3(1(75$6<21  6,=0$  7(67à




             Her CFO’nun siber güvenlikle ilgili sorması gereken 3 soru

             Dijitalleşmenin hızlanarak devam ettiği Pande-  öğrenmenin potansiyel maliyeti nedir?
           mi sonrasında şirketlerin siber güvenliğe vermesi   BugBounter Kurucu Ortağı ve CEO’su Arif Gür-
           gereken önemin her geçen gün arttığına                denli, “Siber sistemlerin şirketlerin en bü-
           dikkat çeken BugBounter, şirketlerinin                yük yardımcısı haline geldiği günümüzde
           siber tehditlere karşı sağlam durabilme-              bu sistemleri hedef alan siber saldırılar,
           si için her CFO’nun şirketinde siber gü-              şirketlere itibar ve finansal kayıplar yaşa-
           venlikle ilgili sorması gereken 3 soruyu              tıyor. Bu yüzden şirketlerdeki üst yöneti-
           sıralıyor: 1) Şirket olarak ne kadar gü-              min her an siber saldırılara karşı farkında
           vendeyiz? 2) Sektörümüzdeki en önemli                 olması gerekiyor ve siber tehditler sürekli
           siber tehditler veya riskler hangileri? 3)      Arif  geliştiği için yatırımlara da devam etmek
           Siber güvenlik zafiyetlerini zamanında        Gürdenli  şart haline geliyor” diye konuşuyor.

            Şirketleri bir anda milyonlarca   güvenlik testi ve doğrulama testi   sayar sisteminin, bir ağın veya web
         dolar zarara uğratabilecek, kamu   ile sorunların giderilip giderilme-  uygulamasının test edilmesidir”
         kurum ve kuruluşlarını ulusal ve   diği test ediliyor.           diye de tanımlanıyor.
         uluslararası bağlamda çökerte-                                     “Bir saldırganla aynı araç ve
         cek ve yok olma tehlikesiyle baş   Penetrasyon (Sızma)           teknikleri kullanarak bir BT (bili-
         başa bırakabilecek kadar önemli    Testi nedir?                  şim teknolojileri) sisteminin gü-
         olan siber güvenlik konusunda      Penetrasyon (Sızma) Testi; (Pen-  venliğinin bir kısmının veya tama-
         uzmanlar, şirketlere, kurum ve
                                          test veya Ethical Hacking olarak da   mın ihlal edilmeye çalışılmasıyla
         kuruluşlara, sahip olunan bilişim
                                          anılıyor): “Alanında tecrübeli ve si-  sistemin güvenliğinin güvence altı-
         sistemlerindeki güvenlik zafiyet-  ber güvenlik üzerine gelişmiş bil-  na alınması” olarak da tanımlanan
         lerinin üçüncü bir göz tarafından
                                          gilere sahip uzmanlar tarafından,   Sızma Testi’nin amacı; kötü niyetli
         kontrol edilmesi ve raporlanma-
                                          hackerların kullandıkları araç ve   bir aktör tarafından sömürülebile-
         sının proaktif güvenliğin ilk adım-  teknikler kullanılarak hedef ku-  cek güvenlik açıklarını bulmak.
         ları olduğuna dikkat çekerek,
                                          rum veya şirkete yönelik gerçek-
         mutlaka Penetrasyon (Sızma)
                                          leştirilen siber güvenlik analiz ve   Penetrasyon Testi /
         Testi yaptırmalarını öneriyor.
                                          atak hizmetidir” diye tanımlanı-  Pentest-Sızma Testi Türleri
                                          yor. Bir başka tanıma göre; “Sız-  1) BlackBox Pentest (Siyah
                                          ma testleri; müşteri tarafından   Kutu Penetrasyon Testi): Siyah
                                          belirlenen bilişim sistemlerine   kutu penetrasyon testi saldırı
                                          mümkün olabilecek her yolun     yapılacak network hakkında hiç-
                                          denenerek sızılmaya çalışma iş-  bir bilgi sahibi olmadan yapılan
                                          lemlerinin tamamına verilen ad-  saldırı türüdür. Hiçbir bilgi sa-
                                          dır. Sızma testlerinde amaç, gü-  hibi olmadan dışarıdan networ-
                                          venlik açıklığını bulmaktan öte   ke ulaşmaya çalışan saldırganın
                                          bulunan açıklığının değerlendi-  verebileceği zararın boyutlarının
            Penetrasyon (Sızma) Testi’nin   rilip sistemlere yetkili erişimler   algılanması sağlanır.
         sonuçları, siber güvenlik düzeyi-  elde edilebilmesidir.”
         nin tespit edilebilmesi, güvenlik   Bir diğer tanım ise şöyle: “Pe-  Penetrasyon (Sızma)
         açıklarının öğrenilip gerekli ön-  netrasyon Testi, kötü amaçlı bir   testi nasıl yapılır?
         lemlerin alınabilmesini sağladığı   saldırganın içeriden ya da dışarı-
         gibi, siber güvenlik konusunda   dan sistemlere verebileceği zararı   Sızma testi, kurumların
         stratejilerin belirlenmesi ve yol   önceden görebilmek ve zayıflıklar   bilgi teknolojilerini oluşturan
         haritasının çizilmesini sağlıyor.    için tedbir alabilmek amaçlı plan-
                                                                           altyapı, yazılım, donanım ve
            Penetrasyon (Sızma) Testi sıra-  lanmış bir saldırı simülasyonu-
                                                                           uygulama gibi bileşenlerine
         sında, günlük yapılan işlemlerdeki   dur.” Pen testi’ olarak da anılan   alanında uzman kişilerce, bir
         zayıflıklar, güvenlik açıkları, yetki-  Penetrasyon Testi, “Organizasyo-  saldırganın (hacker) kullan-
         siz veriye ulaşım, trafik anormal-  nun Bilgi Teknolojileri (BT) var-  ması öngörülen araç ve tek-
         likleri tespit ediliyor ve belirlenen   lıklarına karşı yapılan bir saldırı   nikleri kullanarak sızılması ve
         zayıflık ve açıklıkların giderilme-  simülasyonu aracılığıyla, bir sal-  elde edilen zafiyet sonuçları-
         sine yönelik önerilen çözümlerin   dırganın  suistimal  edebileceği  nın raporlanmasıdır.
         hayata geçirilmesinin ardından   açıkları bulmak amacıyla bir bilgi-

         18 KobiEfor Dijital (\OÖO