puSulA - Bilgi Çözümleri

Transkript

Veri Maskelemede Lider!
Gartner, ilk kez yaptığı
maskeleme değerlendirmesinde
Oracle’ı dünya lideri ilan etti.
Sayfa 6
PUSULA
KimlikYönetimindeTrendler
Bir sistem yöneticisinin kimlik yönetimi
konusunda nelere dikkat etmesi
gerektiğini biliyor musunuz?
Sayfa 7
İÇTEN
DIŞA
.
GÜVENLIK
Oracle ve Oracle İş ortakları tarafından yayınlanmıştır, ücretsİzdİr. SAYI: 1
Fİlİz Doğan Oracle Türkiye Genel Müdürü
Oracle’ın İçten
dışa güvenlİk
yaklaşımı ve
verİ güvenlİğİ
Oracle veri tabanı bilgi
güvenliği özellikleriyle
öne çıkıyor. Sayfa 3
Hüseyİn ÖZEL Bilgi Güvenliği Ürünleri Satış Yöneticisi
Verİ Güvenlİğİ
Anlayışımız
Değİşİyor
Paradigma’mız Yönet,
Sapta ve Önle. İlkemiz,
Security Inside Out.
Sayfa 2
Onur Arsun Orta ve Doğu Avrupa Güvenlik Ürün Lideri
Exadata
Güvenlİğİ: Tüm
Yumurtalar
Tek Sepette!
Ancak şanlısınız ki bu
sepet diğerlerine hiç
benzemiyor. Sayfa 4
Turgut Aydın Bilgi Güvenliği Çözümleri Satış Danışmanı
Bu ne hız!
Oracle, bilgi güvenliğinin
bileşenlerinden biri
olan kimlik yönetimi
servislerinde de çok
yüksek ölçeklenebilir
mimari tasarıma sahip.
Sayfa 5
Orkun Erardağ Endüstri ve BT Stratejileri Insight Direktörü
Verİ güvenlİğİ
şart
Ama neden?
Veri güvenliğini
biliyoruz, peki ama veri
güvenliği farkındalığımız
ne durumda? Sayfa 8
Verİ Kaybının
sorumlusu aranıyor!
>>
Veri güvenliğine gereken önemi vermeyen şirketlerin “kötü
deneyimleri” yukarıdaki manşet gibi gazeteleri süslüyor. Siz
de hacker’ların hedefi olmadan ve manşetlere bu sebeple
çıkmadan gerekli önlemleri alın. Son dönemde ülkemizde
ve dünyada ortak ihmaller sebebiyle basında yer verilen
haberlere istatistiksel veriler ile gelin birlikte bakalım. Sayfa 10-11
Tek ÜRÜN hem de daha
makul fİyata
Veri tabanı aktivitelerinin
izlendiği ve iz kayıtlarının
analizinin yapılabildiği
Oracle’ın yeni ve bütünleşik
çözümü Oracle Audit
Vault - DB Firewall duyuruldu.
Sayfa 2
GÖKÇE İLSEVER İş Ortakları Kampanya Yöneticisi
Edİtörden:
Bu Gazeteyİ
Neden
Okumalısınız?
Son dönemde basında
yer alan haberlere
kayıtsız kalamazdık.
Sayfa 8
UZMAN GÖRÜŞÜ
Tarafsız bölge olarak ta adlandırdığımız
bu bölümde uzmanlar veri güvenliği ile
ilgili yasal düzenlemeleri mercek altına
alıyor. Yasalar başta müşteri bilgileri
olmak üzere tüm önemli verilerin
güvende olmasını öngörüyor. Sayfa 9-12
Oracle veri güvenliği
paneli yapıldı
Panelde, Oracle çözümlerini kullanan
sektöründe lider kurumlar, katılımcılarla
tecrübelerini paylaştılar. Sayfa 5
Oracle Kimlik
Yönetimi İnovasyon
ÖdülüYineTürkiye’de
Oracle her sene kimlik
yönetiminin de içinde
bulunduğu değişik
kategoriler için “Fusion
Middleware Innovation
Awards” dağıtıyor. 2011
senesinde TTNET’in
erişim yönetimi
projesinin layık görüldüğü ödül, bu sene
de Avea’nın projesine gitti. Sayfa 4
Oracle DÜNYASINDAN
2
İÇTEN
DIŞA
.
GÜVENLIK
verİ güvenlİğİ anlayışımız
Oracle çözümlerİ İle değİşİyor
Paradigma’mız Yönet, Sapta ve Önle. İlkemiz Security Inside Out.
Haritamız Oracle Security Assessment Services (OSAS)
Hüseyin ÖZEL, Bilgi Güvenliği Ürünleri Satış Yöneticisi / [email protected]
G
üvenlik gazetemizin bu ilk
sayısında bildiğiniz güvenlik
paradigmalarını size yeniden
hatırlatmak istiyorum.
Paradigmayı ilginç bir hikayeyle
açıklayabiliriz.
Karanlık bastıktan kısa bir süre sonra
savaş gemisinin gözetleme yerinde iskele
tarafındaki nöbetçi haber verdi
“Işık. Baş sancak tarafında.”
Komutan seslendi: “Sabit mi, yoksa
tornistan mı yapıyor?”
Nöbetçi “Sabit, komutanım” diye cevap
verdi. Bu, o gemiyle çarpışma rotası
üzerinde olduğu anlamına geliyordu.
Komutan nöbetçiye emir verdi: “Gemiye
sinyal gönder: Çarpışma rotasındayız.
Rotanızı 20 derece değiştirmenizi
öneriyoruz.”
Karşıdan şu sinyal geldi:”Rotanızı 20
derece değiştirmeniz önerilir.”
Komutan, “Sinyal gönder,” dedi. “Ben
komutanım. Rotayı 20 derece değiştirin.”
Karşıdaki, “Ben deniz onbaşısıyım,
rotanızı 20 derece değiştirseniz iyi olur.”
Komutan bu arada iyice öfkelenmişti.
Hırsla emretti.”Sinyal gönder! Ben bir
savaş gemisiyim. Rotanızı 20 derece
değiştirin.”
Karşıdaki ışıklarla işaret verdi: “Ben bir
deniz feneriyim.”
Bu kısa hikayede de yaşandığı üzere;
sadece izleyerek güvenlik sağlamamız
mümkün değil, anlayışımızı değiştirmemiz
gerekiyor.
6 milyon parola çalındı
Veri güvenliğinde de kurumlar artık
algılarını değiştirmek zorundalar. Sadece
reaktif çözümlerle veri güvenliği sağladığımız
zamanlar çoktan geride kaldı. Artık kurumlar
pro-aktif çözümler geliştirerek verileri
kaynağında korumak zorundalar. Kamu
kurumları gibi politik veya milli güvenliği
ilgilendiren belgelere sahip kurumlar risk
altında. Hırsızlar müşteri verisinin peşinde.
Dünyanın en büyük profesyonel sosyal
iletişim ağı olan firmada 6 milyon parola
çalındı. Artık hedefte sadece bir firmanın
fikri mülkiyet hakları değil müşteri verisi de
var. Müşteri verisini güvenlik sorunlarıyla
hırsızlara kaptırmak utanç verici ve markaya
zararı büyük. Japon elektronik devinin
oyun sitesinde büyük çaplı bir hırsızlık
yaşandı. Artık hırsızlar daha cesur ve büyük
miktarlarda bilgiyi hedefliyor. Kredi kartı
bilgileri çalınması sadece habere manşet
olan şirkete zarar vermedi; tüm endüstride
milyarlarca dolar zarara neden oldu.
7 milyar dolarlık
yolsuzluk
Fransız finans şirketinde ise farklı bir
durum var; hırsızlar içerideler. Başarılı bir
yatırım temsilcisi, denetimleri bypass ediyor,
gereğinden fazla erişim yetkisine sahip
oluyor ve sonuçta 7 milyar dolarlık yolsuzluk
yapıyor. Dünya çapında bu tip saldırıların
toplam maliyeti 1 trilyon doları aşıyor.
