* Güvenlik anlaşması, ürün destek anlaşması nedir, sizden bir tanım alabilir miyiz?
Günümüze kadar ağırlıklı olarak güvenlik anlaşmalarından ziyade ürün destek anlaşmaları ön planda yer almaktadır. Bu yöntemde kurumun Bilgi Güvenliği yönetimi ve sorumluluğu, kurumun kendi Bilgi Güvenliği Personelinde olup kullanılan ürünlerle ilgili olarak yetkili firmalarla destek anlaşmaları yapılmaktadır.
Günümüzde ise sektörde dış kaynak kullanıma göre yükselen bir eğilim olduğu görülmektedir. Bu yöntemde ise firma bütün IT yapısını veya duruma göre sadece Güvenlik altyapısını bu konuda uzman danışman bir firmaya aktarmaktadır. Gerekli hukuki anlaşmaları ve risk analizi yapıldığı sürece bir sakıncası olmayan bir yöntem mali açıdan kuruma pek çok fayda getirmektedir.
* Sizce her güvenlik ürünü için destek anlaşması yapılmalı mıdır? (Ya da sistemler eğitimli bir kişi tarafindan destek anlaşmasız da ayakta tutulabilir mi? - açık sistemler - ticari sistemler? )
Açık kaynak kodu kullanılan yazılımlarda eğitimli bir personel ile ürünlere gerekli destek sağlanacak olsa da destek anlaşması yapmaktaki amaç riski paylaşarak çalışan tarafındaki riski azaltmaktır.
Ticari sistemlerde ise yukarıdakilere ek olarak üreticinin de desteğini alabilmek gereklidir.
* Güvenlik destek anlaşması yapılacak güvenlik firmasından neler beklenmelidir?
Eğitimli, deneyimli destek personeline sahip olması, güvenilir olması, arkasında üretici firmanın desteği olması.
* Güvenlik ürünü veya destek alırken şartnamede ne tür şartlar ortaya konmalıdır?
Hangi ürünlere destek verileceği, destek kapsamı (telefon, eposta, yerinde), karşılıklı sorumluluklar, müdahale süreleri, cezai şartlar, ek fiyatlandırmalar gerekecekse fiyatları.
* Alınması düşünülen ürünlerin test sonuçları nerelerden edinilebilir?
Üretici firmalar kendi ürünlerini rakip ürünlerle kıyaslayan raporlar hazırlasa da bu raporlar genellikle tek taraflı raporlar olmaktadır. Dünya çapında güvenlirliğini kanıtlamış bağımsız araştırma kuruluşlarının raporları tercih edilebileceği gibi, Internet üzerinde yapılacak araştırmalarla ürünlerin güçlü ve zayıf yanlarına ulaşılabilmektedir.
* Güvenlik taramaları ve sızma testleri nasıl ve hangi şartları sağlayan firmalara yaptırılmalıdır?
Bu testleri yapacak olan firmaların personelinin eğitimli ve deneyimli olması gereklidir. Aynı zamanda hem personel hem de firma sektörde güvenirliğini kanıtlamış olmalıdır. Güvenlik ürünlerinin temin edildiği ve kurlumunun yapıldığı firma tercih edilmemelidir. İki işi yapacak olan personelin farklı olması önemlidir. Güvenlik testleri düzenli olarak yaptırılması gerekse her yıl farklı firmalarla çalışılması tavsiye edilir.
* Hangi standartlar (common criteria) gözetilmelidir?
Common Criteria standartları kullanılacak ürünlerde bir kriter oluşturabilecekken. Bilgi Güvenliğinin sağlanması aşamasında ISO17799, COBIT gibi standartlardan faydalanılabilir.
* Sizce güvenlik firmasinin ağ trafigini dinleyebilecek şekilde sistemlere erişebilmesi kabul edilebilir mi? (veya hangi şartlar altında kabul edilmelidir?)
Kurum olarak ihtiyacınıza göre bu işi dışarıdan bir firmaya yaptırmak zorunda olabilirsiniz. Bu durumda ise yapılması gereken ilgili firma ile gerekli hukuki anlaşmaların yapılmış olması ve oluşan bu risk’in getirebileceği zararların işi yapacak firmaya aktarıldığından emin olmaktır.
* Güvenlik firmalarının, hizmet verdikleri müşteri tarafinda ne tür beklentileri olmaktadır?
Güvenlik ürünlerini kendisi yöneten ve sadece destek alan firmalardan beklentiler, firmanın kullandığı ürünlere hakim ve eğitimlerini almış güvenlik personeline sahip olmasıdır. Müşteri tarafında bir başka beklenti ise en başarı ürünlere sahip olsa bile kritik noktanın elindeki ürünlerin yönetimi olduğunun ve hizmet kavramının belki de aldığı en önemli ürün olduğunun bilincinde olmasıdır.
* Güvenlik firması tarafından müşteriye ne tür mahremiyet (privacy) önlemleri sunulmalıdır?
Güvenlik firması, kendi personeli ile müşteri bilgilerinin dışarı sızmasını engellemek için gizlilik anlaşmaları yapmalıdır. Müşteri bilgilerini içeren her türlü bilgi, bilgi güvenliği politikası çerçevesinde korunmalıdır. Güvenlik analizi yapılan veya özel projeler yapılan müşterilerle güvenlik anlaşmaları imzalanmalıdır. Müşterilerle mevcut bir güvenlik anlaşması bulunmasa dahi, müşterilerin isimleri özel bir izin yoksa referans olarak kullanılmamalıdır.
1 yorum:
Yorum Gönder