinden düşünecek olursak; 1 yıl içinde 25 bin adet ek yetki talebi akışı olduğunda 550 adam*gün maliyet avantajı sağlanabilir. Kimlik yönetimi sistemleri ayrıca tüm sistemlerdeki şifrelerin merkezi yönetilmesini de sağlamaktadır. Son kullanıcılara ise şifrelerini unuttukları anda herhangi bir çağrı merkezi çalışanı veya sistem yöneticisine ulaşmaya gerek duymaksızın web tabanlı ön yüzden şifrelerini yenileyebilme imkanı verir.

Kimlik yönetimi sistemi üzerinden; 1 yıl içinde ortalama 100 bin adet şifre yenileme işlemi gerçekleştirilmesi durumunda ise 1.800 adam X günlük bir iş kazancı sağlanacağı öngörülebilmektedir.

Tüm bu maliyet kazanımlarını tabloda özetlersek yukarıdaki gibi bir tablo oluşmaktadır.

Kimlik Yönetiminin

Yatırım GetirisiVolkan VErİM,

Kıdemli Oracle Danışmanı[email protected]

adaM* Gün Süreç kazanIMIİşe Giriş 5000İşten Çıkış 2000Transfer 5500Yetki Talebi 550Şifre Yenileme 1800Toplam: 14850

Rakamlardan da rahatça görülebile-ceği gibi kimlik ve erişim yönetimi sa-dece güvenlik değil operasyonel ve-rimlilik açısından da şirketlere ciddi avantajlar sunmaktadır.

Ş

GÜVENLIK.



oracle Audit Vault ve Database Firewall, tehlikeleri tespit etmek ve engellemek için Oracle ve Oracle harici veri tabanı trafiğini izler. Veri tabanları, işletim sistemleri, dizinler ve diğer kaynaklardan gelen

denetim verilerini birleştirerek mevzuata uygunluk ile ilişkili raporları sunan bir çözümdür.

oracle audIt vault ve databaSe fIrewall


Veri güvenliği hepimizin bildiği bir kavram. Kime sorulsa kesinlikle bir cevap alınır, en basit hali ile Wikipedia’da tanımlandığı şekli ile hepimizi tatmin eder: “Verileri izinsiz erişimlerden, kullanımından, ifşa edilmesinden,

değiştirilmesinden veya hasar verilmesinden koruma işlemidir.”Veri güvenliğini biliyoruz, peki ama veri güvenliği farkındalığımız

ne durumda: Ancak esas sorulması gereken soru, veri güvenliğinin farkındalığı ile gündelik hayatımızı yaşayıp yaşamadığımızdır. Yukarıdaki soruya herkes tereddüt etmeden cevap verse de bu soruya samimiyetle “Evet, yaşıyoruz” cevabını verecek kurumların sayısı o kadar az ki. Şirketlerin güvenlik yatırımı isteklerine çoğunlukla finans departmanından gelen tepkiler ne yazık ki düşündürücüdür: “Güvenliğimiz yeterli değil mi?” ile başlayan itirazlar “Zaten yeterince yatırım yapmadık mı?” ile devam eder. Türkiye’de son yıllarda bilgi güvenliği ilgi odağı olsa da farkındalık seviyesi ne yazık ki olması gerektiği noktaya ulaşamamıştır.

Son yıllarda veri güvenliğinde yaşanan gediklerin kaynak sebepleri incelendiğinde üç ana neden tespit edilmiştir: “İhmalkarlık, kötü niyetli saldırılar ve kriminal saldırılar”.

• PonemonEnstitüsüMart2012raporundayapılananalizdeson bir yıl içerisinde açığa çıkan hassas veri başına ortalama maliyet ABD’de bir şirket için 194 USD iken, İtalya’da bir şirket için ortalama maliyet 78 Euro olmuştur. Veri güvenliğinin ihlalinden dolayı bir şirketin ortalama yıllık maliyeti ABD’de 5,5 milyon USD, İtalya’da 1,38 milyon Euro olarak raporlanmıştır.

• 2010’daBirleşikKrallıkFinansalHizmetlerDenetlemeKurumu tarafından Zurich Financial Services’e, 2008’de dışarıdan hizmet aldığı bir firmanın tape backup sırasında şifreleme kullanmadığı kartuşlardan birinde bulunan 46 bin müşteri bilgisini kaybetmesinden ötürü 2,275 milyon Sterlin ceza verilmiştir. Zurich Financial Services, bu veri kaybının altyapısında izleme araçları olmadığından ancak 2009’da farkına varabilmiştir.

• İngiltere’ninöndegelenfinanskuruluşlarındanbiri,2009’dayine Birleşik Krallık’ta, şifrelenmemiş bir CD üzerinde 180 bin poliçe sahibinin kişisel bilgilerini kaybetmesinden ötürü 3,2 milyon sterlin ceza ödemiştir.

• FransızbankasıSocieteGenerale,biryatırımuzmanınınsistemlerde yaptığı rol ve erişim bazlı hareketleri fark etmemesinden dolayı 4,9 milyar Euro kaybetmiştir.

Ülkemizde de buna benzer örnekler olsa da henüz kurumlara düşen mali yaptırımlar anlamında uygulanan cezalar yurtdışındaki benzerlerine göre çok daha düşük seviyelerdedir. 2010’da, ISO 27001 Bilgi Güvenliği Yönetim Sistemi Sertifikası’na sahip bir şirketin, kanunen yetkili olmayan şirketlere banka bilgilerini satmasıyla ilgili BDDK’nın 10 Ağustos 2010 tarih ve 3810 sayılı kararında, hem Bankalar Yasası hem de TCK açısından suç olduğu belirtilerek, yöneticiler ve yönetim kurulu üyeleri hakkında suç duyurusunda bulunulması öngörülmüştür.

BTK ve Tübitak’ın beraber düzenlediği, kamu kurum ve kuruluşları, özel sektör ve üniversitelerden toplam 41 katılımcı ile hazırlanan Ulusal Siber Güvenlik Tatbikatı raporunda, tatbikata katılan kurum ve kuruluşlarda bilgi güvenliği açısından önemli açıkların olduğu anlaşılmıştır. Aynı raporda, açıkların kapatılması konusunda, bilgi teknolojilerine yapılacak donanım - yazılım satın alımı ve benzeri yatırımların yeterli olmayacağı, başta yöneticiler olmak üzere çalışanların tamamının bilgi güvenliği konusunda eğitilmesi, ilave olarak bilgi güvenliğine ilişkin kurumsal iş süreçlerinin hayata geçirilmesi gerektiği vurgulanmaktadır.

Verilerin güvenliği konusunda farkındalığın hayata geçirilmesi artık şarttır. Bugüne kadar güvenlik açığı yaşamamış bir kuruluşun geçmiş dönem yönetim kurulları, CEO’ları, CFO’lar, CIO’ları alnı açık bir şekilde hayatlarını idame ettirmektedir. Ve aynı kuruluşlarda bugün yöneticilik yapanlar geçmişten gelen beyaz sayfaların verdiği güvenle yollarına devam etmektedirler. Ama bir gün manşetlere çıkmamak için şimdiden gereken önlemleri almaları gerekir. O manşetlerden birinde şirketinizi görmek istemiyorsanız farkındalığı başlatanlardan biri de siz olun.

Son dönemlerde basında yer verilen “Güvenlik açığı kaynaklı” haberlere kayıtsız kalamazdık. Bir ilke imza attığımız ve ilk sayısını sizlerle paylaşmaktan gurur

duyduğumuz bu gazete ile basından çoğumuzun takip ettiği haberlerin kurumlarda ve de özellikle kurumların BT bölümlerinde adreslediği kaynak nedenleri, olası çözümleri ve kurumların çoktan uymuş olması gereken yasal düzenlemeleri bir de Oracle perspektifinden değerlendirmek istedik.

Sistem ve veri tabanı güvenliği konusunu bu kez Oracle’ın ve de Oracle iş ortaklarının çözümsel yaklaşımıyla ele almanızı dileriz.

Anonysmous adlı grubun yaptığı son açıklamada da belirttiği gibi Türkiye de mercek altında. Bu ve bunun gibi bir çok hacker grubu veya bağımsız hackerlar kimi zaman sadece eğlence, kimi zaman da para karşılığında kurumların sistemlerine ve / veya veri tabanlarına atakta bulunurken, ülkemizdeki kurumların konuya yaklaşımı genel olarak gerçekleşen olayları sonradan tespit edip sonradan çözmeye yönelik.

Bazı kurumlar maliyet kaygıları nedeniyle, bazı kurumlar veri gizliliği ve güvenliğine karşı belirli regülâsyonlara tabi olmadıklarından, bilgi güvenliğine yeteri kadar önem vermiyorlar. Oysa ki; bilgi güvenliği bir çok kurumda risk altındadır ve alınan risk geri dönüşü olmayan maddi ve manevi kayıplara neden olmaktadır. Gazetemizde yer verdiğimiz haberler risklerin ve karşılaşılabilecek olan saldırının doğal sonucunu gözler önüne sermektedir.

Sektör ve / veya ölçek tanımayan, iç ve / veya dış kaynaklı olası riskler teknolojinin gelişmesi ve artan oranda korunmasız kullanımıyla daha da artıyor.

İşletme yönetim stratejilerinden, üretim modellerine hatta çalışma modellerine kadar yansıyan teknolojinin zorladığı süreğen bir değişim dönemindeyiz. Rekabet gücünü korumak ve arttırmak adına, birçok kurum bu değişime ayak uyduruyorken; konu kurum varlığını sürdürmenin en kilit noktası olan “BT güvenliği – risk yönetimi disiplinleri oluşturmaya” geldiğinde günün gereklerini karşılamayan bir yaklaşım sergilenebiliyor. Diğer yandan, BT ekiplerinde ayrı bir güvenlik ekibi oluşturmaya başlayan ve

profesyonel çözümleri başarıyla kullanan kurumlar, %100 güvenli hizmet vererek risk almadan bu konuda da rakiplerinin önüne geçmeyi başarıyor.

Riskin olası kaynaklarını ne kadar biliyoruz? Peki, çözümlerden yeterince haberdar mıyız? Çözümleri değerlendirirken, çözümün kurum ve / veya sektörümüze özel dinamiklere, yasal düzenleme ve denetimlere ne ölçekte yanıt verdiği, yatırım geri dönüşü gibi konulara gerekli ehemmiyeti gösteriyor muyuz?

Uzman iş ortaklarımız ve sektörün bilirkişilerinin destek ve değerli katkılarıyla oluşturduğumuz zengin içeriğimizle Oracle çalışanlarından oluşturduğumuz, “Oracle Türkiye

BT Güvenlik Ekibi” olarak amacımız bu ve benzeri tüm sorularınıza çözümsel bir yaklaşımla yanıt verebilmektir.

Oracle Türkiye ve Oracle iş ortakları; olası tüm güvenlik açıklarınızı birlikte analiz etmeyi ve de gidermeyi teklif ediyor. Oracle’ın yıllardır üzerinde çalıştığı, dünya çapında birçok kurumda test edilip kullanılmış ve de başarısı kanıtlanmış, veri tabanı ve sistem güvenlik çözümleri ile tanışmanızın zamanı gelmiş olabilir mi?

Yanıtınız EVET! ise; gazetemizde yer verdiğimiz tüm konu, haber, çözüm ve hizmetler ile ilgili sorularınız için aşağıdaki e-mail adresimden benimle iletişime geçebilirsiniz. Konusunda

uzman iş ortağımız veya ürün sorumlularımıza yönlendirmekten mutluluk duyacağım.

Keyifle okumanız dileğiyle…

Veri güvenliği şartAma neden?orkun Erardağ, Endüstri ve BT Stratejileri Insight Direktörü[email protected]

GÖkÇE İlSEVEr, İş Ortakları

Kampanya Yöneticisi [email protected]

Bu gazeteyi neden okumalısınız?

eDİtÖrDen:

GÜVENLIK.

İÇTENDIŞA U Z M A N G Ö R Ü Ş Ü - T A R A F S I Z B Ö L G E 9

Son zamanlarda APT (Advanced Persistent Threat) olarak adlandırılan saldırı çeşidini sıkça duyar olduk. Bu saldırı türünde

hedef olarak devletler, şirketler, kurumlar var ve bu türden saldırıların ilgili hedefe maliyeti, hatırı sayılır bir yekün tutuyor. Örneğin 2009 yılında Google’ı hedef alan ve “Operation Aurora” ismiyle anılan, Çin menşeli olduğu düşünülen bir APT saldırısı gerçekleştirildi. Bu organize saldırıda hedefin sadece Google olmadığı, birçok teknoloji şirketinin de bu saldırıda hedef seçildiği sonradan yapılan açıklamalarda anlaşılıyordu. Bu saldırının hedefi çok belliydi; teknoloji hırsızlığı. Yakın zamanda yaşanan başka bir örnekte ise hedef olarak RSA seçilmişti. RSA çalışanlarından ikisine gönderilen ve “2011 Recruitment Plan” başlığı taşıyan elektronik postanın ekinde yer alan PDF dokümanının bir çalışan tarafından görüntülenmeye çalışılması ile saldırı başlamış, bu kişinin bilgisayarına sızıldıktan sonra RSA’in iç ağına atlayan hackerlar SecurID anahtarlarına ilişkin çok gizli bilgileri ele geçirmişlerdi. Bu saldırının sonucunda RSA, müşterilerinde kulanılan yaklaşık 40 milyon anahtarı değiştirmek zorunda kaldı.