Örneklere baktığımızda risklerin çoğunlukla
içeride olduğunu görüyoruz
• Profesyonellerin takip ettiği bir sitede
parolaların MD5 gibi nispeten zayıf bir
algoritmayla hash’lenmiş olduğunu,
• Fransız finans şirketinde aşırı yetkili bir
kullanıcının tanımlandığını,
• Japon elektronik devinde kredi kartı
verisininin şifreli bile olmadığını,
• Yüksek eğitimi düzenleyen kurumda
zayıf ve uzun süredir değiştirilmemiş bir
parolanın kullanıldığını görüyoruz.
Tehlikeler dışarıda başlıyor ama
içerideki riskleri açığa çıkararak gerçekleşiyor.
İÇTeN DIŞA GÜVENLİK
Oracle olarak veri güvenliğini sağlamak
adına, pro-aktif olmayı hedefliyoruz. Kendi
denetimlerimizi yapıyoruz ve güvenlik
açıklarını birlikte tespit ediyoruz. DB Security
Assessment ve Security Insight çalışmaları
bunlardan ikisi. Bu hizmetler, Oracle’ın
ücretsiz olarak sağladığı hizmetlerdir.
Oracle veri güvenliği için, “Security Inside
Out (İçten Dışa Güvenlik)” konseptinde
öncelikle verilerinizin durduğu noktadan
veri güvenliğini sağlamanızı önermektedir.
Network içerisinde alınan güvenlik önlemleri
anlamlı ama yetersiz, güvenlik çözümleri
veri tabanı üzerinden başlamalıdır. Oracle bu
amaçla veri tabanı güvenliğini 3 başlık altında
toplamıştır. Sapta, Önle ve Yönet.
Öncü ve önleyici olun
Sapta, tüm veri tabanı sistemlerinizin
aktivitelerini görün, hangi kullanıcı, hangi
sistem üzerinden, ne zaman, ne tür
işlemler yapıyor, bunu bilin. BBG evi misali,
verilerinize erişimi gözetleyin, veri tabanı
sistemleri üzerine ajanlar yerleştirin, veri
tabanınızın network bağlantısının önüne
ateşten duvar örün. Bu duvar istediğinizde
önleyici çözümler de sunsun. Saldırıyı veri
tabanına erişmeden önleyebilsin. Size
uyarılar, mesajlar göndersin ki saldırılardan
haberiniz olsun. SOX gibi regülasyon uyumlu
raporlar alın, bunları kanıt olarak sunun. Önle,
bulduğunuz kanıtlara seyirci kalmayın, re-aktif
olmayın, pro-aktif çözümler geliştirin. Veri
tabanı erişimlerinizi yönetin, 5N1K sorularının
cevaplarını siz tanımlayın, erişim politikaları
belirleyin, öncü ve önleyici olun.
Paradigma’mız Yönet, Sapta ve Önle.
İlkemiz, Security Inside Out, haritamız Oracle
Security Assessment Services (OSAS),
çözümlerimiz, her kurum için özel, kolay,
uyumlu Bilgi Güvenliği Çözümleri.
tek ürün, hem de çok daha MAKUL FİYATA
Audit Vault - Database Firewall
Veri tabanı aktivitelerinin izlendiği ve iz kayıtlarının analizinin yapılabildiği Oracle’ın, yeni ve bütünleşik çözümü Oracle Audit
Vault ve DB Firewall (AVDF), 2012 Aralık ortalarında tek ürün olarak duyuruldu.
A
VDF, Oracle ve Oracle olmayan
veri tabanı yönetim sistemlerinin
iz kayıtlarının merkezi olarak
kayıt altına alınmasını ve analiz
edilmesini sağlamaktadır. Yeni ürün aynı
zamanda Microsoft Active Directory ve
işletim sistemlerinin de iz kayıtlarının
toplanması için ek kollektörler sunmaktadır.
Bu ek çözümle birlikte yeni Oracle AVDF
sadece veri tabanı sistemleri değil aynı
zamanda XML tabanlı yeni kollektör mimarisi
ve SDK’sı (Software Development Kit)
ile diğer sistemlerden de iz kayıtlarının
toplanması için imkân sağlamaktadır. Oracle
AVDF bir yazılım çözümüdür, ek olarak bir
Bu gazete EMY Medya Tarafından
Oracle ve Oracle İş Ortakları
Adına Hazırlanmıştır.
EMY Medya Yayıncılık
Tel: 0212 275 22 66
Fax : 0212 275 22 76
Adres: Fulya Mah. Ortaklar Caddesi
Örmeci Sokak, Neşe Ap. No: 2 Kat: 4 Daire: 9
34349 Mecidiyeköy/İSTANBUL
E-posta : [email protected]
donanım içermez, bu anlamda var olan
donanımlar üzerinde kolay kurup, konfigüre
edebileceğiniz bir yazılımdır. Yeni çözüm tek
bir yönetim konsolundan yönetilebilmektedir.
Veri tabanı kollektörleri ya da DB Firewall
üzerinden gelen tüm iz kayıtları bu tek
yönetim ekranı üzerinden izlenebilmekte
ve kutudan hazır çıkan SOX ve benzeri
regülasyonların kullanımına hazır raporları
ile birlikte sunulmaktadır. Rol tabanlı erişim
yönetimiyle web ekranı kullanıcılara göre
otomatik olarak değişmektedir.
Database Firewall olarak adlandırılan
bileşeni, network seviyesinde, network
switch üzerinden tüm SQL cümlelerinin
kopyalanarak audit edilmesini sağlamaktadır.
DB Firewall aynı zamanda inline olarak
veri tabanı ile network switch arasında
pozisyonlandırıldığında, SQL cümlecikleri
bloklanabilmekte ya da başka bir SQL
cümleciği ile değiştirilebilmektedir. Bu
amaçla DB Firewall kara liste SQL cümleleri
ile SQL injection ataklarına karşı koruyucu bir
önlem olarak da kullanılabilir.
Oracle veri tabanı kadar hızlı SQL
parsing özelliği ile SQL cümleleri hızla
parse edilir ve analizi sonucunda ataklar
önlenir, gerekli uyarı mekanizmaları çalıştırılır
ve sistem yöneticileri anında saldırıdan
haberdar edilir. Audit Vault ve DB Firewall
birleşmesi, fiyat açısından da ciddi bir
değişim yaşamıştır ve artık çok daha makul
fiyatlarla sunulmaktadır. Önceki dönemde,
lisanslama modelinde Management Server
olarak adlandırılan, ürünün yönetimi için
kullanılan Sunucu artık lisanslanmamaktadır.
DB Firewall ya da Audit Vault Kollektörü,
kullanmış olduğunuz hedef sistem üzerinden
lisanslanmaktadır. Bu lisanslama diğer
modele göre de çok daha uygundur. Fiyatlar
hakkında daha fazla bilgi almak için benimle
yukarıdaki email adresimden iletişime
geçebilirsiniz.
Oracle SecurIty
Identity
Governance
Identitiy Governance (Kimlik Yönetişimi), Kimlik Yönetimi’nden öteye, Kimlik Yönetimi’nin
de içinde bulunduğu Rol Yönetimi ve Yetkili Hesap Yönetimi’ni de içeren Oracle ürün
ailesidir. Kimlik Yönetişimi ürün ailesi çözümüyle kurum kimlik yaşam döngüsü ile birlikte
rol yaşam döngüsü de yönetilmektedir. Kimlik Yönetiminin bir parçası olan rol - tabanlı
erişim politikalarının (RBAC) belirlenmesi için kurum içindeki rollerin tanımlanması
gerekmektedir. Kimi zaman kimlik sayısından fazla bulunan kurum rollerinin bulunması
RBAC’lerin tanımlanmasını zorlaştırmaktadır. Bu amaçla Oracle Identity Analytics kurum
rollerinin analiz edilmesini sağlamaktadır. Yetkili Hesapların Yönetimi için Oracle Privileged
Account Manager’da (OPAM) bu ürün ailesi içinde yer almaktadır.
Oracle güvenlik çözümleriyle ilgili detaylı bilgi almak için www.bilgicozumleri.com/guvenlik adresindeki kayıt formunu doldurarak sizinle iletişime geçmemizi sağlayabilir veya 0212 335 22 38 numaralı telefonumuzdan bize ulaşabilirsiniz.
İÇTEN
DIŞA
.
