Sızma testi konusu artık iş dünyasında bilgi teknolojilerine bir şekilde temas eden tüm kişi ve kurumların iş süreçlerine dahil olmuş rutin bir konu haline gelmiş durumda. Aslında “sızma testi” işinin ne olduğu nasıl yapılacağı artık oldukça bilinen bir konu.
Ek olarak kurumların uymak zorunda olduğu standart ve mevzuatlar da sızma testi çalışmalarını teşvik edecek veya zorunlu kılacak maddeler içeriyor.
Bu kapsamda, son yıllarda konu ile ilgili çalışmaların arttığını olumlu bir gelişme olarak görmekteyiz. Kısa bir süre önce sızma testi yaptırma konusu detay veya lüks görülen bir konu iken artık standart ve olağan bir çalışmaya döndüğünü gözlemlemekteyiz.
Bununla beraber; “sızma testi” başlığı altında yapılan her çalışmanın gerekli minimum şartları içerip içermediği konusu biraz tartışmalı.
Bunun anlaşılması sızma testi alan kişi ve kurumların aşağıdakileri içeren ama bunlarla sınırlı olmayan bir takım soruları kendine sorarak cevaplanması ciddi önem arz ediyor.
- Sızma testi için kendi tarafımızda doğru bir planlama yaptık mı?
- Test ettirdiğimiz kapsam yeterli mi?
- Test yapılırken gerekli özen gösterildi mi?
- Aldığım hizmet gerçekten sızma testi midir? Yoksa zafiyet taraması mı?
- Test sonuçlarını nasıl değerlendirmemiz gerektiğini biliyor muyuz?
Ve hepsini toplarlar nitelikte bir soru olarak;
- Verimli bir sızma testi yaptırdık mı?
Yaptığımız gözlemler bu oranın aslında maalesef çok yüksek olmadığını gösteriyor.
Tabi biraz da böyle ciddi bir yargıya nasıl vardığım konusu muhtemelen akla gelen bir soru olacaktır.
Şöyle ki, bir süredir çalıştığım pozisyon gereği;
- Sayı olarak 100’ler seviyesinde ifade edilebilecek kadar irili ufaklı Sızma Testi Projesini koordine etme imkanı bulabildim.
- Bundan çok daha fazla kurum ve kuruluşun projeye dönüşmemiş tekliflendirme süreçlerini gözlemleme fırsatım oldu.
- Çok sayıda kurumun süreçlerini ve bunlardan çıkardığı dersleri dinleme imkanı yaşadım.
İşte tüm bu kaynaklardan gelen verileri üst üste koyarak ekip arkadaşlarımla birlikte gözlem yaptığımda, yukarıdaki sonuca varıyorum.
Bu yazı dizisinde gözlemlerim elverdiğince bu problemlerin kaynağına inmek, çözüm önerileri konusunda fikir üretmek üzerine odaklanacağım.
Bu kapsamda aşağıdaki başlıklar halinde sızma testi hizmeti almak durumunda olan kişi yada kurumlar için, “verimli bir sızma testi yaptırmak” ile ilgili kritik olduğunu düşündüğüm noktaları paylaşmaya çalışacağım.
Verimli bir sızma testi için:
- Doğru planlama ve kapsam belirleme
- Doğru adresi bulma
- Doğru ortamı ve yöntemi belirleme
- Test esnasında verim için doğru aksiyon alma
- Yönetmeliklere uygun test yaptırma
- Test sonrasında doğru rapor alma
- Test sonrası zafiyetlerin kapatılması ve risk hesabı
Konularında yazılarımı sizlerle paylaşacağım.
Somut öneri ve örneklerle yola devam edeceğim dizinin sonraki yazısında görüşmek üzere.
Yazar: Muhammet ÖZTEMUR