Ülkemizde ise henüz basına yansıyan bu kadar büyük ölçekte bir saldırı haberi yok fakat hackerların yeraltı dünyasında dolaşan ve kulağımıza gelen haberlere bakılırsa ülkemizdeki durum da çok iç açıcı değil. Birçok özel şirketin verilerinin hacklendikten sonra para karşılığı şirkete geri satıldığı, kamudaki

birçok sistem üzerinde hackerların cirit attığı bilinen bir gerçek. Özellikle son zamanlarda RedHack gibi grupların kamu tarafındaki güvenlik zafiyetlerini kullanıp ilgili sistemlere sızdıkları ve bu sistemler yer alan gizli bilgi ve belgeleri ele geçirdikleri hepimizin malumu. Hacker gruplarının bu şekilde ses getiren eylemler düzenlemelerinin ardından hükümetin “Siber Ordu” kurma konusunda girişimlerinin olduğunu da yakınen biliyoruz. Siber ordu kurulmasının yanında, düzenli aralıklarla yapılan “Siber Güvenlik Tatbikatları” kamu tarafındaki güvenlik bilincinin arttırılmasında ve kamu kurumlarının güvenlik açısından mevcut durumlarını

görme noktasında güzel bir başlangıç adımı olarak duruyor karşımızda. Saldırıların gün geçtikçe daha sofistike olmaları, bu saldırılara karşı koymak için geliştirilecek savunma mekanizmalarının da tekrardan gözden geçirilmesini zorunlu kılıyor. Artık tek başına antivirüs, firewall vb gibi çözümler yeterli değil. Bunun en yakın örneğini de bir kaç gün önce basına yansıyan The New York Times’ın hacklenmesi olayında görüyoruz. Piyasada çokça bilinen bir

antivirüs firmasının çözümünün kullanılıyor olmasına karşın, siber saldırıdan kaçamadılar. Bu bağlamda kurumların yapması gereken şey, katmanlı bir güvenlik mimarisi oluşturmak, sadece uç noktaları ya da ağ cihazlarını değil, kritik ve gizli bilgi barındıran bütün bileşenleri (veri tabanları vb) koruma altına alacak bir yaklaşım benimsemeleri. Bu yaklaşımı belirlerken de sadece defansif bir yaklaşım değil, bünyesinde ofansif adımların da bulunduğu komple bir yaklaşım benimsemeleri çok önemli. Özellikle sızma testleri, konfigürasyon gözden geçirmeleri, risk analizleri bu bağlamda kurumlara ve şirketler ciddi katkılar sağlayacaktır.

İdeal koşullarda gerçek kişilere hangi kişisel verilerinin kim tarafından ve kimin için elde edildiği, ne kadar süre ile işleneceği, bu verilerinin kimlerle paylaşılacağı konularında kural olarak bilgi edinme

ve müdahale etme olanağı tanınmalıdır. Bu olanağı uluslararası düzeyde iç hukuklarda yerleştirmeye çalışan iki temel belge bulunmaktadır. İlki ülkemizin de imzalamış olduğu “Kişisel Verilerin Otomatik İşlenmesine İlişkin Olarak Bireylerin Korunması Hakkındaki 1981 tarihli Avrupa Konseyi Sözleşmesi” olup TBMM’ce 1981’den bu yana onaylanmayı beklemektedir. İkincisi ise Avrupa Birliği toprakları üzerinde veri korumasına dair genel kuralları koyan 95/46 sayılı “Kişisel Verilerin İşlenmesinde Gerçek Kişilerin Korunması Yönergesi”dir.

AB ülkeleri ile karşılaştırıldığında ülkemizde kişisel verilerin korunması sorununun yasal düzeyde yeterli olarak ele alınmadığı, hatta konuyu genel olarak düzenleyen bir kanunun bulunmadığı belirtilmelidir. İç hukukumuz, AB veri koruması mevzuatı ile uyumlu değildir. Bu nedenle 2003 yılından bu yana AB tarafından yayınlanan birçok Türkiye Ulusal İlerleme Raporu’nda da değinildiği gibi; bu noktada uyumun sağlanması ve bağımsız bir kişisel verilerin korunması denetleme kurumunun oluşturulması gerekmektedir.

Adalet Bakanlığı bu amaçla 2004’den bu yana üç farklı “Kişisel Verilerin Korunması Kanunu Tasarısı”

hazırlamıştır. Sonuncusu Haziran 2012’de Başbakanlığa sevkedilmiş, geçen hafta itibariyle Bakanlar Kurulu’nda görüşülmüş ve bazı değişiklik önerileri ile Adalet Bakanlığı’na iade edilmiştir.

Bu durumun iş dünyasına olumsuz etkilerinin bulunduğuna dikkat çekmekte fayda bulunmaktadır. İlk olarak, AB veri koruması mevzuatı gereğince AB ülkelerinde bulunan şirketler ile ticari ilişki içinde bulunan AB üyesi olmayan ülkelerdeki iş ortakları açısından bu durum ciddi bir sorun oluşturmaktadır. AB veri koruması mevzuatı çerçevesinde AB üyesi olmayan ve yeterli koruma düzeyine sahip olmayan ülkelere kişisel veri aktarımı yasaklanmaktadır. Bu yasak ancak bazı sınırlı ve istisnai hallerde, ki bunlar da AB veri koruma mevzuatı ile uyumlu olduğu ölçüde, aşılabilmektedir.

Ülkemizin de yeterli koruma düzeyine sahip olmadığı ve bu nedenle güvenli olmayan ülke statüsünde bulunduğu vurgulanmalıdır.

Bu statüde bulunan ülkelere kişisel verilerin aktarılmasının kural olarak yasak olması, ancak kişisel verilerin aktarılacağı ülkede bulunan yabancı iş ortağının ve AB ülkesinde bulunan şirketin gerekli taahhütleri vermesi, hatta kişisel veri aktarımının yerine göre AB ülkesindeki veri koruma otoritesinin “ön denetimine” konu olması halinde dahi söz konusu ülkeye yalnızca belli kategoride kişisel veriler aktarılabilmektedir. Çok daha zahmetli olan bu gibi yöntemlerle kişisel veri aktarımı uygulamada önemli sorunlar ortaya çıkarmaktadır. Ciddi sayılabilecek ölçüde zaman kaybı yaşanmakta, hatta ticari hayatın hızlı işleyişi sekteye uğramakta ve bu durum önemli para kaybına da neden olmaktadır. Şirketlerimizin küresel rekabet gücünü sınırlayan bu sıkıntılı durumu ortadan kaldırmanın en kolay yolu kişisel verilerin korunmasına ilişkin AB mevzuatına ve tabii ki uluslararası standartlara uygun bir Kişisel Verilerin Korunması Kanunu’nu yürürlüğe sokmak ve aynı zamanda uygulamaktır.

İkinci olarak, şirketlerimiz kendi iş süreçlerini kişisel verilerin korunmasını büyük ölçüde sağlayacak şekilde tasarlamış değildir. Oysa bu kanunun uygulamada dikkate alınmak zorunda olması şirketlerin de konuya daha duyarlı yaklaşmasına neden olacak ve kişisel verilerin işlenmesinde, ister işçi ister hasta ister müşteri verisi olsun, elde ettikleri kişisel verileri, veri süjesinin haklarını koruyarak ve iş süreçlerini buna göre tasarlayarak işleyeceklerdir. Bu çerçevede ise küresel ekonomide güçlü yabancı rakipleri ile de rekabet edebilir olacaklardır.

Son olarak, kişisel verilerin hukuka aykırı olarak toplandığı ve depolandığı, başkalarına aktarıldığı, yetkisiz kişilerce kötüye kullanıldığı hallerde söz konusu kişisel verinin süjesine de ciddi zararlar verilebilmektedir. Banka hesap numaraları, kredi kartı bilgileri gibi kişisel veri niteliğindeki bilgiler ele geçirilerek ilgili kişiler ve buna bağlı olarak bankalar önemli maddi kayıplara uğratılabilmektedir.

ab veri koruMaSI MevzuatI çerçeveSinde, ab üyeSi olMayan ve yeterli koruMa düzeyine Sahip olMayan ülkelere kişiSel veri aktarIMI yaSaklanMIştIr.

kuruMlarIn yapMaSI Gereken şey, katManlI bir Güvenlik MiMariSi oluşturMak, Sadece uç noktalarI ya da ağ cihazlarInI değil, kritik ve Gizli bilGi barIndIran bütün bileşenleri koruMaktIr.

Güvenlik yaklaşımınızı değiştirinHalil Öztürkci, ADEO Bilişim Danışmanlık Hizmetleri

Verilerin Korunması Kanunu’na neden ihtiyaç duyuyoruz?Yrd. doç. dr. nilgün Başalp, Bilgi Üniversitesi Hukuk Fakültesi

GÜVENLIK.

İÇTENDIŞAD I Ş H A B E R L E R10

Yapılan son araştırmalar veri hırsızlığının ana sebebinin ihmalkarlık olduğunu gösteriyor. Saldırganladır % 96’sı çok bilgi gerektirmeyen yöntemlerle, gözden kaçan açıkları kullanarak kurumsal verilere sızıyor. Oracle’ın

yaptığı bir başka araştırmaya göre de saldırıların % 79’u anlık bir fırsatın değelendirilmesi sonucunda gerçekleşiyor. Tüm saldırıların % 4’ü ise kurum içinden yardım alınarak yapılıyor.

Hacker’lar her an yeni ihmalleri yakalamaya çalışırken, gerekli önlemleri almayan yerli ve yabancı şirketlerde yaşanan veri kayıpları gazetelere yansıyor.

Veri kaybının sorumlusu aranıyor!Veri güvenliğine gereken önemi vermeyen şirketlerin “kötü deneyimleri” yukarıdaki manşet gibi gazeteleri süslüyor. Siz de hacker’ların hedefi olmadan ve manşetlere bu sebeple çıkmadan gerekli önlemleri alın. Son dönemde ülkemizde ve dünyada ortak ihmaller sebebiyle basında yer verilen haberlere istatistiksel veriler ile gelin birlikte bakalım.

Türkiye’de iz bırakan

veri ihlalleri


GÜVENLIK.

İÇTENDIŞA D I Ş H A B E R L E R 11

Veri miktarı arttıkça verilere izinsiz erişim de doğru orantılı olarak artıyor. Yandaki tablo 2005 - 2010 arasında rapor edilmiş veri ihlallerindeki % 1084’e varan bir artışı gösteriyor.

Veri bir kere şirket dışına çıktıktan sonra artık kontrol edilemez

Önemli olan veriyi kaynağında korumaktır!

Verİ hırSızlığının ArkASınDA kİmler VAr?% 98’i dışarıdaki kişilerle ilişkili% 4’ü işbirliği yapan çalışanları içeriyor % 1’den daha azı iş ortaklarıyla bağlantılı% 58’i aktivist gruplarla ilişkili

Verİ hırSızlıklArı nASıl meyDAnA Gelİyor?% 81’i bilgisayar korsanlığının bir türünü kullanıyor% 69’u kurum içerisine yerleşen kötü amaçlı yazılımlar nedeniyle oluyor% 10’u fiziksel saldırıları da içeriyor% 7’sinde sosyal taktikler kullanılıyor% 5’i özel ayrıcalıkların yanlış kullanımından kaynaklanıyor ortAk yÖnler neler?

•Saldırıların% 79’u anlık fırsatların değerlendirilmesi sayesinde gerçekleşiyor•Saldırıların% 96’sı çok büyük zorluklar olmadan yapılıyor •Açığaçıkantümverilerin% 94’ü sunucularla ilişkili•Verihırsızlıklarının% 85’ini tespit etmek haftalar veya daha uzun zaman alıyor•Karşılaşılandurumların% 92’si üçüncü taraflarca tespit ediliyor•Saldırıların% 97’si basit veya orta dereceli önlemlerle engellenebiliyor•Kurbanların% 96’sının sektör standartlarına sahip olmaması dikkat çekiyor

Ponemon Institute’un yaptığı “Veri İhlallerinin Maliyeti” araştırmasının http://datalossdb.org adresinde yayınlanan özetinden alınmıştır.

Dünyada konuşulan

veri ihlalleri

GÜVENLIK.

İÇTENDIŞAU Z M A N G Ö R Ü Ş Ü - T A R A F S I Z B Ö L G E12


Kişisel verilerin korunması, bilgi teknolojilerinin hızla gelişmesi ve yaygınlaşması dolayısıyla önemi her geçen gün artan bir temel hak alanını oluşturmaktadır. Konuya ilişkin

tartışmaların özellikle son yıllarda, Türkiye gündeminde de yer aldığı dikkat çekmektedir. Çeşitli medya kuruluşlarının haberlerine de yansıyan konuya ilişkin önemli gelişmeler incelendiğinde, bunların önemli bir bölümünün veri güvenliğinin ihlal edilmesinden kaynaklandığı görülür. İşte, belki de bu nedenle veri koruması ile veri güvenliği kavramları çeşitli yayınlarda birbirinin yerine geçer şekilde kullanılmaktadır.

Oysa kişisel verilerin korunması (data protection / datenschutz) ile veri güvenliği (data security / datensicherheit) eş anlamlı iki kavram değildir. İlkinde amaç, bireylerin korunması iken ikincisinde doğrudan verilerin korunması hedeflenmektedir. Ancak bu verilerin gerçek kişiler ile ilgili olduğu durumlarda, veri güvenliğinin kişisel verilerin korunması gibi temel bir hakkın sağlanmasının önemli bir aracı haline geldiği de dikkatten kaçmamalıdır. Bu yönüyle veri güvenliği, bireylerin korunmasına hizmet etmektedir.

Öte yandan, verilere yetkisiz erişim ve bunların yetkisiz kullanımının önüne geçilmesinde, kamu ve

özel teşebbüslerin de çıkarı bulunur. Güven ilişkisinin ön planda olduğu, bankacılık, sigortacılık, sağlık hizmetleri gibi alanlarda bu etki daha da açık bir şekilde görülebilir. Bir bankaya para yatırmayı, sigorta şirketleriyle sözleşme yapmayı ya da tanı ve tedavi için bir sağlık kuruluşuna başvurmayı düşünen kişi, verilerinin güvende olduğunu bilmek isteyecektir. Verilerin güvenliği konusunda endişe duyması halinde ise, bu hizmetleri almaktan vazgeçebilir. Bunun, ilgili kişi açısından yaratabileceği sorunlar yanında, kurumun ekonomik kaybına da neden olacağı açıktır. Bu durum, veri güvenliğinin ekonomik olarak ölçülebilir çıkarları da güvence altına aldığını ortaya koymaktadır.