GÜVENLIK
Oracle DÜNYASINDAN
3
Oracle’ın içten dışa güvenlik
yaklaşımı ve veri güvenliği
Kritik verilere yönelik saldırıların arttığı bir dönemde OracleTürkiye Genel Müdürü Filiz Doğan ile yaptığımız
söyleşide Oracle’ın veri güvenliği yaklaşımını değerlendirirken, değişen riskler karşısında BT
yöneticilerinin önceliklerini belirlemeye çalıştık.
O
racle’ın misyonunu “Güvenlik
Çözümleri İş Ortağı” olmak
olarak özetleyen Oracle Türkiye
Genel Müdürü Filiz Doğan
“Vizyonumuz ise ‘İçten Dışa Güvenlik’
için koruyucu, yönetici ve gözetleyici bilgi
güvenliği çözümleri sunmaktır” dedi.
Oracle’ın bilgi güvenliği
çözümlerinden bahseder
misiniz? Bu çözümleri nasıl
gruplayabilirsiniz ve işleyişteki
metadolojisi hakkında bilgi
verebilir misiniz?
Oracle, içten dışa güvenlik yaklaşımı
ile veri tabanı katmanından, son kullanıcıya
kadar güvenlik çözümleri sunmaktadır. Her
katmanda güvenlik çözümleri gözlemleyici,
koruyucu ve yönetici özellikler taşımaktadır.
Bu temel özelliklerle şirketlerin ve kurumların
veri tabanı seviyesinden son kullanıcıya
kadar sağlamış olduğu veri ve bilgiler
korunmaktadır. İşleyişine ve sürece kısaca
gözatmak gerekirse; koruyucu özelliklerle
bilginin kimler tarafından erişilebilir olduğu ve
en temel güvenlik ilkesi olan ‘görevler ayrılığı’
ilkesi tanımlanır.
Bu sayede her kullanıcı, ihtiyaç
duyduğu bilgiye yetkisi ve rolü seviyesinde
ulaşır. Bu işleyişte, yönetici konumdaki
kullanıcılar, temel görevleri olan sistem
ve bilginin erişilebilirliğini yönetirlerken,
son kullanıcılar bilginin yönetimini ilgili
uygulamalar üzerinden yine yetkileri dahilinde
yapabilmektedirler.
Koruyucu özelliklerden bir diğeri
ise verilerin şifrelenerek saklanmasıdır.
Veri tabanı seviyesinde veriler erişilebilir
oldukları her noktada ve bulundukları yerde
kriptolanmalıdır. Ancak son kullanıcının
uygulamalar üzerinden erişebileceği bu
veriler, her zaman anlamlı ve anlaşılır
olmalıdır. Son kullanıcılar dışındaki
erişimlerde, ağ ve veri tabanı seviyesinde
veri, maskeli ve kriptolu saklanmalıdır.
Maskeleme üretim ortamından,
uygulama geliştirme ortamına kadar
yapılmalıdır. Oracle Maskeleme Çözümleri,
canlı verilerin farklı veri tabanlarına
aktarılması sırasında bilgilerin bütünlüğünü
koruyarak hazır şablonlarla verilerin karışık
halde uygulama geliştiriciler tarafından test
edilmesini sağlamaktadır.
Oracle’ın Database Vault, Advanced
Security, Label Security, Data Masking
çözümleri ile veri tabanı seviyesinde %100
veri güvenliği sağlanır.
Koruyucu özelliklerin yanında gözetleyici
özellikler ise; saldırıların, ne zaman, nasıl ve
kim tarafından yapıldığını analiz edilmesini
sağlar. Koruyucu özellikler sayesinde bilginin
nasıl korunacağını tanımladıktan sonra
gözetlemesinin yapılması gerekmektedir.
Gözetleme, network seviyesinde ve
veri tabanı seviyesinde yapılır. SQL
injection gibi saldırılar için, yapılan veri
tabanı sorguları gözetlenmelidir, hatta bu
aşamada önleyici ve koruyucu çözümler
kullanmak gerekmektedir. Örneğin, SQL
incelemelerinden doğan kara liste ve
beyaz liste SQL’ler tanımlanmalıdır ve
gerekli durumlarda uyarı kanalları ile sistem
yöneticileri anlık olarak bilgilendirilmelidirler.
Oracle, bulut ortamlar da dahil olmak
üzere veri tabanı yönetiminin kolaylıkla
yapılabilmesi adına, müşterilerine geniş
özelliklere sahip olan bir Yönetim Konsolu
sunmaktadır. Şirketler, veri tabanlarının
performanslarından, patch seviyelerine ve
de veri maskelemesine kadar her türlü veri
ve güvenlik yönetimini bu konsol üzerinden
yapabilmektedir.
Tüm veri tabanı kullanıcı yönetimi,
merkezi bir LDAP sunucusu üzerinden
yapılabilmektedir. Kullanıcıların yetki ve
hakları, bu konsoldan yönetilebilmektedir.
Oracle veri tabanının yeni versiyonu
ile birlikte gelen yeni özellikler, veri
tabanı yöneticilerinin işlerini artık daha
da kolaylaştırmaktadır. Veri tabanlarında
tanımlanmış tüm hakların gözden
geçirilmesini sağlayan “Yetki Analizi” ve
hassas verilerin tanımlanmasını sağlayan
“Sensitive Data Discovery” bu yeni
özelliklerden sadece iki tanesidir.
Orta Katman Bilgi Güvenliği
Çözümleri hakkında bilgi
verebilir misiniz? Oracle’ın orta
katman güvenliğinde adreslediği
iş ihtiyaçları hangileridir?
Oracle içten dışa güvenlik çözümlerinin
orta katmanında da her bir ihtiyaç için
güvenlik çözümleriyle müşterilerinin
güvendiği bir Bilgi Güvenliği İş Ortağı haline
gelmiştir. Yıllardır kazandığımız tecrübeler ile,
orta katmanda bilgi güvenliği iş ihtiyaçlarının
3 temel noktada birleştiğini görüyoruz. İlki
ve en önemlisi kimlik depolarıdır. Dolayısıyla,
Oracle Kimlik Yönetimi çözümlerinin ilk
ürünü Oracle LDAP sunucusudur. Oracle’ın
Sun’ı satın almasıyla birlikte dizin sunucuları
ile ilgili yapılan çalışmaları geliştirerek ürün
portföyünü geliştirmeyi başardı ve yeni nesil
kimlik depolama sunucuları geliştirdi. Bu
sunucular ekstra bir veri tabanı ihtiyacına
gerek duymadan, 3 kat daha hızlı bilgi yazma
ve 5 kat daha fazla bilgi sorgulama özelliğine
sahiptir. Ayrıca sanallaştırma çözümleriyle
farklı LDAP sunucuları, veri tabanı kaynakları
hem LDAP protokolleri, hem de farklı
teknolojilerle uygulama geliştiricilere kimlik
depolarına erişimlerinde sanallaştırma
çözümleri sunmaktadır.
Kimlik depoları kurumların
Kimlik Yönetimi çözümlerinin kalbini
oluşturmaktadır. Bu temelin üzerinde kurulan
diğer 2 önemli özellikle Erişim Yönetimi
ve Kimlik Yönetişimi çözümleri kurumun,
AuthN, AuthZ ve Audit dediğimiz 3A
niteliğini kazanmasını ve bu sayede etkin,
yetkin kimlik yönetimi ve erişim yönetimi
yapmasına imkân vermektedir.
Bilgi Güvenliği konusuna
ve çözümlerine kurumların
yaklaşımını nasıl
değerlendiriyorsunuz?
Regülâsyonların ve denetimlerin
etkisiyle bilgi sistemleri yöneticileri bilgi
güvenliği çözümlerine daha fazla yatırım
yapmaya başladılar. Özellikle bankacılık ve
telekomünikasyon sektörünün önderliğinde
bilgi güvenliğine ve çözümlerine yapılan
yatırımlar artmıştır. Temelde re-aktif çözümler
uygulayan kurumların artık daha çok proaktif çözümler uygulamaya başladıklarını
görüyoruz. Artık sadece gözetlemek yeterli
olmuyor, detaylı politikalarla bilgi erişiminin
nasıl ve kimler tarafından yapılması gerektiği
net bir şekilde tarifleniyor. Regülâsyonların
yanı sıra Bilgi Hırsızlığı adına yapılan
saldırıların da şekil değiştirdiğini görüyoruz.
