K. Zlöbl

Tecrübe en iyi öğretmendir. SSI Schäfer'de, bir Bilgi Güvenliği Yönetim Sistemi (ISMS) uzun süredir bilgi güvenliğinin güvencesini sağlamaktadır. Bu sistem sadece tüm teknik önlemleri kapsamakla kalmayıp, aynı zamanda ilgili güvenlik hedefleri ve stratejileriyle birlikte bir organizasyonel çerçeve olarak sürekli olarak değerlendirilmektedir.

SSI Schäfer'de yazılım güvenliğinden sorumlu Klaus Zlöbl, kullanılabilirlik, gizlilik, bütünlük ve orijinallik gibi güvenlik hedeflerinin sağlanması için müşterilerle yakın koordinasyonun önemini vurguluyor. Bu güvenlik hedefleri, Avrupa genelinde siber güvenlik standartlarını güçlendirmeyi amaçlayan 2022 tarihli Avrupa Parlamentosu ve Konseyi'nin 2022/2555 sayılı NIS2 Direktifi'nin de temel gerekliliklerindendir. Bu standartların uygulanması, siber tehditlere karşı koruma sağlar ve BT sistemlerinin dayanıklılığını artırır. Özellikle bu, bilgi ve sistemlerin her zaman erişilebilir olması, aynı zamanda gizli tutulması ve yetkisiz erişime karşı korunması anlamına gelir. Verilerdeki değişiklikler izlenebilir, kurcalanamaz ve belirtilen kaynaktan kaynaklandığı açıkça tanımlanabilir olmalıdır.

Hedefli eğitim, çalışanların tehditleri tanıyabilmelerini ve mevcut güvenlik önlemlerini ve süreçlerini günlük işlerinde güvenle uygulayabilmelerini sağlar. Bu, tüm çalışanlar için güvenli parola yönetimi, kötü amaçlı yazılım tespiti ve raporlaması gibi temel konuları kapsayan genel eğitimleri içerir.

Şekil: SSI Schäfer

Yazılım geliştirme alanında, programlama aşamasında güvenlik açıklarını önlemek için güvenli kodlama gibi özel bilgiler öğretilir. Bu, bileşen, veri, sistem ve süreç düzeylerinde kapsamlı bir önlem kataloğu ile tamamlanır. Bilgilerin depolandığı, işlendiği veya iletildiği teknik sistemlere özel önem verilir. Zlöbl şöyle açıklıyor: "Bu sistemler kusursuz çalışmalı ve çeşitli tehditlere karşı etkili bir şekilde korunmalıdır.".

Temel unsurlar

• Geliştirme aşamasında tehdit modellemesi, güvenli kodlama ve kod incelemeleri uygulanmaktadır.
• - Tüm sistem ve uygulamalarda, erişimi yalnızca yetkili kullanıcılarla sınırlandırmak için kontroller uygulanmaktadır. Bu durum, bilgi güvenliği gereksinimlerine bağlı olarak, erişim haklarının "kullanım/bilme gerekliliği" ilkesine göre verildiği yazılım geliştirme süreçlerinde de dikkate alınmaktadır. Bu, örneğin, çalışanların bir müşteri sistemine yalnızca hizmet görevlerini veya işlemlerini gerçekleştirmek gerektiğinde erişim elde etmeleri anlamına gelir.
• - Güvenlik mimarileri, uygulamalar ve sistemlerdeki koruma hedeflerine ilişkin izlenebilirliği ve tartışılmazlığı sağlar.
• - Statik uygulama güvenlik testleri, statik kod analiz araçları kullanılarak gerçekleştirilir ve potansiyel güvenlik açıkları erken aşamada tespit edilerek giderilir.

• - Kullanılan üçüncü taraf bileşenler, bilinen güvenlik açıkları açısından düzenli olarak kontrol edilir ve güncellenir.
• - Bağımsız harici ortaklar tarafından gerçekleştirilen kapsamlı sızma testleri, saldırıları yeniden oluşturarak güvenlik açıklarının bulunmasına ve giderilmesine yardımcı olur.

Gerekli güvenlik uygulamaları yapılandırılmış bir şekilde uygulanmakta ve belgelenmektedir. Yazılımın işlevselliğinden ödün vermemek için yüksek güvenlik ve kullanıcı dostu olma arasında bir denge aranmaktadır. Ekim 2022'den beri ürün geliştirme bölümünde Güvenlik Sorumlusu olarak yazılım ürünlerinin güvenliğinden sorumlu olan Zlöbl şunları belirtiyor: "Hassas verilerin ve sistemlerin korunması ortak bir sorumluluktur.".

Klaus Zlöbl, 2011 yılında SSI Schäfer'e katılmadan önce bilgisayar bilimleri ağırlıklı telematik eğitimi aldı ve burada yazılım geliştirme alanında çeşitli pozisyonlarda görev yaptı. 2017'den beri ise kendini BT güvenliğine adamıştır.

www.ssi-schaefer.com