Başta bireylerin özel yaşamlarının korunması olmak üzere, belirtilen nedenlerden ötürü veri güvenliği, kişisel verilerin korunmasına ilişkin uluslararası alanda kabul edilen bütün metinlerde yer

alan önemli bir temel ilkeyi oluşturur. Türkiye’nin de 1981 yılında imzaladığı, ancak halen onaylama işlemini gerçekleştiremediği 108 sayılı Avrupa Konseyi Kişisel Verilerin Korunması Sözleşmesi (m.7), OECD Verilerin Korunması Rehber İlkeleri (par.11), APEC Verilerin Korunması Çerçeve Belgesi (par.22), BM Verilerin Korunması Rehber İlkeleri(par.7) ve 95/46/AT sayılı AB Yönergesi(m.17), veri güvenliği ilkesinin açıkça yer aldığı önemli metinler arasındadır. Türkiye’de bir süredir gündemde bulunan ve özellikle 2010 yılından itibaren kişisel verilerin korunmasının anayasal bir hak haline gelmesi ile yakın zamanda yasalaşması beklenen Kişisel Verilerin Korunması Kanun Tasarısı’nda da veri güvenliği temel ilkeler arasında sayılmıştır.

İşaret edilen metinlerde de yer aldığı üzere, veri güvenliğinin tam olarak sağlanabilmesi için hem teknik, hem de organizasyonel önlemler alınması önemli bir gerekliliktir. Ayrıca bu önlemler, hem ilgili sistem kurulurken, hem de daha sonrasında işlenirken alınmalıdır. Bunun yanında AB Yönergesinde de işaret edildiği üzere, alınan önlemlerin belgelendirilmesi de gerekir.

Unutulmaması gereken önemli bir husus: veri güvenliği ilkesinin kişisel verilerin korunması hakkının ayrılmaz bir parçası olduğudur. Bu ilke, verileri işleyenlerin kişisel verilerin kazara silinmesini, bunlara yetkisiz erişimi, yetkisiz kişilerce değiştirilmesini, onlara aktarımını ve yayımlanmalarını engelleyecek önlemleri almalarını gerektirir. Kişisel verilere yetkisiz erişim ve benzeri diğer müdahaleler pek çok hukuk sisteminde olduğu gibi Türkiye’de de suç olarak tanımlanmış ve bu eylemleri gerçekleştirenlere karşı çeşitli yaptırımlar öngörülmüştür. Ancak böylesi bir suçun mağduru olmadan veri güvenliğinin sağlanmasının önleyici bir koruma sağlayacağı da dikkatten kaçmamalıdır.

Gözlemlerinize göre; Türkiye’de şirketlerin BT güvenliği konusudaki en büyük sıkıntıları neledir?

Türkiye’de genel olarak, tedbirsizlik ile kendine fazla güvenme olguları birbiriyle çok yarışır. Bunların hemen arkasından ise üçüncü olarak farkında bile olmamak gelir. Birçok şirket BT güvenliği sağlanması gerektiğinin farkında bile değil. Farkında olan şirketler ise zamanında mutlaka başlarına bir olay gelmiştir, o yüzden tedbirler almıştır. Ne yazık ki, bu durum sadece BT güvenliği için değil, şirketlerin her departmanı için geçerlidir. Bazı şirketlerde bilgi güvenliği hakkında bir farkındalık olsa bile, standart üstü çözümler yerine sırf maliyetlerden dolayı standart altı çözümlere yöneliyorlar ki, bu aslında parayı sokağa atmaktan başka bir şey değil.

Kurumlara şirket içinden veya şirket dışından gelebilecek olası tehlikeler nelerdir? sizce şirketler öncelikle bu tehditlerin hangilerine karşı önlem almalıdır?

İçten veya dıştan geliyor olup olmadığına bakmaksızın, kurumlar öncelikle neye sahip olup olmadıklarını bilmek zorundalar. Yani elllerindeki değer nedir, bu değer nasıl korunur ve bu değer bir anda yok olursa ne yapılır? Bugün şirketlerin elindeki en büyük değer, masa, koltuk ve bina gibi sabit değerlerden çok işlenmiş verilerinin bulunduğu veri tabanı ve uzun sürelerdir biriktirilen know - how bilgisidir. Hemen hemen bütün iş süreçleri, bilgisayarlarla, yazılımlarla, internetle ve insan kaynağıyla yürütülüyor ama bu sürecin içindeki

her halkanın kendine has zayıf noktaları var. Bu her zayıf nokta iyice analiz edilip, en önemli değer olan veri tabanlarından başlayarak tüm halkalar birlikte eş zamanlı olarak güçlendirilmelidir.

Şirketlerin BT güvenliği konusuda uyması gereken sektörel, hukuki, evrensel yükümlülükler veya kalite standartları hakkkında bilgi verebilir misiniz?

Her sektörün kendine has gizlilikleri ve buna bağlı olarak bilgi güvenliği politikaları var. Bazı sektörlerin ellerindeki veriler daha hassas ve manipüleye daha açık. Örneğin bankacılık, sağlık ve sigorta sektörlerinin verileri hassas olduğundan kendine has bilgi güvenliği standartlarını hukuki ve teknik olarak sağlamak zorundalar. Ayrıca, Avrupa Birliği’nin de veri korumaya yönelik önemli düzenlemeleri ve standartları bulunduğunu belirtmem gerekiyor. Kalite standardı anlamında ise ISO 27001 standardı veri koruma anlamında kayda değer zorunluluklar gerektiriyor.

Şirketler BT yatırımı yaparken, BT tedarikçilerini seçerken ve olası BT çözümlerini seçip yatırım yaparken ne gibi konulara dikkat etmelidirler?

BT yatırımı için seçilen partnerlerin kalitesi ve tecrübesi çok önemli. Özellikle sermayesini veriye dönüştürmüş kurumlar için bu hayati bir öneme sahip. Kurumlar, partnerlerini seçerken, ulusal veya uluslararası anlamdaki bilinirlik, güvenirlilik ve deneyimlilik kriterlerine bilhassa dikkat etmeliler. Sözleşme yaparken bütün

risklerin analizini yapabilmeli ve bunu sözleşmelere yansıtabilmeliler. Tabii sadece bunlar değil, aynı zamanda esnek, sürdürebilir ve geliştirilebilir çözüm sunabilen partnerler tercih edilmeli. Çünkü teknoloji hızla ilerliyor ve kimse eski teknolojide çakılı kalmak istemez.

Kurumların BT bölümleri, yönetimleri öncelikle ne gibi önlemler almalıdırlar?

Her şeyden önce, kurumlar kendi içlerinde bilgi güvenliği politikası içeren bir belge oluşturmak zorundalar. Veriler sınıflandırılmalı ve gizlilik dereceleri belirlenmelidir. Hangi veriye kimin nasıl ulaşacağı saptanıp buna göre erişim yetkileri düzenlenmelidir. Şifre ve parolaların sık sık değiştirilmesi zorlanmalıdır. Tüm veri sistemlerinin hem en güçlü unsuru olan, hem de en zayıf halkası olan insan faktörü unutulmamalıdır. Tabii ne olursa olsun tüm aşamalarda güçlü ve yenilikçi çözüm ortaklarıyla çalışmalıdır.

Güvenlik tehditindeki en kritik sektörler sizce hangileridir?

Belli bir sektör daha önemlidir diyemeyiz. Her sektör için kritik ve hassas konular var. Bilgi güvenliğinin sağlanması gereken her sektör önemlidir. Ama en çok tehdit altında olan bazı sektörleri de belirtmek gerekir. Bankacılık, sigortacılık, sağlık, internet servisleri ve elektronik ticaret sanırım yanlış bir sıralama olmaz.

Gelecekte şirketleri bekleyen veya BT güvenliğinde en trend konular sizce nelerdir?

Tüm dünyada big data (büyük veri) ve cloud computing (bulut bilişim) kavramları çok sık tartışılıyor. Bulut bilişim konusunda karşılıklı haklar ve sorumluluklar alanı henüz tam anlamıyla yapılandırılabilmiş değil. Ayrıca büyük veri; veri çeşitliliği, veri karmaşıklığı, güvenlik zaafiyeti, hız ve gerçek zamanlı çalışma zorluğu anlamında büyük sorunlar yaratabilen bir konu olarak karşımıza çıkıyor. Bu iki konu yakın gelecekte de trend konular olarak konuşulmaya devam edecek.

veri Güvenliğinin taM olarak SağlanabilMeSi için heM teknik, heM de orGanizaSyonel ÖnleMlerin alInMaSI Gerekir.

Veri güvenliği mi, veri koruması mı?yrd. doç. dr. Elif Küzeci, Bahçeşehir Üniversitesi Hukuk Fakültesi

Büyük veri büyük sorun mu?M. Gökhan ahi, Bahçeşehir Ahi Avukatlık Bürosu

GÜVENLIK.

İÇTENDIŞA İ Ş O R T A K L A R I N D A N 13

SAP kullanıcısı olan büyük şirketlere verdiği danışmanlık hizmetleriyle sektörün en bilinen çözüm sağlayıcılarından biri haline gelen Basistek, ürün portföyüne eklediği Oracle güvenlik opsiyonları ile de büyük ve önemli verilerin korunmasına katkı sağlıyor.

Üst düzey güvenlik

SAP platform değişimi projelerinde sahip olduğu deneyim ve bilgi birikimi ile öne çıkan Basistek, uzun yıllar SAP teknolojilerinde

danışmanlık hizmeti sunarken Oracle Database, Oracle Identity Management ve Oracle Exadata’dan sonra Oracle Database Security ürünleri konusunda da destek vermeye başlayarak bu alandaki güvenilir Oracle iş ortaklarından biri haline gelmiştir. Bu ürünler ve danışmanlıkları konusunda da deneyimlerini arttırarak, bu hizmetleri SAP müşterilerine sunmaktadır.Basistek, özellikle Oracle Identity Management tarafında daha önce sahip olduğu uzmanlığı ve Single Sign-On tecrübesini de kullanarak farklı müşteri platformlarında arttırarak yürütmeye çalışmaktadır. Bu ürün özelinde Türkiye’nin en büyük firmalarında birinde IDM projesi yürütülmekte olup, proje başarılı bir şekilde sürdürülmektedir. Bu müşteri özelinde Basistek, Oracle Identity Management 11g teknolojilerini kullanarak Single Sign-On yapıda, uygulamaların ve kullanıcı sayılarının konsolide edildiği, bakım maliyetlerinden ve BT işgücünden tasarruf sağlayan verimli bir Kimlik Yönetimi projesi sunmayı hedeflemektedir.

OrAcLe sınGLe sıGn On hİzMeTLerİnİn sAğLADığı YArArLAr:•Kullanıcılarınunutulmuşparolalarınsıfırlanmasıyla ilgili isteklerine cevap vermeye gerek kalmaz, böylece yardım masasının zamanından ve maliyetinden tasarruf edersiniz, yatırımınızın getirisini hızlıca alırsınız.•KullanıcılarakendiWindowsparolalarınıgüvenle sıfırlama imkânı tanıyarak kolaylık ve maliyet tasarrufu sağlarsınız.•Mevcutuygulamalarüzerindehiçbirdeğişiklik yapmaksızın şirketinizdeki tüm uygulama ve kaynaklar için tek kayıt ile her şeye erişim sağlayabilirsiniz.•Herbiribirdenfazlakullanıcıyıdestekleyen çalışma istasyonları arasında kullanıcıların dolaşım yapabildiği “kiosk” ortamlarını güvenle çalışır hale getirme.•Kullanıcılarınönemliuygulamalaraerişimini belirleyen ve güvenlik uygulamalarını aktif hale getiren BT ekibine kolaylık sağlayabilirsiniz. Oracle güvenlik çözümleri, aktif koruma ve otomatik uyarılara yönelik tespit amacıyla veriyi kaynağında korur. Bu sayede müşteriler, yönetmeliklere

uyar, dışarıdaki bilgisayar korsanlarının ve özel haklara sahip kullanıcıların oluşturduğu güvenlik tehditlerinden kurumlarını korurlar. Güvenlik ihlallerinden kaynaklanan denetim ve diğer tüm masraflardan kurtulurlar.

FİnAnsAL hİzMeTLerDe uYuMLuLuK Ve GÜVenLİK•Süreçlerinizveraporlarınızglobal(PCI DSS, COBIT, Sarbanes Oxley) ve AB (yeni Veri Gizliliği Direktifi) yönetmeliklerine uygun mu?•Müşterilerinizeaithassasverileringizliliğini ve bütünlüğünü koruyabiliyor musunuz?•Birgüvenlikihlaliolduğunda,budurumdan müşterileriniz, markanız ve imajınız etkilenmeden önce otomatik olarak haberdar olmak ister misiniz?•Çalınanmüşteriçağrıkayıtlarındankaynaklanabilecek masraflardan mı kaçıyorsunuz? •Yönetmeliklereilişkinbirdenetimsürecinde (KPMG, Deloitte, PWC, CapGemini gibi) dış denetim kurumlarına ilgili denetim raporlarını kolayca, hızlı ve başarılı bir şekilde sunabiliyor musunuz?

Basistek’in asıl işi, kritik veriye sahip şirketlerin daha performanslı, daha güvenli ve daha uygun maliyetlerle bir BT sistemine sahip olması amacıyla danışmanlık yapmaktır.Cangiz Kaya- Basistek / Yönetici Ortak [email protected]

krİtİk Verİlerİn İlerİ SeVİyeDe korunmASı Gerekİr…

• TransparentDataEncryption,ağiçerisindedolaşan,disklerdeveyedekleme için kullanılan teyplerde bulunan hassas verileri şifreler.