Artık saldırılar tamamen kişisel bilgileri
çalmak adına yapılıyor. Bilgi hırsızları, GSM
operatörlerindeki konuşma kayıtlarından kredi
kartı bilgilerine ve hatta sağlık verilerinize
kadar farklı bilgilerin peşindeler. Seçtiğimiz
fotoğraflara kadar geniş bir ölçekteki bilgileri
kişilik analiziniz için kullanılabiliyorlar. Bu
anlamda, yasal düzenlemeler ve denetimler
olsa da olmasa da her kurum kendi verilerinin
güvenliğini “Kişisel Verilerin Gizliliği İlkesinde”
sağlamak zorundadır.
Oracle SecurIty
Access
Management
Oracle, uygulamaların, verilerin, web servislerinin ve bulut tabanlı hizmetlerin
korunması için sektörün en gelişmiş erişim güvenliği çözümünü sunmaktadır.
Entegre edilmiş modern bir mimari üzerine kurulmuş olan Oracle Access
Management çözümü, müşterilere kimlik doğrulaması, çoklu oturum açma,
yetkilendirme, federasyon, mobil ve sosyal oturum açma, kimlik yayma ve ağ
çevresinde risk tabanlı kimlik doğrulaması ile yetkilendirme imkânları sunan
kapsamlı bir çözüm grubunu kullanma imkânı verir.
4
Oracle DÜNYASINDAN
İÇTEN
DIŞA
.
GÜVENLIK
Exadata
Güvenliği:
TümYumurtalar
Tek Sepette!
E
ONUR ARSUN, Orta ve Doğu
Avrupa Güvenlik Ürün Lideri
[email protected]
xadata’nızı konsolidasyon ya da bulut hizmetlerinizi
güçlendirmek için kullanıyorsanız, bunun bir anlamı var:
Yumurtalarınızın hepsi bir sepette! Ancak şanlısınız ki bu
sepet diğerlerine hiç benzemiyor.
Exadata’nın hız, maliyet, verimlilik ve rekabetçilik konularında
size kazandırdıklarının tekrardan üstünden geçmemize gerek
yok. Peki ya güvenlik? Şirketinizin ve müşterilerinizin pek çok
kıymetli verisini artık Exadata üzerinde tutuyorsunuz. Araştırmalar
da gösteriyor ki; saldırganların hedefinde artık sunucular ve
sunucuların üzerindeki (özellikle de müşteriye ait olan) bilgiler var
(Verizon Business Data Breach Investigations Report, 2012). Yani
bu bilgilerin güvenliğini de es geçmemiz mümkün değil. Zaten pek
çok sektördeki tüzük ve yönetmelikler da buna müsaade etmiyor ve
belli kıstasları şart koşuyor.
Peki, hız ve verimlilik için yatırım yaptığınız bu cihazlarda
maliyetleri arttırmadan güvenliği nasıl sağlayabilirsiniz? İyi
haber de bunun cevabında yatıyor: Ayak izinizi küçülterek tüm
verileriniz için daha fazla güvenliği, daha düşük karmaşıklıkta
sağlayabilirsiniz. Hem de Exadata’nızın sunduğu üstün başarımdan
ödün vermeyerek. Konsolidasyon
veri tabanınız
öncesinde her bir uygulama için
için şifreleme
dedike kaynaklar; ayırıyorduk. Bu
dedike kaynaklar onlarca, hatta
performansı
yüzlerce veri tabanı içeren yazılım ve
Exadata
donanım kümeleri oluşturuyordu. İş
üzerinde
güvenliğe gelince de, hangi kümede
“Advanced
hangi hassas verinin yer aldığını
SecurIty OptIon”
saptamak güç olduğu için kümenin
içindekileri değil, kendisini korumaya
ile 10 kat
çalışıyorduk. Bunu da genelde ağ
daha hızlı
güvenliğiyle sağlıyorduk. Burada
sorun aslında kendini anlatıyor, değil mi? Her küme için ayrı güvenlik
yatırımı, bunları izlemek için ayrı kaynaklar ve günün sonunda
saldırganların yapması gereken tek şey ağ güvenliğini aşmak –
sonra bütün bilgiler ellerinin altında! Biliyoruz ki saldırganların derdi
ateşduvarımızı yıkmak değil, verilerimize ulaşmak.
Karmaşık,yönetimi zor,yüksek
maliyetli veritabanı güvenliği Exadata
kullanıcıları için geçmişte kaldı
Exadata konsolidasyonları işte bu karmaşıklığı adresliyor.
Artık verinizin nerede olduğunu biliyor, karmaşık topolojilerden
kaçabiliyorsunuz. Ağ güvenliğinizi de daha basit olarak sağladıktan
sonra geriye tek bir şey kalıyor: Konsolide ettiğiniz verinizi korumak
ve buna erişimi kontrol etmek.
Bu noktada Oracle’ın veri tabanı güvenliği ürünleri,
Exadata’nızda daha yüksek güvenlik ve verim sağlamak üzere
devreye giriyor. Örneğin, veri tabanınız için şifreleme performansı
Exadata üzerinde “Advanced Security Option” ile 10 kat daha hızlı.
Uygulamalarda değişiklik yapmadan kullanabileceğiniz bu şifreleme
ortamlarınıza karşı saldırıları da önlüyor. Veri tabanı yöneticileri
veya uygulama hesapları gibi fazla yetkili kullanıcılarınızı yönetme
imkânı sağlayan “Database Vault” ürünü görevler ayrılığı ilkesiyle,
kimin hangi veriye erişebileceğini yüksek hassasiyet ve politikalarla
kontrol etmenizi sağlıyor. Yeni sürümüyle beraber kabiliyetleri,
başarımı ve rekabetçiliği arttırılan yeni konsolide ürünümüz Audit
Vault & Database Firewall sadece Exadata’nız için değil, Oracle
harici üreticilerin veri tabanları için de SQL grameri tabanlı trafik
izleme, filtreleme, alarm ve engelleme imkanları sunuyor. Üstelik
işletim sistemleriniz, veri tabanlarınız ve diğer uygulamalarınızdan
da denetim verisi toplayıp korelasyonlar kurarak her bir şüpheli olayı
detaylarıyla incelemenizi sağlıyor.
İster konsolidasyon, ister bulut için olsun Exadata sahibi
olmak size daha kolay, merkezi ve verimli güvenlik için yeni bir kapı
açıyor. Üstelik veriyi kaynağında korumanızı sağlıyor. Karmaşık,
yönetimi zor, yüksek maliyetli veri tabanı güvenliği Exadata
kullanıcıları için geçmişte kaldı.
Oracle KimlikYönetimi
İnovasyon Ödülü
YineTürkiye’nin
Oracle her sene kimlik yönetiminin de içinde bulunduğu değişik
kategoriler için “Fusion Middleware Innovation Awards” dağıtıyor. 2011
senesinde TTNET’in erişim yönetimi projesinin layık görüldüğü ödül, bu
sene de Avea’nın projesine gitti. İki sene üst üste Türkiye’ye bu ödülü
kazandıran herkesi kutluyoruz.
B
u sene 250’den fazla projenin aday olduğu
Oracle İnovasyon Ödülleri’nde, Avea
2012 senesinde başarıyla tamamladığı
Kimlik Yönetimi Projesi’yle ödülü aldı.
San Francisco’da Oracle OpenWorld kapsamında
gerçekleştirilen ödül töreninde Avea’dan Güvenlik
Planlama ve Operasyon Müdürü Ulvi Cemal Bucak
ve Güvenlik Planlama Süpervizörü Mahmut Küçük
plaketi teslim aldı.
Peki Avea bunca projenin arasından nasıl
sıyrıldı? Cevap projenin Avea’ya sağladığı hızlı
yatırım getirisinde yatıyor. En önemli kazanım
kalemi çağrı merkezi verimliliğin arttırılmasında.
GSM operatörleri için çağrı merkezlerinin büyük
ölçeğini yönetmek ve dinamikliğini sağlamak kritik
bir konu. Daha önce Sun Identity Manager ile
çalışan Avea’nın kimlik yönetimi altyapısı, Oracle
IDM’e taşınırken önemli hassasiyetlerden biri de
bu kritik konuyu adreslemekti. Altyapı çağrı merkezi
çalışanlarının hızlı bir şekilde aldıkları çağrı profillerini
değiştirebilmesi için tasarlandı.
