Gerçek dünyada güven pek çok konuda hayati öneme sahipken sanal dünyada her güven olası bir zafiyet anlamını taşıyor. Kurumların var oluş amaçları gereği yarattığı katma değerlerin devamlılığı için olası riskler kabul edilip gerekli yetkilendirmeler güven çerçevesinde yapılmaktadır. Hem güvenmeyip hem de işlerin yapılmasını sağlamak ilk bakışta çok tezat gelse de Sıfır Güven felsefesi ve teknolojileri ile bu mümkün. Bu bağlamda ZTNA (Sıfır Güven Ağ Erişimi) teknolojisinin ISO 27001 EK-A kontrollerinden hangilerinin hayata geçirilmesine katkı sağladığını sizler için derledik
ANNEX-A CONTROL ARTICLE | ANNEX-A CONTROL ITEM EXPLANATION | ZTNA İLE OLAN İLİŞKİ |
A.6.1.5 Proje yönetiminde bilgi güvenliği | Proje yönetiminde, proje çeşidine bakılmaksızın bilgi güvenliği ele alınmalıdır. | Proje ekibi erişimleri ilgili kaynaklara dolaylı erişim ile sağlayacağından, proje yönetiminde erişim kaynaklı ihlallerin önüne geçilebilmektedir. |
A.6.2.2 Uzaktan çalışma | Uzaktan çalışma alanlarında erişilen, işlenen veya depolanan bilgiyi korumak amacı ile bir politika ve destekleyici güvenlik önlemleri uygulanmalıdır. | VPN vb. Uzaktan çalışma yetkilendirmelerinin yönetimi zor olduğundan yetkiler genelde süresiz verilir. Süresiz verilen her uzak erişim yetkisi kurum için hayati riskleri barındırmaktadır. ZTNA teknolojisi ile öncelikle ilgili kaynaklara direkt olarak erişim verilmediğinden erişim kaynaklı risklerden çok büyük oranda kaçınılmış olur. Ayrıca yönetimi ve izlenmesi daha kolay olduğundan daha etkin bir yetkilendirme yapılmasına olanak tanır. |
A.9.1.2 Ağlara ve ağ hizmetlerine erişim | Kullanıcılara sadece özellikle kullanımı için yetkilendirildikleri ağ ve ağ hizmetlerine erişim verilmelidir. | ZTNA ile ayrıntılı uygulama erişim politikaları, ağların değil uygulamaların bölümlere ayrılmasına izin verir. |
A.9.2.3 Ayrıcalıklı erişim haklarının yönetimi | Ayrıcalıklı erişim haklarının tahsis edilmesi ve kullanımı kısıtlanmalı ve kontrol edilmelidir. | Kurum dışı ayrıcalıklı haklara sahip kullanıcılara ilgili kaynaklara direkt olarak erişim verilmediğinden erişim kaynaklı risklerden çok büyük oranda kaçınılmış olur. Buna ek olarak yönetimi ve izlenmesi daha kolay olduğundan daha etkin bir yetkilendirme yapılmasına olanak tanır. |
A.9.4.1 Restriction of access to information | Access to information and application system functions should be restricted in accordance with the access control policy. | İnternet erişimi olmadan erişimler gizli ve geçici ağlar üzerinden yapıldığından bilgiye erişim güvenli bir şekilde sağlanır. |
A.13.1.2 Ağ hizmetlerinin güvenliği | Tüm ağ hizmetlerinin güvenlik mekanizmaları, hizmet seviyeleri ve yönetim gereksinimleri tespit edilmeli ve hizmetler kuruluş içinden veya dış kaynak yoluyla sağlanmış olsun olmasın, ağ hizmetleri anlaşmalarında yer almalıdır. | ZTNA ile ayrıntılı uygulama erişim politikaları, ağların değil uygulamaların bölümlere ayrılmasına izin verir ve internet erişimi olmadan erişimler gizli ve geçici ağlar üzerinden yapıldığından ağ hizmetleri güvenliği sağlanmış olur. |
A.14.1.2 Halka açık ağlardaki uygulama hizmetlerinin güvenliğinin sağlanması | Halka açık ağlar üzerinden geçen uygulama hizmetlerindeki bilgi, hileli faaliyetlerden, sözleşme ihtilafından ve yetkisiz ifşadan ve değiştirmeden korunmalıdır. | ZTNA ile ayrıntılı uygulama erişim politikaları, ağların değil uygulamaların bölümlere ayrılmasına izin verir ve internet erişimi olmadan erişimler gizli ve geçici ağlar üzerinden yapıldığından ağ hizmetleri güvenliği sağlanmış olur. |
A.14.2.7 Dışarıdan sağlanan geliştirme | Kuruluş dışarıdan sağlanan sistem geliştirme faaliyetini denetlemeli ve izlemelidir. | Kurum dışı ayrıcalıklı haklara sahip kullanıcılara ilgili kaynaklara direkt olarak erişim verilmediğinden erişim kaynaklı risklerden çok büyük oranda kaçınılmış olur. Ayrıca yönetimi ve izlenmesi daha kolay olduğundan daha etkin bir yetkilendirme yapılmasına olanak tanır. |
A.6.2.1 Mobil cihaz politikası | Mobil cihazların kullanımı ile ortaya çıkan risklerin yönetilmesi amacı ile bir politika ve destekleyici güvenlik önlemleri belirlenmelidir. | Uç nokta özelikleri ile mobil cihaz yönetimi olmayan cihazlarda bile veri sızıntısı önlemeye olanak sağlar |
KVKK, ISO 270001, Bilgi Güvenliği, Siber Güvenlik ve Bilgi Teknolojileri konularında destek ve teklif almak için lütfen