• Önleyiciyaklaşımınkullanımısayesindeişletmekullanıcılarıvedışarıdakibilgisayar kullanıcıları hassas müşteri verilerini kötü amaçlarla kullanamazlar. Bu çözüm yönetmeliklere uygun olarak kısa bir süre içerisinde uygulanabilir.

• 11g’denberi,biruygulamanıntümtabloalanınaçokdahaazbirçabaylaveveri tabanının performansını etkilemeden şifre konulabilmektedir.

• TransparentDataEncryption,OracleuygulamalarıveSAPiçinsertifikalandırılmıştır ve Oracle Database’i temel alan üçüncü tarafların uygulamaları ile birlikte de kullanılabilir.

BASİStek’ten Bİr hABer2013 Ocak sonu itibariyle, Basistek Bilgi Teknolojileri San.ve Tic. A.Ş. ile Nesmal Yatırım Holding A.Ş. arasında bir süredir devam eden ortaklık görüşmeleri tamamlanmış olup ortaklık kararı alınmıştır. Nesmal Yatırım Holding, Suudi Arabistan’ın en büyük gruplarından birisi olan Nesma Holding’e bağlıdır ve hedefi Türkiye ile Mısır’da katma değer yaratacak yatırımlar yapmaktır. Bu ortaklık sonucunda her alanda daha güçlü bir Basistek olarak yolumuza devam ediyor olacağız. Yeni ortaklığımız sayesinde yurtiçinde ve de özellikle MEMA (Ortadoğu, Akdeniz, Afrika) bölgesinde daha fazla bilinirliliğe kavuşacağımızı ve hizmet verdiğimiz sektörleri çeşitlendirmeyi hedefliyoruz. Güvenlik konusundaki deneyimimizi farklı coğrafyalara aktararak, veri ihlallerini engelleme konusundaki başarımızı yeni müşteri ve projelerle sürdüreceğiz.

GÜVENLIK.

İÇTENDIŞAİ Ş O R T A K L A R I N D A N14

Türkiye’nin öncü iletişim ve yakınsama teknolojileri şirketi Türk Telekom, Kimlik ve Erişim Yönetimi projesini ağ ve bilgi güvenliği sektörünün lider şirketi Biznet Bilişim ile hayata geçirdi.

Türk Telekom’un Kimlik Yönetimi projesinde Tercihi Biznet Bilişim

Türk Telekom Grubu, çağrı merkezi, satış noktası, kurumsal departman gibi sekiz farklı kullanıcı grubu altında görev yapan 25 bini

aşkın kullanıcısının kimliklerini ve erişim önceliklerini etkin şekilde yönetme becerisini güçlendirme hedefiyle yola çıktı. Bu hedef doğrultusunda Türk Telekom Grubu, gerçek zamanlı, otomatik bir kimlik yaşam döngüsü yönetim sistemi oluşturmak ve mevcut eski sistemlerde çalışanlar dâhil tüm iş uygulamalarına tek girişle erişim (Single-sign-on) sağlamak üzere Oracle Identity Manager , Oracle Access Manager ve Oracle Directory Services çözümlerini Biznet Bilişim’le hayata geçirme kararı aldı.

İhTİYAçLAr•Türkiye’nin81ilinikapsayan

geniş bir organizasyon yapısına sahip olan Türk Telekom Grubu bünyesinde kullanıcı kimliklerini oluşturma sürecinin basitleştirilmesi

•Sekizfarklıkullanıcıgrubualtındagörev yapmakta olan 25 bin kullanıcının, Telekom Sipariş Yönetimi ve Müşteri Elde Tutma Yönetimi gibi karmaşık ve büyük ölçekli uygulamalara erişiminin yönetimi

•İşkurallarındakideğişiklikleridesteklemeyen eski sistemlerdeki kullanıcı yaşam döngülerini yönetmek için gerekli işlem sürelerinin kısaltılması

•Herbirkullanıcıgrubundakiuygulamalar için kullanıcı hesaplarının oluşturulmasını kolaylaştıracak, basit ve standart bir sürecin belirlenmesi

•Kullanıcıhesaplarıüzerindedeğişiklik yapılırken erişim engellendiği için, kullanıcıların kritik sistemlere gecikmesiz giriş yapmasının sağlanması

“Biznet Bilişim gibi doğru bir iş ortağı ile çalışmak büyük avantaj sağladı. Biznet Bilişim’in yerli bir firma olması, sürekli destek alabilmemiz ve tecrübelerinden yararlanmamız çok önemliydi. Uygulama boyunca Biznet Bilişim çalışanlarıyla birebir temaslar ve çalışmayla başarıyı yakaladık”Türk Telekom Kullanıcı Yönetimi Müdürü Sertaç Çelik

Oracle’ın Kimlik Yönetimi alanındaki ilk iş ortağıyız“Biznet Bilişim, odağı sadece ağ ve bilgi güvenliği olan, her şeyden önce müşterilerine üst seviyede danışmanlık, denetim hizmetleri ve teknik destek vermekle mükellef bir hizmet şirketi. Bugün geldiğimiz noktada Biznet Bilişim, bir önceki yıla oranla 2012 yılında %60’ın üzerinde büyüme

sergiledi. 10 yıl önce ise bize, “BT Güvenliği işi mi yapıyorsunuz? Çıldırmış olmalısınız, güvenlik hiç kimsenin önceliği değil!” deniyordu. O döneme baktığımızda son derece doğru bir tespit gibi görünse de, uzun vadede BT’de güvenliğin sağlanmasının kaçınılmaz hale geleceğini biliyorduk, bugünlerin yatırımı bilhassa kurucu ortaklarımızca 10 yıl öncesinden yapılmıştı. Kimlik Yönetimi alanındaki ihtiyacı yine önceden görmeyi başaran Biznet Bilişim, hem Türkiye’de bu konuda projelendirme ve danışmanlık veren ilk şirketlerden biri hem de Oracle’ın bu alandaki ilk iş ortağı oldu. Şu anda ise Kimlik Yönetimi Danışmanlığı en önemli iş kollarımız arasında. Örneğin Kimlik Yönetiminin ileri bir aşaması olan Rol Yönetimi konusunda da yine bir ilke imza atarak Türkiye’deki ilk projeyi Oracle ile hayata geçirmeye başladık.” HaKan TerziOğlU, Biznet Bilişim Satış ve Pazarlama Direktörü

Üst düzey güvenlik çözümleri sağlıyoruz

“Biznet Bilişim olarak ağ ve bilgi güvenliği sektörüne yönelik danışmanlık ve denetim hizmetlerimiz ile müşterilerimizin BT sistemlerinin güvenlik seviyelerini

test ederek, uluslararası standartlara uygun duruma gelmesi konusunda danışmanlık sağlıyoruz. Ayrıca uzman yazılım ekibimiz tarafından geliştirilen özgün ve yenilikçi yazılım ürünlerimizle bilgi güvenliği alanında müşterilerimize kapsamlı çözümler sunabiliyoruz. Bütün bu yetkinliklerimize güvenlik alanında konusunda lider uluslararası firmaların ürünlerinin projelendirilmesi, kurulum ve teknik destek hizmetleri de eklenince, kurumlara uçtan uca üst düzey güvenlik çözümleri ve hizmetleri sağladığımızı söyleyebiliriz”OnUr arıKan, Biznet Bilişim Kurucu Ortağı- Baş Danışman

Başarılı ve öncü projelere imza atıyoruz “Ağ ve bilgi güvenliğinin kurumlar için

gün geçtikçe daha da kritik bir konu haline geldiği günümüzde, Kimlik ve Erişim Yönetimi’nin BT güvenliği mimarilerinde önemi de artıyor. Biznet Bilişim’in bu alanda müşterileri tarafından tercih edilmesinin en önemli nedeni ise; çözüm mimarisi

oluşturulması, ürünlerin kurulumu, özelleştirilmesi, politikaların belirlenmesi ve uygulanması, çevre-sistem ve uygulamalarla entegrasyonu gibi kritik aşamalardaki 6 yıllık tecrübesidir. Türkiye’de kimlik yönetimi alanında sadece ilk Oracle kimlik yönetimi projesini gerçekleştirmekle kalmadık, 2006 yılından bu yana pek çok başarılı ve öncü projelere de Biznet Bilişim imzası attık. Başarımızın sırrı ise konusunda uzman ve teknik yetkinlikleri üst seviyede olan bir danışmanlık ekibine sahip olmamız. Şu anda Kimlik Yönetimi konusunda Türkiye’deki en büyük ve en yetkin danışmanlık kadrosuna sahip durumdayız. Üstelik bu alanda yatırımlarımız da artarak devam ediyor.” KaMUran MOrOğlU, Biznet Bilişim Kimlik Yönetim Sistemleri Direktörü

neDen Bİznet Bİlİşİm?

çÖzÜMLer Ve KAzAnıMLAr•OracleIdentityManagersayesinde25

bini aşkın kullanıcının kimlik yaşam döngüsü gerçek zamanlı ve otomatik bir şekilde yönetilerek, şirketin iş kurallarına ve güvenlik standartlarına her zaman uyuluyor olması ve doğru erişim haklarına sahip kullanıcıların uygulamalara ve sistemlere erişimi sağlandı

•OracleAccessManagerdevreyealınarak şirketin 15 bin dahili, 10 bin harici kullanıcısının eski sistemlerde yer alanlar dahil tüm uygulamalarına tek bir şifreyle, tek bir noktadan giriş yaparak, kolay ve güvenli şekilde erişimi sağlandı

•Kullanıcılarınsistemekayıtsürelerinihızlandırmak ve kullanıcı verilerini doğru şekilde elde etmek amacıyla, geçerli Türk Telekom hesapları bulunan kullanıcıların kendi kayıt işlemlerini kendilerinin gerçekleştirebilmesi ve böylece kullanıcıların geçerli kullanıcı kimlikleriyle sistemlerde otomatik kayıt ve kimlik doğrulaması yapabilmesi sağlandı

•OracleIdentityManagerveOracleInternet Directory’nin devreye alınmasından itibaren 48 saat içinde herhangi bir performans problemi olmaksızın 15 bin dahili kullanıcının kendi kayıt işlemlerini gerçekleştirebilmesi sağlandı

•Yardımmasasıgörevlilerininkullanıcıhesapları ve şifreleri ile ilgili sorunları çözmek için harcadıkları süre günde beş saatten 20 dakikaya indi

•Dahaöncekullanıcıhesaplarıveşifreleri ile ilgili yardım masasına gelen çağrılar toplam çağırılarının % 45’ini oluştururken, proje sonrasında bu oran % 3’e düştü

•Maliyet/faydaverimliliğidahayüksek,daha merkezi bir kullanıcı yaşam döngüsü yönetimi sağlamak için, Siebel CRM, ERP, yerel ağ paylaşım sistemi, tahsilat sistemi gibi 13 kritik uygulamaya Oracle Identity Manager ve Oracle Internet Directory entegre edildi

•Çalışanlarınişebaşlamasıylaerişimyetkilerini otomatik veren, işten ayrılmasıyla erişim yetkilerini otomatik iptal eden bir mekanizma yardımıyla hem çalışanların sistemlere eskisinden daha hızlı erişebilmesi sağlandı, hem de şirket güvenliği büyük ölçüde güçlendi.

•Birişgünündehemkurumsalverigüvenliğini, hem de uygulama iş yüklerini izlemeyi kolaylaştıran kritik bir özellik olarak detaylı ve özet sonuçlar sunan erişim ve aktivite raporlarının alınabilmesi sağlandı

•TürkTelekomiçindekibelirlibirimlerinyönetimi, kullanıcı hesaplarını ve erişim haklarını tanımlamak ve iptal etmek konusunda Türk Telekom’un dâhili departmanlarından daha hızlı ve daha doğru hareket edebilen birim yöneticilerine delege edildi

•Kaynakyöneticilerininkendiişbirimlerindeki kullanıcı yaşam döngülerinden daha fazla haberdar olabilmeleri ve kendi sorumluluklarındaki dâhili ve harici denetimleri gerçekleştirebilmeleri sağlandı.

uYGuLAMA sÜrecİ Ve sOnuç

Yedi aylık bir uygulama sürecinin ardından, Türk Telekom Grubu’na ait altı farklı BT altyapısı entegre edilerek sistem Şubat 2011’de canlı kullanıma geçirildi. Uygulama, zamanında ve bütçe sınırları içinde tamamlandı.Biznet Bilişim’in konusunda uzman ekibinin proje uygulaması sonucunda, bugün Oracle Identity Manager ve Oracle Access Manager ürünleri, Türk Telekom bünyesindeki 15’ten fazla büyük uygulamanın kimliklerini ve erişim haklarını yönetiyor. Türk Telekom Kullanıcı Yönetimi Müdürü Sertaç Çelik, “Altı yıldır kimlik yönetimi uygulamalarını başarıyla hayata geçiren, çok deneyimli bir ekibe sahip olan Oracle iş ortağı Biznet Bilişim, bize sadece kullanacağımız ürünleri sunmakla kalmadı; hangi kavramlar üzerinde hareket edeceğimiz konusunda da destek oldu. Analiz, tasarım, özelleştirme ve test süreçleri boyunca birlikte çalıştığımız Biznet Bilişim, İstek Yönetim Sistemimiz ve Java uygulamalarımız için gerekli özelleştirmeyi de gerçekleştirdi. Bugün birlikte devreye aldığımız sistemi işletirken, Biznet Bilişim, Oracle Identitiy Management çözümlerinin her zaman kesintisiz hizmet vermesini garantilemek için gerekli bilgi birikimi ve teknik desteği sunmaya devam ediyor.”


GÜVENLIK.


Merkezi İstanbul’da bulunan Grid Teknoloji, Oracle veri tabanı danışmanlığı, Java Tabanlı Kurumsal Yazılım geliştirme ve Proje Yönetimi gibi alanlarda başarılı projelere imza atıyor.

Dünya çapında güvenlik projeleri

Bilgi teknolojilerinin hayatımıza her geçen gün daha fazla girmesi ile birlikte, verilerin kurumlara kazandırdığı değer ve önem de bir o kadar artmıştır.