Oracle IdentIty AnalytIcs
Bir diğer önemli kazanım da yardım masası
verimliliğini arttırarak sağlandı. Kullanıcıların SMS,
IVR ve web önyüzleri gibi pek çok değişik kanaldan
kolayca parola değiştirmeleri ve sıfırlamaları
sağlandı. Artık Avea çalışanları parolaları için nadiren
yardım masasına başvuruyorlar.
Bu projeyle beraber Avea, Türkiye’de çok da
fazla benzeri bulunmayan ve özellikle teknoloji
firmaları için hiç de kolay olmayan başka bir
çalışmayı da başarıyla gerçekleştirmiş oldu:
Kurumsal rol madenciliği. İnsan Kaynakları
departmanın da yoğun desteğiyle, tüm kurumun
organizasyonunu kapsayacak şekilde roller
belirlendi. Bu çalışmada aşağıdan - yukarıya
yaklaşım için Oracle Identity Analytics ürününden
faydalanırken, sonuçlar yukarıdan - aşağıya
yaklaşımla yapılan anketlerle desteklendi.
Çalışmanın sonucunda çalışanların; işe giriş,
transfer ve vekalet gibi İK süreçlerinin takibinde
işlerini gerçekleştirmeleri için gerek duyduklara
hesap ve yetkilere ulaşım süresi dakikalara indirildi.
Örneğin bu sistem sayesinde işe girişi yapılan yeni
bir çalışan aynı gün içerisinde hesap ve yetkilerine
sahip olarak masasına yerleşebiliyor. Kurumsal rol
modeli sayesinde, çalışanların fazla yetki sahibi
olabilmesinden kaynaklanan riskler de adreslenmiş
oluyor.
Kimlikyönetimi süreçleri
Projenin sağladığı faydalar bunlarla sınırlı değil.
Avea’nın özelleşmiş istekleri için tasarlanan detaylı
raporlama mekanizması, çalışanların mevcut ve
tarihsel yetkilerinin hızlıca hazırlanmasını sağlıyor.
Düzenli olarak yetki ve rollerin gözden geçirilmesini
sağlayan sistem, tüzük ve yönetmeliklere uyumluluk
konusunda Avea’nın süreçlerini destekliyor.
Tüm bu faydaların yanında projenin
yürütülmesi de pek çok diğer çalışmaya örnek
olabilecek nitelikte. Kimlik yönetimi süreçleri
konusunda olgunluk seviyesi çok yüksek olan
Avea, proje başlangıcında teknoloji birimlerinin
yanı sıra, İK, Denetim, Müşteri İlişkileri ve Hukuk
bölümlerinden ilgililerin de bulunduğu geniş bir
proje ekibi oluşturdu. Bu sayede kurulacak yeni
sistemden direk veya dolaylı olarak fayda görecek
her fonksiyonun beklentilerinin karşılanması
sağlandı. Avea’nın tecrübeli güvenlik ekibi, her
aşamada projeyi destekleyerek işlerin zamanında
bitmesini ve sonuçların gereksinimleri doğru olarak
adreslenmesini sağladı. Gerçeklemeyi yapan Oracle
Türkiye’nin tecrübeli danışmanlık ekibi, yerel çözüm
mimarları ve Oracle’ın yurtdışı ürün mühendisliği
ekibinin başarılı çalışmalarıyla, Avea’ya en uygun
tasarımın ve çözümün en verimli ve çabuk şekilde
sunulmasını sağladı. Bizler de iki sene üst üste
Türkiye’ye gelen bu ödüllerin gururunu yaşıyoruz.
Şimdi sıra 2013 ödüllerinde!
Oracle IDM çözümüne özel kampanyamıza
www.bilgicozumleri.com/IDM adresinden hemen
kayıt yaptırarak ücretsiz kimlik yönetimi analizi
hizmetimizden yararlanabilirsiniz.
Oracle DÜNYASINDAN
İÇTEN
DIŞA
.
GÜVENLIK
5
Bu ne hız!
Turgut Aydın, Bilgi Güvenliği
Ürünleri Satış Danışmanı
[email protected]
Bilgi güvenliğine
kurumsal yaklaşımlar
Bilgi Güvenliğindeki Yenilikler ve Kurumların Yaklaşımı konulu panelde,
denetimlerden kritik bilgiye kadar veri güvenliği ile ilgili her şey konuşuldu.
T
ürkiye’nin önde gelen kuruluşlarının
katıldığı Bilgi Güvenliği Paneli’nde bilgi,
bilgi güvenliği, regülasyonlar ve denetimler
konuşuldu. Panele telekomünikasyon
sektöründen Turkcell, finans sektöründen Yapı
Kredi Bankası, hızlı tüketim tarafında Tuborg’un yanı
sıra Oracle ve Oracle İş Ortakları ile Deloitte’tan
temsilciler katıldı.
Turkcell Kurumsal Altyapı ve Güvenlik Müdürü
Gürkan Papila, Yapı Kredi Bankası BT Güvenlik
Yönetimi Müdürü Levend Abay, Türk Tuborg Bilgi
Teknolojileri Direktörü Meltem Atay, Biznet Bilişim
Genel Müdür Yardımcısı Onur Arıkan, Deloitte
Kurumsal Risk Hizmetleri Kıdemli Müdürü Metin
Aslantaş, Oracle Orta ve Doğu Avrupa Güvenlik
Ürün Lideri Onur İhsan Arsun’un katıldığı panelin
moderatörlüğünü Oracle Bilgi Güvenliği Ürün Satış
Yöneticisi Hüseyin Özel yaptı.
ETKİNLİKTEN KISA KISA
Panelde değinilen başlıca konuları sizler
için derledik. “Bilgi sahipleri iş sahipleridir. Hangi
bilginin kritik bilgi olduğunu bilmek, bilgileri
sınıflandırmak işin sahiplerinin işidir.Bu kritik bilginin
nerelerde durduğunu bilmek ise; IT yöneticilerinin
sorumluluğundadır. Bilgi güvenliğinin en temel
adımı budur. Bu anlamda veriler sınıflandırılmalı
ve bu sınıflama işin sahibi olan kullanıcıların
katılımıyla yapılmalıdır. Bilgilerin sınıflandırılması
sonucunda verilerin durduğu yerden başlayarak her
katmanda veri güvenliği çözümleri uygulanmalıdır.
Veri güvenliği çözümlerinin uygulanabilmesi için
sınıflandırılmış verilerin veri güvenliği politikalarıyla
eşleştirilmesi gerekmektedir. Bilgi ve verinin
sınıflandırılması yapılmadan Hayata geçirilen Bilgi
Güvenliği Projeleri eksik yapılmış projeler olarak
adlandırılabilir.
Bilgi güvenliği harcamalarının temel kaynağı
regülasyonlardır. Çünkü kurumlar hem adli hem de
maddi yaptırımlara tabidirler.
Regülasyonların temel çıkış amacı ise
“müşteri bilgilerinin ve kurum sırlarının”
korunmasıdır. Bir çok sektör için en değerli bilgi
müşteri bilgisidir.
Regülasyonlar geniş tanımlı ve yoruma
açık maddeler içeriyor ve evrimleşiyor, şirketler
regülasyonlar karşısında zorlanıyorlar. Denetleme
kurumlarının, şirket gelirlerinin % 3’üne varan
oranlarda ceza yazma hakkı vardır. Bu durum
operatörlerinin lisans iptaline kadar gidebilir.
Denetimlerden geçmek
çok önemli
Şirketler farklı denetimlerden geçiyorlar. Her
denetimin ayrı sonuçları ve yaptırımları oluyor.
Denetimler yılda 7 - 8 defa yapılınca çok vakit alan
süreçler haline dönüşüyor. Eğer pro-aktif bilgi
güvenliği çözümlerine yatırım yapılırsa, denetime
harcanan kaynaklardan tasarruf edilebilir. Denetim
birimleri teknik operasyon birimlerinin her zaman bir
adım önündeler.
Bilgi güvenliği projelerine ayrılan paralar
genelde perimeter defense, audit ve re-aktif
projeler için harcanıyor. Büyük resim hiçbir
zaman göz önüne alınmıyor. Dolayısıyla çözümler
sadece kanayan yaraya parmak basmak şeklinde
oluyor. Bilginin durduğu yerden itibaren güvenlik
çözümlerinin sağlanması gerekmektedir.
Regülasyonların yaptırımları sonunda
şirketler maddi cezalardan, iş lisanslarının geri
alınmasına kadar uzayan maliyetlere ve zararlara
uğrayabiliyorlar. Firmalara yapılan saldırıların kamuya
ifşa olması durumunda markalarının uğrayacağı
değer kayıpları daha da yükseliyor. Bu tip zararları
önleyecek her türlü proje her türlü bütçeyi hak eder
ve riskleri azaltır.
Oracle geniş eko-sistemi ile birlikte Bilgi
Güvenliğinde en güçlü çözüm ortağıdır.”
Oracle SecurIty
Directory Services
Oracle; uygulamaların, verilerin, web servislerinin ve bulut tabanlı hizmetlerin korunması için
sektörün en gelişmiş güvenlik çözümünü sunmaktadır. Özel olarak entegre edilmiş modern
bir mimari üzerinde kurulmuş olan Oracle Access Management çözümü, müşterilere kimlik
doğrulaması, çoklu oturum açma, yetkilendirme, federasyon, mobil ve sosyal oturum açma, risk ve
fraud yönetimi imkânları sunmaktadır. Tüm uygulamalara erişim, yetki denetimleri bu çözümlerle
yapılmaktadır ve her erişim iz kaydı sistem üzerinde tutulmaktadır.
O
racle, oyuncu olduğu tüm platformlarda olduğu gibi bilgi
güvenliğinin en önemli bileşenlerinden biri olan kimlik
yönetimi servislerinde de çok yüksek ölçeklenebilir mimari
tasarıma sahip. Bunun sonucu olarak da bu servislerde
Formula 1 ölçeğinde performansları rahatlıkla elde edebiliyoruz!
Kimlik Doğrulama Performansı
Güvenlik uygulamalarında performansa en çok ihtiyaç duyan
servislerin başında kimlik doğrulama geliyor. Kimlik doğrulama,
bir kullanıcının bir uygulamaya erişmeden önce kim olduğunun
belirlenmesidir. Çoğu zaman bir kullanıcı adı ve şifreyle yapılan,
hepimizin günde defalarca tekrarladığı işlemden bahsediyorum.
Bir web sitesine girerken kullanıcı adı ve şifremizi yazıp “Giriş”
butonuna basmak ne kadar basit görünse de sonucu oluşturmak
için arka planda birçok bileşen çalışıyor. En azından sağlıklı çalışan
uygulamalarda bu böyle. Üstelik kullanıcısı çok, işlemi yoğun olduğu
zaman arka taraftaki sistemlerin “yığılmayı önleyecek” nitelikte olması
gerekmektedir. Bunun için öncelikle bir “kimlik deposu” gereklidir.
Burada bizim ve diğer kullanıcıların, kullanıcı bilgileri (kullanıcı adı ve
belki de isim, soyad gibi tanımlayıcı diğer bilgileri) ve kimlik doğrulamayı
sağlayan şifre (ya da diğer gizli bilgilerin) güvenli olarak saklanmalıdır.
Olmaz ya, kötü niyetli biri bu bilgilerin saklandığı veri dosyalarını ele
geçirse bile şifreleri çözemesin. Fakat çoğu zaman “Giriş” butonuna
bastığımızda bir şey daha oluyor: Servis sağlayıcısının diğer servis
ve uygulamalarına erişmek istediğimizde bize tekrar tekrar şifre
sorulmaması için bir de “tekil oturum” açılıyor. Bu tekil oturumu
sağlayan çözüm, OAM (Oracle Erişim Yönetimi) servisleridir. Şifre giriş
ekranını da bu servis sağlıyor zaten. Onun için servis sağlayıcısının
hangi uygulamasına erişirseniz erişin, göreceğiniz “Giriş” ekranı aynı
olacaktır. Tabii bütün bu bahsettiklerimiz Oracle’ın yazılım bileşenleridir.
Bu bileşenlerin performanslı çalışmasını sağlayacak bir donanım
platformu da gerekmektedir. Sun Microsystems birleşmesinden bu
yana Oracle tam da bu amaca hizmet eden bütünleşik platformlar
tasarlıyor. ODS ve OAM bileşenlerinin yüksek performanslı çalışmasına
uygun ideal platform da bunlardan biri olan Oracle Exalogic’tir.
TEST SONUÇLARI: PERFORMANS VE ÖLÇEK
AÇISINDAN ÇEKİNECEĞİMİZ PROJE YOK!
Oracle, geliştirdiği bu çözümlerin performansını ve yüksek
ölçeklenmesini çeşitli platformlarda test eder. Geçen yıl sonunda
250 milyon kullanıcı için bir çalışma yapıldı! ODS üzerinde 250 milyon
kullancının tanımlı olduğu bu testler sırasında %10‘luk aktif kullanım
kabul edildi.
İstanbul Park!
Geçtiğimiz ay benzer bir test İstanbul’da tekrarlandı ama
çalışmanın amacına bağlı olarak daha mütevazi hedefler koyuldu.
ODS’in OUD (Oracle Unified Directory 11g Release 2) sürümünün
kimlik deposu ve kimlik doğrulama servisi için kullanıldığı çalışmada
12 milyon kullanıcı kaydı oluşturuldu. Tekil oturum açmak için OAM
(Oracle Access Manager 11g Release 2) sürümü kullanıldı. Test
senaryoları için de Oracle ATS (Application Testing Suite) kullanıldı.
Tüm bunlar en küçük model olan (1/8) Exalogic makinesi üzerinde
çalıştırıldı. Yalnızca kimlik doğrulamanın ve kimlik doğrulamayla beraber
tekil oturum performansının ayrı ayrı ölçüldüğü çalışmada OUD ile
saniyede 8500‘den fazla doğrulama ölçüldü. Bu saatte 30 milyon
kimlik doğrulanması anlamına gelmektedir. OAM ile tekil oturumların
ölçüldüğü testlerde ise saniyede 1500, saatte 5.5 milyon tekil kimlik
oturumu elde edildi!
Sonuç
Bu çalışmadan sonra bir kere daha emin olduk ki, Oracle Kimlik
Yönetim platformuyla Türkiye’de ölçek ve performans açısından
çekineceğimiz hiç bir proje yok! Oracle IDM çözümüne özel
kampanyamıza www.bilgicozumleri.com/IDM adresinden hemen
kayıt yaptırarak ücretsiz kimlik yönetimi analizi hizmetimizden
yararlanabilirsiniz.
Oracle DÜNYASINDAN
6
Rol Madenciliği
ile Etkin
Erişim veYetki
Yönetimi
GÜrol Erdoğan,
Kıdemli Oracle Danışmanı
[email protected]
R
ol tabanlı erişim yönetimi (Role-based access
control - RBAC) kurumsal güvenlik ve kimlik yönetimi
süreçlerinde sıklıkla kullanılan bir modeldir. Bu model,
kurumsal yetkileri, iş birimleri ile ilişkilendirebilmeyi
amaçlayan kavramsal açıdan oldukça basit bir fikre dayanır. Çok
kısa tarif etmek gerekirse amaç, kurumsal yetkileri iş birimleri
açısından anlamlı bir şekilde gruplamak, bu grupları birer rol
olarak tarif etmek ve kullanıcıları bu rollere atamaktır. Bu sayede
yönetilmesi gereken veri ilişkilerini en aza indirgemek amaçlanır.
Rol tarifinin yapılmadığı ve yetkilerin kullanıcılarla doğrudan
ilişkilendirildiği duruma kıyasla bu yöntem, doğal olarak çok daha
az veri ilişkisi (rol - yetki ve rol - kullanıcı) ortaya çıkarır.