Bu nedenle artık kurumlarımızın, tüm diğer değerli varlıklar gibi, verilerini önemle korumaları gerektiği apaçık ortadadır. Bunun için öncelikle, kurumların bu konuda bilinç ve Know-How’ının güçlenmesi ve erişim seviyesinde güvenlik, merkezi kullanıcı kimliği yönetimi, şifreleme, kullanıcı hatalarına karşı önemler, yedeklerin güvenliği gibi birçok hususun uçtan uca konfigüre edilmesi gerekmektedir.

Grid Teknoloji olarak, Oracle veri tabanı danışmanlığının yanında müşterilerimize kapsamlı penetrasyon testleri, Audit ve DB Firewall gibi hususlarda da kapsamlı hizmetler sunuyoruz.

Türkiye ve Orta Asya bölgesinde hizmet verdiğimiz müşterilerimizin profillerini göz önüne aldığımızda özellikle finans, sigorta, sağlık, GSM ve kamu kuruluşlarında güvenlik ihtiyacının ön plana çıktığını söyleyebiliriz.

Danışmanlarımızın yaptığı birçok analiz ve penetrasyon testinde, kurumların sadece dış network ile iç network arasında pozisyonladıkları firewall’lar ile birçok güvenlik açığını kapattıklarını düşündüklerini görüyoruz. Yine bu analizler sonucunda şunu söyleyebiliriz ki, güvenlik açıklarının büyük bir oranı,

• Localnetwork’tenveritabanısunucularına yapılan saldırılar,

• İşletimsistemiseviyesindeveritabanı sunucuna erişimler,

• Yazılımşifrelerinineldeedilmesisonucu ne tür bilgilere erişim sağlandığının kontrol edilememesi,

• Networkdinlemeleri,• DBAyetkisinesahipkullanıcılar,• ResultSet’lerinkontrol

edilememesi, • Demoveyaeğitimleriçinhazırlanan

sunucuların güvenliğinin ve şifrelerinin ihmal edilmesi,

• KurumungerekRMANgereksede diğer Export yöntemleri ile aldığı yedeklerden doğan güvenlik açıkları,

• Kurumiçindeistemedengerçekleşen yanlış (Update, delete,

insert, alter, drop gibi) operasyonlar gibi sebeplerden kaynaklanmaktadır.

YAzıLıM GeLİŞTİrMe’De GÜVenLİK!

Grid Teknoloji olarak kendi geliştirdiğimiz yazılım geliştirme platformunda önem verdiğimiz en önemli konulardan birisi de güvenlik oldu. Çok katmanlı olmayan mimarilerde, güvenlik çoğunlukla veri tabanındaki yetkilendirmeler aracılığıyla sağlanıyordu. Sunucu - istemci arasındaki iletişimin güvenliği ise çoğunlukla veri tabanının sunduğu iletişim güvenliklerine bağımlı idi. Çok katmanlı mimari ile birlikte, veri tabanı ve istemci arasında iş sınıflarını işleyen, yetkilendirmeyi yapan ve iletişim katmanının güvenliğini çok farklı yöntemlerle sağlayan bir yapıya kavuşmuş olduk.

Grid Teknolojinin geliştirdiği Eria yazılım platformunda ise günümüzde sunulan ortalama güvenlik seviyesinin çok ilerisinde bir standartta hizmet vermekteyiz.Bileşen Yetkilendirmesi: Bu özellik sayesinde, yazılımcıların geliştirdiği grafik ara yüzündeki tüm bileşenler, gerçekleştirdiği her bir fonksiyonla kullanıcıya veya kullanıcı gruplarına (roller) yetkilendirilebilir. Bu bileşenlere butonlar, listeler, metin kutucukları, listelerdeki her bir sütun, pencereler, masaüstü kısa yolları, başlat menüsü nesneleri ve daha ismi sayılmayan ön yüzde kullanılan tüm bileşenler dahildir. Yetkilendirme, bu bileşenlerin her bir fonksiyonu için de ayrıca verilebilir. Örneğin liste bileşeni tamamen görünmez veya deaktif yapılabilirken; bazı kullanıcılar için listenin sadece bazı sütunlarının görüntülenmesi, bazı kullanıcı gruplarına ise belirli sütunlara göre arama veya sıralama yetkisi verilebilir. Yine bir başka bileşen olan zengin metin kutucuğuna veri girişi izni bazı kullanıcılara verilirken, bazı kullanıcılara örneğin, metinin üzerinde renkdeğişikliği yapma izni verilmeyebilir. Bileşenlerin sunduğu her bir fonksiyonun ayrıca yetkilendirmeye dahil olması, sistem yöneticisinin yazılımın tamamı üzerinde yetki denetimi yapmasına olanak sağlar.zaman Bazlı Yetkilendirme: Yetkilendirmeler konusunda yaşanan en büyük sorunlardan birisi de yetkinin hangi zamanlarda verileceğine yönelik denetimin

yapılamamasıdır. Örneğin, bir işletmede geçici olarak görev yapmakta olan stajyer için 3 aylık yetkilendirme yapılması gerektiğinde, öncelikli olarak sistemin yetki mekanizmasında rol veya kullanıcı ataması yapılmaktadır. Üç ay sonrasında stajyerin görev süresi dolduğunda tekrar LDAP üzerinden rol veya kullanıcı ataması kaldırılmaktadır. Eria yazılım platformunda ise tüm yetkilendirmelerde zaman limiti ilk kayıt aşamasında yapılabilir. Dilenirse, yetkinin başlangıç ve bitiş tarihi belirtilebilir, yetki belirli günlerle veya günün belirli saatleri ile sınırlandırılabilir.Merkezi Kayıt sistemi: Eria yazılım platformunda veri tabanında yapılan her işlem (silme, kayıt güncelleme, yeni kayıt ekleme), yazılım geliştiricinin inisiyatifine bırakılmadan, obje modeline dayalı veri tabanı katmanı tarafından kayıt altına alınır. Bu sayede, şüpheli işlemlerin incelenmesi, kaydın hangi kullanıcı tarafından değiştirildiği (yapılan değişiklik ve değişiklikten önceki hali ile), hangi kullanıcı tarafından silindiği veya eklendiği sürekli kontrol altındadır. Yetkilendirme implementasyonunun sistem yöneticisi

tarafından eksik yapıldığı durumlarda dahi, yetkisiz yapılan işlemler, bu günlük kayıtların yardımıyla otomatik olarak eski haline getirilebilir. Gerçek zamanlı İzleme: Eria yazılım platformunun bir diğer avantajı ise, şu anda mevcut olan hiçbir web uygulamasında bulunmayan ve implementasyonu tamamen Grid Teknoloji tarafından yapılmış gerçek zamanlı iletişim katmanı sayesinde, istenilen kullanıcının ekranının, veri girişinin ve kullandığı yazılım fonksiyonlarının gerçek zamanlı ve canlı bir şekilde sistem yöneticisi tarafından izlenebilmesidir. Güvenlik ve yetkilendirmenin sistem yöneticisi tarafından analiz edilebilmesi ve son kullanıcının o anki faaliyetlerinin canlı bir şekilde izlenebilmesi ile hızlıca aksiyona geçilerek, yetki kısıtlaması yapılabilir. İletişim Katmanı Güvenliği: Eria platformu, internet tarayıcısı aracılığıyla kullanılabilen bir web uygulaması olduğu için, şu anda kabul görmüş tüm iletişim katmanı güvenliği teknolojilerinden faydalanabilir. Yazılım geliştiriciler, ihtiyaçları ölçüsünde 128-256 bit SSL, SSL2 veya TLS güvenliği uygulayarak, iletişim katmanının da güvenlik sağlayabilirler. Bu standart yöntemlere ek olarak, ayrıca yazılım katmanında da Eria platformu istemci - sunucu güvenliğinin artırılmasına yönelik birçok açık/kapalı anahtar yöntemini destekleyerek, ekstra güvenliğin gerektiği durumlarda da yazılım geliştiricilerine seçenekler sunmaktadır. Ayrıca e-devlet uygulamalarında e-imza ve benzeri PKI altyapısı bulunan kurumlarda istemcide bulunan SmartCard ve okuyucuları aracılığıyla sisteme erişimde güvenlik kartı uygulamalarını desteklemektedir.Veri Güvenliği: Eria platformu, temelden ele alınarak geliştirilirken yazılımcıların hatalı implementasyonları nedeniyle oluşabilecek veri kaçağı ihtimalini sıfıra indirmek adına her bir istemcinin sunucudaki oturum ve diğer bilgilerini birbirlerinden ayırır. Her bir istemcinin anlık verilerini kendi alt Eria Client sanal ortamında tutar. Bu sayede, son kullanıcıların veri tabanı haricinde kalan oturum ve geçici verileri birbirlerinin erişemeyeceği bir yapıda tutularak veri güvenliği sağlanmış olur.

Grid Teknoloji olarak Oracle veri tabanı konusunda farklı coğrafyalarda çok farklı projeler gerçekleştiriyoruz. Finans, sigorta, sağlık, GSM ve kamu sektörüne yönelik güvenlik çözümleri üretiyoruz.MUraT TeKSÖz- Genel Müdür [email protected]

GÜVENLIK.



InspireIT, Oracle veri tabanının tüm imkânlarını kullanarak önemli güvenlik kaygılarına yanıt veren çözümler sunmaktadır.

Şirket verilerinizin güvenlik seviyesini yukarı çekin!

oğu bilgi sistemi gibi veri tabanlarında da işlevsellik ön planda tutulmakta ve güvenlik konusu farkına varılmadan ihmal edilmektedir. Veri tabanı

güvenliği denince birçok işletme sahibi, öncelikle kullanıcıların erişim izinlerini, veri / ağ şifrelemeyi ve güvenlik duvarlarını düşünür. Oysa bunlar veri güvenliğinin yalnızca birer unsurudur. IDC’nin güvenlik konulu araştırmalarının en çarpıcı sonuçlarından bazılarına bakalım;

•Güvenliktehditlerinin%80’iiçeridengelmektedir

•İçeridengelentehditlerin%65’itespit edilememektedir

•Networkgüvenliği(VPN,Firewall)oldukça iyi anlaşıldığı için, artık saldırılar içeriden direkt olarak verinin kendisine yapılmaktadır

Yapılan son araştırmaların da gösterdiği üzere, veri güvenliği ve veri tabanı savunması konusunda yalnızca bilinen önlemlerin alınması yeterli olmadığından, eldeki gelişmiş sistemin tüm fonksiyonlarını layıkıyla kullanmak göz ardı edilmemesi gereken bir konu.

Yenilenen saldırı tekniklerine karşı vaktinde uygulayacağınız önlemler, şirket veri güvenliğiniz için hayati önemdedir. Her kritik sistem sorumlusunun kendisine sorması gereken bazı soruları hatırlayalım;

•Oracle’ındüzenliolarakyayınladığıve sadece güvenlik açıklarına özel olan yamaları biliyor ve düzenli olarak uyguluyor musunuz? Yoksa, sisteminizin işlevselliğine ve sürdürülebilirliğine zarar vereceği endişesiyle, uygulamada geç kalarak mevcut güvenlik açıklarının etkilerini daha da mı arttırıyorsunuz?

•Hassasverilerinizekimlerineriştiğiniveri tabanı performansınızı etkilemeden kayıt altına almak ister misiniz?

•Şirketinizdeyeniuygulamalariçinaçılan veri tabanı kullanıcılarının haklarını biliyor musunuz ya da bu hakları nasıl kullandıklarını kontrol edebiliyor musunuz? Şirketten ayrılan personel için açılan kullanıcıları veri tabanından da kaldırıyor musunuz?

•Veritabanınabağlanankullanıcılarınhangi IP adreslerinden geldiklerini denetliyor musunuz?

•Veritabanınailkbağlanmasırasındakişifre hatalarını tespit ederek, potansiyel sızma girişimlerini farkedebiliyor musunuz?

•Veritabanıilkkurulumunusizmiyaptınız ve hazır gelen opsiyonların yarattığı güvenlik açıklarını biliyor musunuz?

•Kullandığınızscript’lerdeaçıkşifrekullanıyor musunuz ve kullanıyorsanız kaldırmak için bir çalışma yaptınız mı?

•Veritabanıaudit’inihiçkullandınız

mı? Etkili ve sınırlı kullanıldığında çok yararlı bilgiler alabilirsiniz.

•Veritabanıauditözelliklerinikullanıyoriseniz, sistemde oluşan tehditler için zamanında uyarı mesajları alarak, olası sızma girişimlerini raporlayabiliyor musunuz?

•Sistemyedeklerinineredesaklıyorsunuz ve yedekleri çalınmaya karşı şifreliyor musunuz?

•Veritabanıseviyesindekullanıcı

erişimlerini sıkı denetlemenize rağmen, işletim sistemi seviyesinde veri tabanı dosyalarına ya da veri tabanı dump dosyalarına direkt erişebilen yetkili kullanıcılara nasıl önlem alıyorsunuz?

•Felaketkurtarmasisteminizvarmıveolası göçme durumlarında ne kadarlık bir kesintiye tahammül edebilirsiniz?

•Testsistemlerinizecanlısistemlerdenveri atarken hassas verinizi koruyabiliyor musunuz?

Sektördeki yaygın güvenlik uygulamalarını en iyi şekilde size sunan InspireIT, veri tabanı güvenlik açıklarınızı ortaya çıkarıp, verilerinizin güvenliğini en ileri düzeyde arttırarak, kurumsal güvenlik

standart prosedürlerine uygunluğunuzu garanti altına alır. Veri tabanının mevcut güvenlik özelliklerinin etkin kullanımını sağlar ya da ek güvenlik gereksinimleri bulunuyorsa, Database Firewall, Database Vault, Audit Vault, Advanced Security gibi Oracle’ı sektörünün en gelişmiş veri tabanı güvenlik ürünü yapan üstün özelliklerden dilediklerinizi sisteminizle buluşturur. Hizmet verilen tüm sistemlerde güvenlik ön plana çıkarılarak, fonksiyonellikten ödün vermeden kullanıcı erişimlerine maksimum kısıtlama uygulanmaktadır.