Ancak bir kurumun RBAC’a dayalı bir kimlik ve erişim
yönetimine sahip olması o kadar da kolay değildir. N.I.S.T
(National Institute of Standards and Technology)’nin yaptığı bir
araştırmaya göre RBAC sistemi kurmanın en maliyetli kısmı,
kurumsal rollerin ortaya çıkarılma aşaması olarak tarif edilen, rol
mühendisliği aşamasıdır. Rol mühendisliğinin temel olarak üç ana
hedefi vardır; kurumsal rollerin belirlenmesi, kurumsal sistemlere
yayılmış durumdaki yetkilerin bu rollere atanması ve çalışanların
iş tanımlarına göre bu rollere üye yapılması. Faaliyetine başladığı
günden itibaren IT altyapısını sürekli geliştiren firmalarda bu
sistemlere ait kullanıcı – yetki ilişkilerinin sürekli büyüdüğü
düşünülürse, rol mühendisliğinin ortaya çıkaracağı maliyet
daha da anlaşılabiliyor. Bu maliyeti düşürebilmek için, rol
mühendisliğinin süreçlerini olabildiğince otomatikleştirmenin
yolları bulunuyor ve rol madenciliği denilen kavram ortaya çıkıyor.
Rol madenciliği üzerinde akademi ve iş dünyasında genel
bir fikir birliği oluşmuşsa da, iyi bir rol madenciliği çözümünün
neleri içermesi gerektiği halen tartışılıyor. Bu konuda tartışılan
üç ana başlık var. 1- Problemin tanımı, 2- Rol madenciliği
algoritmaları,
3- Rol madenciliği sonucunda ortaya çıkan verinin
değerlendirilmesi. Dolayısıyla rol madenciliği çözümü sunan
araçların bu üç noktada güçlü olması gerekiyor. Bu başlıkları
adresleyen çözümler sonuç olarak, kurumların gerçek hayat
ihtiyaçlarına odaklanmış, RBAC çözümünün temellerinin etkin bir
şekilde atılabilmesini sağlayacak kalitede çıktılar verebilmelidirler.
Rol madenciliğiyaklaşımI
Kurumlar rol madenciliğine iki farklı moldelde yaklaşıyorlar:
1.Yukarıdan aşağı rol madenciliği yaklaşımı: Kurumda
tanımlanmış iş süreçleri, güvenlik politikaları ve diğer
tanımlamalar ile kullanıcıların ortak kaynak ihtiyaçları belirlenir.
2.Aşağıdan yukarı rol madenciliği yaklaşımı: Mevcut
durumda kullanıcılara doğrudan verilmiş yetkilere bakılır, bir arada
olması gereken yetkilerden roller tanımlanır ve bu yetkilere sahip
olan kullanıcılar yetkiler yerine tanımlanan rollere atanır.
Tipik olarak kurumlar RBAC modelini uygulamaya, aşağıdan
yukarı yaklaşımı kullanarak girişiyor. Bunun nedeni birçok
kurumun rol temelli yetki kontrolü mekanizmasına, faaliyete
geçtikten uzunca bir süre sonra başlıyor olması. Haliyle bu
kurumların geçmişten beri oluşagelmiş bir kullanıcı – yetki verisi
birikimi oluşuyor ve bu birikim kullanılarak kurumsal roller ortaya
çıkarılıyor. Ancak çoğu zaman ortaya çıkan tablo, kurumun kural
ve politikalarına % 100 uyumlu çıkmayabiliyor. Bu durum iki
temel sebepten kaynaklanıyor; 1- tipik olarak kurumun yetki ve
erişim yönetimi tüm sistemler genelinde merkezileşmiş değil,
2- günlük iş ihtiyaçları kişileri kurumsal rollerinden başka yetkileri
de kullanma ihtiyacı doğuruyor ve istisnai durumlar her gün
artıyor. Aşağıdan yukarı yaklaşımın bir diğer avantajı da çığ gibi
büyüyen bu istisnai durumlardan yeni rol şablonları üretebilmek
ve rol temelli yetkilendirme mantığını kurumun ömrü boyunca
sürdürebilmek. Bu da aslında şu anlama geliyor, rol madenciliği
bir defalık bir projeden çok, süregiden bir iş süreci olarak
görülmelidir ve kurumların bu vizyona üst yönetimden başlayarak
sahip olması gerekmektedir.
İÇTEN
DIŞA
.
GÜVENLIK
Oracle Veri Maskeleme
Konusunda Lider
Gartner, Oracle’ın veri maskeleme çözümlerinin pazar lideri olduğunu
açıkladı. Çünkü Oracle, veriyi bulunduğu yerde, yani veri tabanında
korumak için ilk günden beri sektörün en gelişmiş teknolojisini sunuyor.
V
eri maskeleme, veri tabanlarında
saklanan tüm bilgilere erişimi engelleyen
bir güvenlik yöntemidir. Bu yöntem,
gerçek verilerin yerine, gerçek olmayan
ancak uygun verilerin yerleştirilmesi yöntemine
dayanmaktadır. Böylece veriler dışarıya sızsa
bile, kötü niyetli kişilerin eline gerçek olmayan
bilgiler ulaşmış olur. Bankacılıkta sıklıkla kullanılan
bu teknik, özellikle internet bankacılığı işlemleri
sırasında ve basılı hesap dökümleri, ekstrelerde kart
numarası veya şifrenin yıldızla gizlenmesi şeklinde
kullanılmaktadır.
Neden veri maskeleme?
Oracle, veriyi bulunduğu yerde, yani veri
tabanında korumak için sektörün en gelişmiş
teknolojisine sahiptir. Oracle başta veri gizliliği
olmak üzere, kritik verileri şirket içindeki tehditlere
karşı korumak ve düzenleyici kurallara uyumu
güçlendirmek için kapsamlı bir güvenlik çözümleri
paketi sunmaktadır.
Gartner en son yaptığı Magic Quadrant
for Data Masking Technology isimli pazar
araştırmasında Oracle’ın veri maskeleme
konusunda lider olduğunu açıkladı. Gartner’a göre
veri maskeleme yöntemini benimseyen işletmeler,
ihlallere karşı daha güvenli olurken, veri tabanlarında
üst düzey gizlilik ve koruma yeteneklerini de
geliştirmiş oluyorlar. Aynı zamanda veri maskeleme
opsiyonları, işletmelerin yasal otoriteler tarafından
düzenlenen güvenlik standartlarına uyumunu da
kolaylaştırmış oluyor.
Gartner’ın deneyimli analistlerinden
Joseph Feiman veri maskelemenin şirketleri
yalnızca güvenlik açıklarına karşı korumadığını,
veri tabanlarında tutulan bilgileri düzenleyici ve
uyum konusundaki hatalara karşı da koruduğunu
söylüyor. Ayrıca Feiman’a göre halen gelişmekte
olan bir pazarda önemli eğilimlerin net bir şekilde
anlaşılması, doğru uygulama kararlarının alınması
için de veri maskeleme oldukça kritik bir nokta.
Kritik verileri kaynağında
koruyun
Oracle veri maskeleme paketi gerçek müşteri
verilerinin kullanımını kısıtlayarak koruma düzeyinin
yükseltilmesine yardımcı olmaktadır. Böylece
kuruluşların veri tabanlarında tutulan müşteri bilgileri
üçüncü kişilerin eline geçse bile maskelendiği için
tekrardan kullanılamaz durumda olur. Oracle veri
maskeleme çözümleri sayesinde müşteri adresleri
veya kredi kartı bilgileri gibi hassas veriler, test veya
kontrol gibi çeşitli nedenlerle üçüncü parti şirketlere
açılsa bile gerçekçi değerlerle değiştirildiği için
güven altında tutulmuş olurlar.
Oracle Veri Tabanı Güvenliği Ürün Geliştirme
Başkan Yardımcısı Vipin Samar’ın, Oracle’ın Gartner
tarafından pazar lideri seçilmesinin akabinde
yaptığı açıklamada belirttiği gibi Oracle maskeleme
teknolojileri, güvenlik anlamında entegre çözümler
sunuyor. “Şirketlerin veri tabanlarında bulunan
yapılandırılmış ve yapılandırılmamış veriler,
kurumların iş analizi, test veya uygulama geliştirme
süreçleri sırasında farklı birimlere kopyalanabiliyor.
Veri maskeleme çözümlerimiz ile hassas verilere
yetkisiz erişimi tamamen engelleyebiliyoruz” diyen
Vipin Samar, açıklamalarına şöyle devam ediyor:
“Yüksek performans sunmak ve müşterilerimiz
için sağlam bir veri tabanı güvenliği sağlamak için
Oracle, sınıfının en iyi donanım ve yazılımlarını
entegre eden dünyanın bir numaralı veri tabanı
sağlayıcısıdır.”