InspireIT kurumsal ortamlardaki yaygın deneyimi ile kendi yönetimi ve denetimi altındaki veri tabanlarında, • AuDITlEmE VE İzlEmE : Database Firewall, Audit Vault, Total Recall• ERİŞİm KORumA İlE KİmlİK YÖnETİmİ : label Security, Database Vault• ŞİFRElEmE : Advanced Security, Transparent Data Encryption (TDE), Data masking• ÖlÇEKlEnEBİlİRlİK : RAC• FElAKET KuRTARmA : Data Guard, Goldengate• VERİ YEDEKlEmE : RmAn, Secure Backup• VERİ KuRTARmA : RmAn, Flashback Teknolojileri hizmetlerinin yanı sıra yasal gereklere uygunluk gibi pek çok olanak da sağlamaktadır.

Yasal gereklilik kapsamında InspireIT tarafından bankalarda ve sigorta firmalarında yapılan birkaç aylık çalışmalarda, ‘Oracle Database Vault’ konfigürasyonları yapılmış, ‘Advanced Security Opsiyonu’ ile tablo verilerinin ve ağ paketlerinin şifrelenerek iletimi sağlanmış ve ‘Data masking Pack’ ile canlı ortam verilerinin test ortamlarında gizliliği garanti altına alınmıştır.

Artan güvenlik gereksinimlerinin (sistem yönetimini karmaşıklaştırmadan) mevcutta yatırımı yapılmış veri tabanının sağladığı hazır özelliklerle karşılanmasının, uzun vadede maksimum maliyet avantajı sağlayan uygulama bağımsız yöntem olduğunu düşünüyoruz. Farklı markalara ait ürünlerin entegrasyon sorunları ve sürüm arttırımı zamanlarında ortaya çıkabilecek uyumluluk sorunları ek maliyet kalemleri olarak düşünülmelidir.

‘Oracle Database Vault’ sektördeki en ileri veri tabanı güvenlik ürünü olarak, kritik verilerinize kimin, hangi zamanlarda, nerede ve ne şekilde erişebileceğini belirler. Bu sayede müşterilerimiz hassas uygulama verilerini daha ileri seviyede koruyarak, veri tabanı seviyesinde yetkilerini kötüye kullanmak isteyen kullanıcıların ya da veri tabanı sorumlularının erişimine kapatır. Aynı zamanda Oracle Database Vault, mevcut uygulamada herhangi bir değişiklik gerektirmeksizin veri tabanlarına ve kritik verilere kimin, ne zaman, nereden ve nasıl ulaşabileceğine dair politikalar getirmektedir. Oracle kaynak koduna entegre çalışan bir modül olması sebebiyle, uygulamanıza ait hassas verilerinizin ilgili kullanıcılar dışında, veri tabanı yöneticileri de dahil kimse

tarafından görülememesini sağlayan, Oracle veri tabanlarına uyumlu ve rol ayrımını garanti edebilen tek üründür.

InspireIT, kurumların hassas verilerini korurken proaktif bir stratejileri olması gerektiğine inanmaktadır. müşteri özlük bilgilerinin, satış rakamlarının ya da hassas finansal kayıtların çalınması gibi kritik vakaların artmasına paralel olarak, başta veri tabanı olmak üzere organizasyonel her tür verinin korunma gereksinimi, önümüzdeki 5 senenin en önemli yatırım kalemlerinden biri olacaktır.

Sektördeki yaygın güvenlik uygulamalarını en iyi şekilde size sunan InspireIT uzmanları, yapılacak ön değerlendirme çalışması sonrası veri tabanı güvenlik açıklarını tespit edip verilerinizin güvenliğini en ileri düzeyde arttırarak, kurumsal güvenlik standart prosedürlerine uygunluğunuzu garanti altına alacaktır.

GüVenlİğİnİzDen ÖDün Vermeyİn!

Verileriniz gerektiği gibi korunuyor ve yönetiliyor mu? Bu konuda en ufak bir şüpheniz bile varsa güvende değilsiniz demektir.HaKan erGÜn / Yönetici Ortak [email protected]

Ç

GÜVENLIK.


KoçSistem olarak yenilikçi bilgi güvenliği teknolojilerimiz ve hizmetlerimizle paydaşlarımızı yarınlara taşıyan öncü güç olma vizyonumuz ile bilgi güvenliğini proaktif bir yaklaşım ile her noktada sağlamayı hedefliyoruz.

Veri güvenliğinde Koçsistem ile kurumlara özel yenilikçi çözümler

Günümüzde veri güvenliği, sadece yöneticileri ilgilendiren bir konu olmaktan çıkarak tüm çalışanları endişelendiren

bir konu haline gelmiştir. Finansal bilgilerimizden günlük tercihlerimize kadar kontrolümüz dahilinde ya da haricinde depolanan her türlü kişisel bilginin güvenliği önem taşımaktadır. Bunun yanı sıra, kurumları tehdit eden iç ve dış unsurlardan kaynaklanan güvenlik endişeleri, uygulamaların içeriğinde bulunan verilerin önemi ve gizli bilgileri güvenlik altına alma talepleri, veri tabanı sistemlerinin güvenlik araçlarıyla güçlendirilmesini vazgeçilmez hale getirmektedir.

KoçSistem’in sunmakta olduğu hizmetler arasında Oracle Database Vault, Audit Vault & Database Firewall, Advanced Security ve Label Security gibi veri tabanı güvenlik araçları ve bileşenlerinin projelendirilmesi, kurulumu ve konfigürasyonunu içeren danışmanlık hizmetlerinin sağlanması bulunmaktadır. KoçSistem olarak bu alanda yatırım yaparak sahip olduğumuz deneyimli ve konusunda sertifikalı danışmanlar ile projelerin minimum riskle tamamlanmasını hedeflemekteyiz. Bunun yanı sıra veri tabanının güvenliğini, sürekliliğini ve sağlıklı çalışmasını sağlamak amacıyla, projenin hayata geçmesinden sonra proaktif yönetimsel işlevlerin gerçekleştirildiği sürekli bakım hizmetlerimiz bulunmaktadır. Bu hizmetler ile KoçSistem, iş kritik alanlardaki hizmet sürekliliğini müşteri tarafından belirlenen

hizmet seviyesinde gerçekleştirerek proje sonrası sistemin sağlıklı olarak işletilmesini hedeflemektedir.

uçTAn ucA GÜVenLİKKoçSistem veri ve veri tabanı

güvenliği konusundaki uzmanlığını, teknoloji konularında öncü konumda bulunan bir Kamu Kuruluşu için, Türkiye’de ilk defa gerçekleştirilen Oracle Database Firewall satışı ve implementasyonu projesi ile göstermiştir. Kurumun ihtiyacı olan veri tabanına gelen sorguların ve üzerindeki aktivitelerin izlenmesi, gerektiğinde müdahale edilmesi ve veri tabanı güvenliğinin, Audit Vault ve Database Vault ürünlerine ek olarak Oracle Database Firewall ürünü kullanılarak sağlanması amaçlanmıştır. Böylece hem canlı hem de felaket kurtarma merkezinde

yer alan veri tabanı sistemleri güvenli hale getirilerek, veri tabanına içeriden veya dışarıdan gelebilecek saldırılara karşı bir güvenlik kalkanı oluşturulmuştur.

Kurumların ihtiyacı olan uçtan uca güvenliğin sağlanması için sadece veri tabanı seviyesinde güvenlik çözümleri değil uygulama seviyesinde de güvenlik çözümlerinin hayata geçirilmesi kaçınılmazdır. Kimlik Yönetimi IDM de uygulama seviyesinde güvenlik konusunda en önemli ihtiyaçlardan birisidir. Şirketler, büyüme ve gelişme eğilimlerine paralel olarak farklı kademe ve departmanlarda onlarca farklı uygulama kullanmaktadır. Uygulamanın amacına bağlı olarak kurumlar bu uygulamalar için farklı güvenlik sistemleri kurmak durumunda kalmaktadırlar. Bu durum, zaman içerisinde tek bir kullanıcının farklı iş süreçlerinde, farklı kullanıcı isimleri ve şifreler, farklı yetkilendirme protokolleri kullanmasına yol açmaktadır.

Her bir iş süreci için farklı yetkilendirme politikalarının, binlerce kullanıcı için uygulanması zaman alan, denetimi güç ve hataya açık bir ortam doğmasına neden oluyor. Kimlik yönetimi, bu noktada devreye girerek, güvenlik konusunu merkezileştirme, daha sağlıklı bir yapıya kavuşturma, zaman ve maliyet avantajları yaratma imkânı sunuyor.

TecrÜBeLİ KADrOKoçSistem, bu alanda lider konumda

olan Oracle teknolojilerine son 5 yıldır ciddi bir yatırım yaparak Türkiye’nin en tecrübeli danışmanlık ekibini kurmuş ve kimlik yönetimi konusunda şirketlere fark

yaratan çözümlerini ESSO (Enterprise Single Sign On) ve / veya SSPR (Self Service Password Reset), Provisioning, İK - İş Süreçlerinin Otomasyonu, Çalışanların Erişim Haklarının Otomasyonu, Rol Yönetimi ve Etkin Raporlama başlıklarında sunmaktadır.

KoçSistem, geçtiğimiz 5 yıllık süreç içerisinde binlerce kullanıcısı olan 2 Ulusal Banka’nın ve Koç Holding’e bağlı 4 şirketin IDM uyarlamasını gerçekleştirdi. Bu projeler hayata geçirildikten sonra kullanıcılar kendi kimlik ve uygulama bazlı şifre yönetimlerini merkezi bir şekilde yapar hale gelmişlerdir. İşe alım sürecinde yeni bir çalışana tüm bankacılık uygulamaları dahil kendi rol ve sorumluluğuna göre tüm erişim haklarının verilmesi onay süreci dahil saatler mertebesine gelmiştir. Aynı şekilde işten ayrılma durumlarında kullanıcının tüm erişim yetkilerinin merkezden silinmesi yine birkaç saat içinde yapılabilir olmuştur.

Son 12 ayda ise Oracle IDM çözümleri ile bu çözümlerin en son versiyonları İstanbul’da Koç Holding merkezi satınalma sürecini yönetmek için kurulmuş olan ZER A.Ş.’nin İK İş Süreçlerinin Otomasyonu projesi sürecinde gerçekleştirilmiştir. Yine önemli projelerden birisi de Ankara’da bir kamu kuruluşunda Oracle satınalma öncesi kullanılmaya başlanan SUN IDM çözümlerinin Oracle IDM teknolojilerine göre yeniden uyarlanarak taşınması projesidir. Yetkin ve tecrübeli ekibiyle KoçSistem, bu alanda halihazırda birçok fırsat üzerinde çalışmaktadır.

Veri güvenliği ve yönetimi konusunda müşterilerimize benzersiz hizmetler sunuyoruz.ÖzleM KeSTiOğlU / KoçSistem Teknoloji Çözüm ve Hizmetleri Satış Grup Yöneticisi [email protected]

KoçSistem olarak yatırım yaptığımız diğer önemli alanlardan birisi de Bulut Bilişim teknolojileridir. IDC 2012 sonuçlarına göre, Türkiye Bulut Bilişim Pazar lideri olarak Koçsistem, paylaşımlı

güvenlik sistemlerine de yatırım yapmaktadır. Son iki yıldır “Hizmet olarak altyapı” bileşenlerini paylaşımlı olarak sunan Koçsistem, veri iletişimi güvenliği alanlarında halihazırda müşterilerine hizmet vermektedir. Ayrıca KoçSistem, müşterilerine sunduğu hizmetlere, 2013 yılının ikinci yarısında paylaşımlı veri tabanı güvenliği hizmetlerini de eklemeyi hedeflemektedir. KoçSistem veri merkezlerinde bulunan 250’den fazla Oracle veri tabanı ortamının güvenliğini en üst düzeyde sağlamak için, Oracle teknolojileri fizibilite çalışmaları devam etmektedir. Yapılacak olan yatırımla tüm veri tabanı logları merkezi olarak saklanacak ve belirlenen kurallar çerveseninde, proaktif olarak yönetilecektir. Müşterilerimizin tek tek yatırım yapmasının yerine KoçSistem olarak onlara tüm bu hizmetleri bulut ortamından paylaşımlı olarak vermeyi ve yönetmeyi hedeflemekteyiz. Veri erişiminde sınırların kalktığı günümüzde, veri güvenliğinin sağlanması ve yönetilmesi konuları çok önemli hale gelmiştir. KoçSistem ve Oracle olarak gerçekleştirdiğimiz işbirliği ile kurumların bu kapsamdaki ihtiyaçlarını karşılayacak ve kurumsal itibarlarını güvence altına alacak teknolojiler ve hizmetler sunarak, onlarınn güvenliğini en üst seviyede sunduğumuz hizmet ile sağlamaktayız.

Bulut GüVenlİğİ

GÜVENLIK.



Müşterilerimize Oracle teknolojileri konusunda danışmanlık ve destek hizmeti verirken uzman ve deneyimli kadromuzla eğitim merkezimizde Oracle Üniversitesi’nin resmi sertifikalı eğitimlerini veriyoruz.

Metod Bilişim hizmetleri ile Oracle veri tabanı güvenliği

Bilginin değerinin ölçümlenmeye ve hatta değerine göre sigortalanmasına çalışıldığı bir zamanda yaşıyoruz. Bu nedenle doğal olarak saldırıların en

yoğun olacağı yer kuşkusuz bilginin kaynağı olan veri tabanı olacaktır. Cloud mimarisinin gelişmesine paralel olarak verilerin başka lokasyonlarda tutulması da önümüzdeki dönemde veri tabanı güvenliğini en üst seviyeye çıkaracaktır. Oracle 11c ile birlikte sysdba, sysoper ve sysasm yetkilerine ilave olarak sysbackup (rman ile backup almak için), sysdg (dataguard broker kullanabilmek için) ve syskm (Transparent data encyption işlemleri yapabilmek için) yetkilerinin de gelmesi, yetkiler ayrımının derinleşerek bulut mimarisine uygun hale gelineceğini gösteriyor. Dolayısıyla verinin kaynağında korunması ihtiyacı gitgide artacak ve Oracle veri tabanının sunduğu güvenlik opsiyonlarına çok daha fazla ihtiyaç olacaktır.

TehLİKe her YerDeAncak sektörümüzde bu bilincin henüz

tam olarak yerleşmediğini ve veri tabanı güvenliği konusunda hala açıklar olduğunu görüyoruz. Genel olarak network ve orta katman tarafında güvenliğin daha öncelikli olarak düşünüldüğünü , veri tabanında ise önleyici güvenlik tedbirleri yerine , tespit etme yönteminin daha ağırlıklı olarak kullanıldığını gözlemliyoruz. Biz verilerin kaynağında, yani bizzat veri tabanında en iyi şekilde korunabileceğini düşünüyoruz.

Üniversitede veri güvenliği dersinden hatırladığım bir cümle var. Şöyle diyordu

“Verilerinizi korumak için alacağınız önlemler o kadar çok ve detaylı olabilir ki, doğru ve bütünleşik bir strateji benimsemezseniz; verilerinizi korumak için yapacağınız yatırım bazen korumak istediğiniz verinin değerini bile geçebilir”.

Gerçekten de birçok kurum ve şirkette güvenlik ve audit amacıyla alınmış çok sayıda ürün olduğunu ve yine bu ürünlerin birçok konuda kesiştiğini, yani aynı işi yaptıklarını görüyoruz. Bu durumda hem maliyet artıyor hem de farklı know-how gereksinimlerinden dolayı sistem karmaşık hale geliyor.

Ayrıca bu ürünlerin gerek veri tabanıyla gerekse de birbirleriyle olan entegrasyonlarında sorunlar yaşanıyor. Dolayısıyla tek bir vendor ile bütünleşik bir çözüm stratejisi oluşturmak hem komple bir çözüm sağlayacak hem de maliyet ciddi bir şekilde azalacaktır.

Bir örnek vermek gerekirse, şu anda sektörde kullanılan, güvenlik ve denetleme amacıyla network trafiği üzerinden dinleme yaparak çalışan bir ürün, Oracle veri tabanıyla istemci veya diğer sunucular ile yapılan bağlantılarda kriptolanmış ağ trafiğini veya SSL kullanarak kurulan bağlantıları desteklemiyor. Halbuki aynı ihtiyaç için Oracle’ın Audit Vault ürününü kullandığınızda böyle bir problemle karşılaşmıyorsunuz. Biz bu durumu ISO 27001 standardına geçen bir global şirkette canlı bir şekilde yaşadık. Daha önce yukarıdaki amaç için kullandıkları bir ürün veri tabanı bağlantılarını SSL ile yapma zorunluluğu gelince işe yaramaz hale geldi.

Ben Oracle Türkiye’de çalışırken insan kaynakları yöneticilerinden sık sık şu şekilde bir soru gelirdi.

“Biz IT personelinin maaşları görmesini istemiyoruz, bunu engellemenin bir yolu var mı?”

Gerçekten veri tabanı yöneticilerinin bir takım hassas bilgileri görebilmesinin sakıncaları olabilir. Yıllar önce bir bankanın veri tabanı yöneticisi swift kodlarını öğrenerek yurtdışındaki hesabına yüklü bir para transferi yaparak ortadan kayboldu.

Benzer şekilde City Bank’ın içeriden sızdırılan bilgilerle dolandırılması öyküsü Discovery Channel’a konu oldu ve detaylı şekilde anlatıldı. Artık bu tarz saldırıların çok büyük oranda içeriden geldiği görülmektedir.

İşte Oracle’ın 10g versiyonu ile getirdiği Database Vault opsiyonu yukarıdaki olumsuz durumların oluşmasını engelleyen bir güvenlik opsiyonudur. Veri tabanının güvenlik duvarının önüne bir güvenlik katmanı daha koyarak veri tabanı yöneticilerinin verileri görmesi engellenir. Hatta istenirse bir tablonun sahibi bile kendi tablosunu sorgulayamaz. Ayrıca bu kuralları koyan ve daha sonra analiz raporları alan kişiler de ayrı ayrı tanımlanarak yetkiler ayrımı sağlanmış olur ve manipülasyonların önüne geçilmiş olur. Database Vault opsiyonunu kullanmadan önce kimlere hangi yetkilerin verileceğinin belirlendiği detaylı bir analiz çalışması yapılması gerekmektedir. Metod olarak bu konuda da müşterilerimize derin teknik bilgimizin yanında analiz sürecinin yönetilmesi konusunda da hizmet vermekteyiz.

Oracle’ın 10g versiyonu ile getirdiği Database Vault özelliği akla gelebilecek birçok olumsuz durumun oluşmasını engelleyen bir güvenlik opsiyonudur.CeM zOrBa/ Metod Oracle akademisi Gn.Md. [email protected]

GüVenlİk çÖzümlerİ

Oracle, veri tabanı güvenliğinde en üst teknolojinin kullanıldığı benzersiz çözümler sunuyor. Bu ürünlerin en büyük özelliği birbirleriyle entegre çalışması ve birbirini tamamlayıcı nitelikte olması. Kısacası Oracle veri tabanındaki güvenlik opsiyonlarını tercih ettiğinizde, başka hiçbir ürüne gerek duymaksızın veri tabanı güvenliğinizi en üst düzeyde ve en maliyet etken şekilde sağlamış olursunuz. Biz bu çözümleri, konusunda Türkiye’nin sayılı uzmanları arasında olan ve çok deneyimli kadromuzla, ihtiyaç duyulan müşterilerimizde uyguluyoruz. Ayrıca Kozyatağı’nda Oracle Üniversitesi’nin resmi lokasyonu olan eğitim merkezimizde veri tabanı güvenliği ve veri tabanının güvenlik opsiyonlarının uygulamalı eğitimlerini veriyoruz. Eğitimleri veren eğitim danışmanlarımızın tamamı işin mutfağından yetiştikleri için eğitimlerde müşterilerimizin ihtiyacını çok daha iyi analiz edip en doğru ve pratik çözümleri sunabiliyoruz.

Verİler DAtA mASkİnG İle GüVenle tAşınABİlİrB ir müşterimizde verinin bir POC çalışması için kurum dışına

çıkarılması gerekiyordu. Ancak COBIT standartlarına tabi olan bu kurumdan verilerin açık olarak kurum dışına çıkması söz konusu

değildi. Burada Oracle’ın Data masking özelliğini kullanarak verileri gizledik. Data masking ile verileri gizlerken aynı zamanda “Foreign Key” bağlantılarını da koruyabiliyorsunuz. Yani veriniz güvenli hale geldiği gibi testlerinizin de sağlıklı bir şekilde yapılması sağlanmış oluyor. Data masking, koşullu, birleşik ve deterministic mask tekniklerini sunduğu gibi çok zengin bir format kütüphanesini de beraberinde getiriyor. Ayrıca Enterprise manager arayüzüyle çok kolay bir şekilde uygulanabiliyor.

Data masking ürününün her geçen gün daha çok kurum tarafından anlaşılan önemi ve gördüğü rağbet karşısında Oracle bu özelliği

Oracle12c ile birlikte bir opsiyon olarak veri tabanının içine gömdü. Oracle Data Redaction denilen bu opsiyon ile birlikte artık SQl sorgunuzu çalıştırdığınızda, tanımladığınız policy gereği bazı bilgiler dinamik olarak mask’lanarak getiriliyor. Oracle Database Firewall ürünü de benzer bir iş yapıyor. Gelen SQl’i anında çözümleyerek dinamik olarak bir policy uyguluyor ve kara listede olan kişilere veya SQl injection yapıldığına kanaat getirirse işlemi blokluyor. Görülüyor ki; önümüzdeki dönemde güvenlik yine en büyük ilgi alanımızı oluşturmaya devam edecek. Kurumların, bilgilerin çalınmasını önleyici şekilde , bütünleşik ve makro düzeyde oluşturulmuş güvenlik stratejilerini şimdiden hazırlayarak güvenlik açıklarını kapatması gerekiyor, aksi takdirde şimdilik belirli kurumlar için zorunlu olan standartlar yakın gelecekte zaten herkesi bunları yapmaya zorlayacaktır.

GÜVENLIK.


ORATURK, Oracle İş Yönetim Sistemleri odaklı uzmanlığı ve uluslararası tecrübeye sahip Oracle sertifikalı kadrosuyla Türkiye’nin pek çok başarılı şirketinin yanında yer alıyor.

Verilerinizin güvenliği mi, güvenliğinizin verileri mi?

Eski Metotlarla Yetkilendirme ve Güvenlik Kontrolü Yerini “Oracle Güvenlik” (SECURITY) Ürünlerine Bırakıyor. 1990’ların kaygılarından biri sahip

olunan önemli verilerin “kayıpsız” olarak saklanabileceği bir “ilişkisel veri tabanı”na karar vermekti. Birçok Türk şirketi, ilk “gerçek” veri tabanını bu dönemde keşfetti. Açık sistemlere geçiş, client-server mimarisi, dağıtık yapıdaki veri tabanları, paralel çalışma altyapısı. Partitioning ise sonraki karar konularınızdı. 2000’li yıllarda ise Cluster yapıda çalışan “RAC” mimarisi, ölçeklenebilirlik, süreklilik, kolay yönetilebilirlikle; felaket kurtarma altyapısı yani “Data Guard”, Grid mimarisi ve otomatik disk altyapısı mimarisi yani “ASM” ile tanıştınız...

Şirketlerin günümüzdeki temel iş ihtiyaçlarının başında; çalışanların, müşterilerin, tedarikçilerin ve iş ortaklarının kritik iş sistemlerine erişebilirliğindeki güvenliğin arttırılarak sağlanması geliyor. Sadece “yetkilendirilen” bilgilere erişim sağlanması, hassas / özel verilerin çalınmasının ve kötü amaçlı kullanım ihtimallerinin ortadan kaldırılması gerekiyor. Bu ihtiyacın temel nedenleri rekabet ortamında zor durumda kalmak ve / veya ciddi maddi kayıplara uğrama riskidir.

Son zamanlara kadar sadece kişisel kaygıların yönlendirdiği veri güvenliği konusu, günümüzde yasal zorunlulukları ve rutin kontrolleri içeren bir yapıya dönüşüyor. Özellikle kritik verilere erişimlerin daha güçlü kontrollerle ağlanmasını zorunlu kılan denetleme ve düzenlemelerin birçok resmi otorite (SOX, HIPAA , BASELII , FISMA, PCI, Hazine, BDDK, EPDK, Bağımsız Denetim Kuruluşları) tarafından giderek arttırılıyor olması da “Veri Tabanlarında Güvenlik” konularının önemini giderek arttırıyor. Günümüzde artık eski metotlarla yetkilendirme ve güvenlik kontrolü yapmak,

yerini “Oracle Güvenlik” (Security) ürünleri yani Advanced Security, Database Vault, Audit Vault, Data Masking, Secure Backup opsiyonlarına bırakıyor.

Veri güvenliği ile veriye hızlı erişim arasındaki dengenin sağlanabilmesi için merkezi ve otomatize edilmiş bir altyapının kurulmuş olması önem kazanıyor.

2013 yılında ORATURK olarak öncelikli hedefimiz; müşterilerimizi Veri Güvenliği konularında bilgilendirerek doğru Oracle ürünlerini doğru şekilde kullanmalarını sağlamak. Gerek uzun vadeli güvenlik yol haritasına ihtiyaç duyan, gerekse belli özel alanlarda iyileştirme planları olan müşterilerimize, optimal çözümleri şirkete özel güvenlik ve regülasyon ihtiyaçlarını da karşılayacak şekilde sunuyoruz.

Oracle Database OPTIONS; Oracle Güvenlik Ürünleri Gerçekten Opsiyonel mi ?

Hatırlayın... 1980’lerde arabaların sağ dikiz aynaları opsiyoneldi, 1990’larda ise airbag’ler ve ABS fren sistemleri. Peki sizce 2013’de şu ihtiyaçlar hala opsiyonel mi?

Veri Bütünlüğü (Data INTEGRITY) ve Veri Koruma (Data PROTECTION)

Verilerin hareket halindeyken şifrelenmesi (Network encryption) = Advanced Security

Görevlerin ayrılığı (Separation of Duties) = Database Vault

Güvenli denetim logları (Secure Audit Logs) = Database Audit Vault

Verinin şifrelenmesi (Encryption of Data) = Transparent Data Encryption

Tek şifre ile birçok sisteme erişim ve yetki kontrolü = Oracle Identity Management

4A1e İLe erİŞİMİn TeMeL AŞAMALArı

Oracle 11g veri tabanında yapılmakta olan ve 4A1E kontrolleri olarak bilinen adımlar aşağıdaki gibidir;

Authentication – Kullanıcı “kimliğinin kontrolü”. (Bir kullanıcının kimliği doğrulandığında, önceden belirlenen uygulamalara erişimine izin verilmiş oluyor).

Authorization ile kimlik kontrol sonrasında, ilgili kullanıcıya erişebileceği

“yetkilerin verilmesi” Access Control ile ilgili verilere her erişildiğinde, yetkileri bazında “erişim denetimi”

Auditing ile erişilen verilere ait audit bilgilerinin saklanması

Encryption ile hassas verilerin transfer aşamasında ve disk üzerinde saklanırken şifrelenmesi. 4A1E kuralını baz alarak, şirketinizin veri güvenliğini arttırmada birlikte atacağımız temel adımları şöyle özetleyebiliriz: İlk adım; içerisinde ORATURK uzmanlarının da bulunduğu “Veri Güvenliği Ekibi”nizi oluşturmak. Sistem mimarları /yöneticileri, DBA’ler, network yöneticileri, verilerin sahipleri ve son kullanıcılardan oluşacak bu ekiple birlikte öncelikle “Güvenlik İhtiyaçlarınızı” tanımlıyoruz. Gerektiğinde süreç liderleriniz ve yasal zorunlulukları takip eden çalışanlarınızı da ekliyoruz.Kimlerin hangi verilere ve servislere, neden erişmesi gerektiğini analiz ediyoruz. Mevcut durumdaki güvenlik açıklarınızı analiz ederek; “Oracle Security Option” larından hangilerinin ne şekilde ihtiyaçlarınızı karşılayacağına birlikte karar veriyoruz. Gerekli prosedürleri ve altyapıyı oluşturup, günlük hayatta kullanmanızı ve rutin olarak kontrol etmenizi sağlıyoruz. Sonrasında dönemsel olarak bir araya gelip sizlerle yeni ihtiyaçlarınız ve uygulamadaki iyileştirmeleri görüşüyoruz.

OrAcLe DATABAse VAuLT İLe YeTKİLİ KuLLAnıcı KOnTrOLÜ

Verinizin erişim güvenliği konusunda dinamik ve esnek erişim kontrollerini hayata geçirmenizi ve raporlamasını sağlayan Oracle Veri tabanı opsiyonudur. Yaptıkları iş gereği veri tabanı erişimine izin vermek durumunda olduğunuz “Yetkili Kullanıcıların” yani çalışanların, müşterilerin, tedarikçilerin ve iş-ortaklarının, sadece izin verdiğiniz verilere eriştiğinden emin olmanızı sağlar. Bir veri tabanı yöneticisinin dahi kritik verilerinize (kredi kartı, müşteri özel bilgileri, hesap detayları, personel maaş bilgileri, hesaplamalar, harcamalar, görüşme detayları gibi) erişimini engelleyebilir. Veri tabanı yapılarının bilginiz haricinde izinsiz olarak değiştirilmesini engeller. Gerçek

zamanlı olarak anlık kontrolleri eklemek, değiştirmek ve takibini yapmanızı sağlar. Veri tabanı kernel seviyesinde çalışan bu özellik, PL/SQL kullanılarak uygulanan güvenlik uygulamalarından çok daha etkindir. Her bir veri tabanı için ihtiyaç duyulacak güvenlik seviyesinin farklı olabildiği durumlarda da kullanılan Database Vault, single-instance Oracle veri tabanınıza uygulanabildiği gibi RAC mimarisindeki yapılarda da başarılı bir şekilde kullanılmaktadır.

Günümüzde pek çok şirket; IT altyapısının kurulumu, yönetilmesi ve yeni projelerin hayata geçirilmesi aşamalarında çeşitli danışman firmaların uzmanları ile birlikte çalışmakta ve veri tabanı seviyesinde erişim yetkisi vermek durumunda kalmaktadırlar. İşte bu noktada Database Vault, gerçek anlamda verilerinizi korumanızı sağlayacak en etkili opsiyondur. BDDK, Hazine, SPK ve bağımsız denetim firmalarının IT audit kapsamında da yer alan “yetkili kullanıcı”ların yapabildiklerinin kısıtlanması ile ilgili talepler de Database Audit Vault kullanımı ile tamamıyla karşılanmaktadır. Kısıtlamaların yanı sıra ürünün içerisinde gelen raporlama özelliği ve gerçek zamanlı izleme ile de güvenlik politikaları, politika değişiklikleri, “yetkili kullanıcıların” kritik kaynaklara erişim detayları izlenebilmektedir. Database Vault, Oracle eBusiness Suite üzerinde de uygulanabilmektedir.

OraTUrK’ün güvenlik çözümlerini kullanan müşteriler arasında anadolu Hayat ve emeklilik, anadolu Sigorta ve emeklilik Gözetim Merkezi gibi Türkiye’nin önemli şirketleri de var.YalÇın zOrMan / Yönetici [email protected]

orAcle DAtABASe AuDıt VAult

Audit Vault; veri tabanı, uygulama sunucusu, uygulamalar ve işletim sistemi gibi değişik kaynaklardan alınan audit verilerinin ve kritik aktivitelerin konsolide edilerek çok yönlü raporlamasını sağlar. Oracle 9iR2 ve sonrasındaki tüm Oracle veri tabanı versiyonlarını desteklemektedir. merkezi raporlama, analiz ve uyarı mekanizması özellikleri sayesinde tüm verilerinize erişim detaylarını hazır raporlama ara yüzleri üzerinden izleyebilirsiniz. Arşivleme yeteneği ile istenildiği kadar geçmiş audit verisi saklayabilen Audit Vault, denetimler sırasında ciddi mesailer harcayarak elde etmek durumunda kalabildiğiniz işlem tarihçelerini hızlı, güvenilir ve kolay bir şekilde sunabilmenizi de sağlar. Audit Vault Collection Agent sayesinde SQl Server, DB2, Sybase gibi diğer veri tabanlarından da audit bilgilerini elde edebilirsiniz. Audit kurallarınızın tutarlı olmasını sağlamak üzere eklenen “kopyalama” özelliği sayesinde veri tabanlarınız arasında kural kopyalama işlemini hızlı bir şekilde yapabilirsiniz.

GÜVENLIK.

İÇTENDIŞA

koçSİStem metoD Bİlİşİm

ınSpıreıt

orAturk Oracle güvenlik çözümleriyle ilgili detaylı bilgi almak için

www.bilgicozumleri.com/guvenlik adresindeki kayıt formunu doldurarak sizinle

iletişime geçmemizi sağlayabilir veya 0212 335 22 38

numaralı telefonumuzdan bize ulaşabilirsiniz.Bu sayfada Oracle iş ortakları isim sırasına göre dizilmiştir.

Bu belge sadece bilgi amacıyla sunulmaktadır ve belgenin içeriği herhangi bir uyarı yapılmaksızın değiştirilebilir.

Oracle bu belgede sunulan içerikle ilgili herhangi bir sorumluluk kabul etmemektedir.

Türkiye Bilgi Teknolojileri sektörünün lider oyuncularından biri olma özelliğini yıllardır koruyan KoçSistem, 1945’ten bu yana müşterilerinin bilgi teknolojisi çözümlerine ilişkin ihtiyaç ve beklentilerini güvenilir, kalıcı ve yenilikçi bir işbirliğiyle karşılamak ve en yüksek katma değeri almalarını sağlama hedefiyle çalışmaktadır. Sürekli gelişimini ve kurumsal var oluşunu, “Gücümüz, hayal gücünüz” söylemiyle özetleyen KoçSistem, müşteriye özgün teknoloji çözümleri ve dış kaynak hizmetleriyle müşterilerinin sürdürülebilir büyüme hedeflerini “fark yaratma” stratejisiyle gerçekleştirmektedir.

Metod Bilişim Hizmetleri, Oracle teknolojileri konusunda kurumlara özgü bilişim çözümleri üreterek iş dünyasının dinamiklerine uygun, sağlam, kalıcı ve sonuca odaklı hizmetler veren bir danışmanlık şirketidir. Oracle’ın Gold Partner’ı olarak lisans çözümleri de sunan Metod Bilişim Hizmetleri bünyesinde 2012 yılında kurulan Metod Oracle akademi, Kozyatağı’ndaki dünya standartlarındaki eğitim sınıflarıyla, Oracle Üniversitesi’nin resmi lokasyonu olarak sertifikalı ve ileri düzey Oracle eğitimleri vermektedir. Metod’un Oracle eğitimi verdiği kişilerin sayısı 6000’in üzerindedir.

ınspireıT, 2003 yılında Bilgi Teknolojileri konusunda, avrupa, Ortadoğu ve CıS bölgelerinde danışmanlık ve yazılım hizmetleri vermek üzere kurulmuştur. Kuruluşundan bu yana geçen kısa süre içerisinde, Oracle Veri tabanı, Orta Katman Teknolojileri ve Veri ambarı uygulamalarında dış kaynak sağlama, danışmanlık ve eğitim veren; Uzaktan Sistem Yönetim Merkezi ile 7x24 Oracle Veri tabanı ve Sistem Destek hizmetleri veren ve dağıtım sektörüne özel abone Yönetim Sistemi çözümü ile sektörel yazılım projelerinde yer alan, alanında önde gelen bir teknoloji firmasıdır. Görev aldığı tüm projeleri zamanında ve başarıyla tamamlayarak, her zaman müşterilerinin güven duyduğu iş ortaklarından biri olmuştur.

Oracle Türkiye bünyesinde çalışmış profesyoneller tarafından 2006 yılında kurulan OraTUrK, Oracle iş Uygulamaları ve Oracle Teknolojileri konusunda derinlemesine bilgi ve deneyimini sayesinde, müşterilerinin ihtiyaçlarına özel çözümler sunan danışmanlık, eğitim, teknik destek ve dış kaynak sağlayıcı bir teknoloji firmasıdır.Müşterilerinin ihtiyaçlarını ve teknolojideki gelişmeleri sürekli olarak takip eden OraTUrK, yaptığı işi sahiplenen, esnek yaklaşımı ile Türkiye, avrupa ve Ortadoğu’daki özel müşterilerine “Butik Danışmanlık” felsefesi ile değer katmaya devam etmektedir.Kuruluşundan bugüne Türkiye’nin önde gelen özel firmaları için çalışma fırsatı yakalamış olan OraTUrK, başarılı projeleri ve tecrübesi ile Türkiye’ de Platinum Partner olarak hizmetlerini sunmaktadır.

koçSistem Bilgi ve İletişim hizmetleri A.ş.Ünalan Mah. Ayazma Cad. Çamlıca İş MerkeziB3 Blok Üsküdar 34700 İstanbulTel: 0216 556 11 00 Faks: 0216 566 11 88E-Posta: [email protected]

metod Bilişim hizmetleriİçerenköy Mah. Eski Üsküdar Yolu Cad. Bodur İş Merkezi No:8 Kat 3 Daire 13 34752 Ataşehir-İstanbulTel: 0 216 629 01 43 Pbx Fax: 0 216 629 01 45Email: [email protected]

ınspirit Bilgi teknolojileri yaz.Dan.tic.ltd.şti.Ataşehir Bulvarı Gardenya Plaza 3Ofis 11 Ataşehir 34758 İstanbulTel : 0216 548 11 91 Faks: 0216 549 1192E-posta: [email protected]

orAturk Bilgi Sistemleri eğitim ve Danışmanlık Dış tic ltd şti.Büyükdere Cd. No:185 KANYON Ofis Binaları Kat:6 Esentepe Şişli IstanbulTel: 0212 319 7707E-posta: [email protected]

Bİznet Bİlİşİm

Biznet Bilişim Sistemleri ve Danışmanlık San. tic. A.ş.Adres: ODTÜ Teknokent İkizler Binası Kat 1 A-2 Blok 06800 Çankaya / AnkaraTelefon: 0312 210 11 77Faks: 0312 210 11 67E-Posta: infobiznet.com.tr

BASİStekıT sektöründe danışmanlık vermek amacıyla 2008 yılında kurulan BaSıSTeK, bilgisayar ve yazılım mühendislerinden oluşan deneyimli kadrosu ile SaP ve HP altyapı ve yönetim yazılımları kurulumunda uzman kadrosu ile geniş bir müşteri kesimine katma değerli hizmetler sunmaktadır. BaSıSTeK, sektörel çözümlerden iş çözümlerine; sistem entegrasyon çalışmalarından dış kaynak kullanımına, servis ve bakım hizmetlerinden danışmanlığa kadar geniş bir yelpazede güvenilir bir teknoloji ve iş ortağı olarak müşterilerine rekabet avantajı sağlamayı ilke edinmiştir.

Basistek Bilgi teknolojileri Sanayi ve ticaret ltd. şti.Altıntepe Mah. Galipbey Cad. No:127 CS Plaza Kat : 2Küçükyalı – Maltepe – İstanbulTelefon : 0216 549 19 73Faks : 0216 549 19 74E-Posta: [email protected]

GrıD teknoloJİGenel Müdürlüğü istanbul’da bulunan GridTeknoloji, 15 yılı aşkın deneyime sahip profesyonel kadrosu ile yurt içi ve yurt dışında birçok müşteriye teknoloji hizmetleri sunmaktadır. Kurumumuzun sunmuş olduğu hizmetlerin başında Oracle Veri tabanı Database Firewall, audit, penetrasyon hizmetleri, 7*24 destek, Cluster ve Disaster çözümleri, HealtCheck ve remote DBa bakım hizmetleri bulunmaktadır. Oracle danışmanlık çözümlerinin yanı sıra birçok kuruma proje yönetimi ve planlama hizmetleri, Java Web Socket teknolojisine sahip yazılım geliştirme gibi çözümler de sunmaktayız.

Grid Bilişim ve Bilgi teknolojileri Dan. tic ltd Sti.Libadiye Cad. Tahralı Sk. Tahralı Sitesi Kavakyeli PlazaB Blok D:8 Ataşehir 34704 İstanbul / TürkiyeTelefon: 0216 317 77 70Faks: 0216 317 77 24E-Posta: [email protected]

Biznet Bilişim, kurulduğu 2000 yılından bu yana ağ ve bilgi güvenliği alanında projelendirme, danışmanlık ve denetim hizmetleri sunmaktadır. ar-Ge yatırımları ile elektronik imza, elektronik fatura, kayıtlı elektronik posta (KeP), ıSO 27001 Bilgi Güvenliği Yönetim Platformu gibi özgün ve yenilikçi yazılımlar geliştirir. Türkiye’nin en kapsamlı BT güvenlik ürün ve servis portföylerinden birine sahip olan Biznet Bilişim, Payment Card ındustry Security Standards Council (PCı SSC) nezdinde approved Scanning Vendor (aSV) ve Qualified Security assessor (QSa) sertifikalarına sahip PCı DSS denetimleri yapmaya yetkili tek Türk firmadır.

pusula sayı 1

Documents