Oracle SecurIty
Oracle
Advanced Security
Oracle Advanced Security, tüm uygulama verilerini veya kredi kartı bilgileri, sosyal güvenlik numaraları
veya kişisel olarak tanımlanmaya neden olabilecek bilgiler (PII) gibi hassas bilgiler içeren spesifik sütunları
şifreleyerek kurumların gizlilik ve mevzuatla ilişkili zorunluluklara uymasına yardımcı olmaktadır. Oracle
Advanced Security, network seviyesinde ve veri tabanı seviyesinde her verinin şifrelenerek saklanmasını
sağlamaktadır. Son kullanıcılar verilere erişirken bu çözümle birlikte hakları doğrultusunda verilere
maskeli olarak erişebilmektedir.
Oracle DÜNYASINDAN
İÇTEN
DIŞA
.
GÜVENLIK
Kimlik yönetiminde
2013’ün 5 yeni trendi
Mobilitenin gittikçe arttığı ve sosyal paylaşımların bile güvenlik açıklarına
neden olduğu günümüzde bir sistem yöneticisinin kimlik yönetimi
konusunda nelere dikkat etmesi gerektiğini biliyor musunuz?
G
elişen teknoloji ve değişen
alışkanlıklar kimlik yönetimini de
daha zor bir hale getiriyor. Oracle veri
güvenliği uzmanlarının önümüzdeki
dönemde altını çizdikleri başlıkları sizler için
derledik. Gelin kimlik yönetimi konusunu
şekillendirecek temel eğilimleri birlikte
inceleyelim.
Mobilite (hareketlilik)
ivme kazanıyor
Uygulamalar gittikçe küçülüyorlar.
Küçüldükçe de web sunuculardan cep telefonu
tabanlı veri merkezlerine bağlı bir sunucu
modeline geçiyoruz. Bu da standart bir yerel
kullanıcı deneyimi sunmak için artık kimlik
doğrulama işlemlerinin mobil uygulamalar
üzerinden de yapılmasını gerektiriyor.
Yani hayatımıza PIN kodları, arka uç kimlik
hizmetlerine güvenli erişim gibi kullanıcı kimlik
doğrulama yöntemleri giriyor.
Sonuç olarak, kimlik yönetimi yetenekleri
artık HTTP tabanlı protokoller üzerinden
yapılmaya başlanmalıdır. Oracle’ın kimlik
yönetimi platformlarına yaklaşımı, tam olarak
bu modeli desteklemek için inşa edilmiştir.
Bu modele olan talebin 2013 ve sonrasında
güçlenerek artması bekleniyor.
Hizmet olarak kimlikyönetimi
Bugüne kadar hizmet olarak yazılım
(SaaS) konusunda birçok şey yazıldı. Ancak,
hizmet olarak kimlik yönetimi kavramının
benimsenmesi daha yavaş olmuştur. Neden
mi? Çünkü kimlik yönetimi gerçekten kritik bir
konudur. Ayrıca kuruluşların yürüttüğü diğer
kritik süreçlerle de entegrasyon gerektirir. Bu
yetenekleri bulut içinde kullanabilmek için
önemli sistemleri üçüncü parti bir sağlayıcı ile
paylaşmak gerekir.
Bu nedenle şirketlerin genel bulut değil
ama özel bulut çözümleri sayesinde hizmet
olarak kimlik yönetimi yeteneklerini kullanmaları
gerekecektir. Bunun sonucu olarak şirketler, BT
altyapılarını basitleştirirken güvenlik, kontrol ve
esneklik konularında avantaj elde edeceklerdir.
Taşınabilir kimlik
yönetimine doğru
Şirketler hizmet olarak yazılım (SaaS)
çözümlerini tercih ettikçe, çalışanlar daha
çok kimlik doğrulamasından geçmek
zorunda kalıyorlar. SaaS olarak Oracle
uygulamalarını kullanan Oracle müşterilerinin
7
Kimlik
Yönetiminin
Yatırım Getirisi
Volkan VerİM,
Kıdemli Oracle Danışmanı
[email protected]
Ş
kurum içi sistemlere birden çok kimlikle
bağlanmalarındansa; Oracle Cloud kimliklerini
kullanmaları çok daha yerinde bir karardır.
Doğrulama hizmetleri
gelişiyor
Mobil teknolojilerin daha küçük ve daha
ulaşılabilir olması doğrulama hizmetlerinin
daha da pahalılaşmasına neden oluyor.
Bir kullanıcının tam bir dijital deneyim
yaşayabilmesi için şifreden bağımsız ve daha
düşük maliyetli çözümlere ihtiyacı vardır ve bu
çözümlerin ölçeklenebilir olması da oldukça
önemlidir.
Tüm güvenlik modelleri hâlâ kimlik
kontrolü gerektirirken, nasıl olur da kişileri
daha ucuz bir yöntemle tespit etmek mümkün
olabilir? 2013’te doğrulama hizmetleri giderek
daha da önemli bir odak noktası haline
gelecektir.
Organizasyonlar silolar
yerine merkezi sistemlere
geçebilirler
Yukarıda değinilen ilk dört başlığı
irdelediğimizde, kimlik yönetimini bekleyen
beşinci değişim, kendini belli ediyor: Artan
mobilite kimlik doğrulama hizmetleri de
gerektiriyor. Bu da kimlik yönetiminin bir hizmet
olarak sunulması için gereken tüm altyapıların
oluştuğunu gösteriyor. İşte bu dört temel
değişim kimlik yönetiminin farklı silolardan
merkezi bir sisteme aktarılmasını gerektiriyor.
Görünen o ki; yakın gelecekte kimlik
yönetimi, gıda sektöründeki tedarik zinciri
gibi bir hal alacak. Yani hem tüm ihtiyaçları
karşılamak için büyük bir dağıtım sistemi
gerekecek hem de her yerde olması gerekecek.
Kısaca, kimlik yönetimi kavramı, hâlâ bir
açıdan bireysel küçük ihtiyaçları karşılayacak
çözümlere ihtiyaç duyacak hem de hizmet
tabanlı bir altyapı ile büyük ölçekli kamu
ihtiyaçlarını karşılayacak.
Oracle SecurIty
Oracle
Database Vault
Oracle Database Vault, Oracle veri tabanı sistemi çekirdeğinde çalışan ve veri tabanı üzerindeki tüm
erişim denetimlerini yapan çözümdür. Veri tabanı üzerinde görevler ayrılığı niteliğinde kullanıcı hakları,
yetkileri doğrultusunda veri tabanı yönetimi güvenlikle birlikte yeniden şekillendirilmektedir. Bu anlamda
veri tabanı yöneticileri temel görevleri olan veri tabanı yönetimini yaparken, Güvenlik Birimleri veri tabanı
güvenliğinden sorumlu olarak veri tabanları üzerinde kullanıcı ve erişim yönetimi yapmaktadırlar.
irketlerin güvenlik altyapılarını iyileştirmek için
kullandıkları Oracle Fusion Middleware ailesinde
yer alan kimlik ve erişim yönetimi çözümü, sadece
güvenliği arttırmak ile kalmayıp aynı zamanda şirketlerin
maliyetlerini de ciddi oranda düşürmektedir. Şirketler
düşen maliyetleri sayesinde tahmin ettiklerinden çok daha kısa bir
sürede yatırım geri dönüşü sağlarlar.
Kimlik yönetimi ile şirketler, bordrolu veya bordrosuz
çalışanlarının yanı sıra beraber çalıştıkları üçüncü parti danışmanlar
veya sözleşmeli çalışanlar ile bayileri ve / veya tedarikçilerinde
çalışanların hesaplarını da yönetebilirler. Bu hesapların yer aldığı
şirketteki sistemlere ve uygulamalara ait tüm kimlik yaşam
döngüsünü, web tabanlı bir uygulama kimlik yönetimi uygulaması
ile merkezi olarak yönetebilirler.
Kimlik yaşam döngüsünü yöneten kurumlarda, insan
kaynaklarında gerçekleşen işe giriş - çıkış, transfer, terfi veya
güncelleme gibi hareketlerin sonucunda sistemlerde kullanıcı
açma, silme, yetkilerini güncelleme gibi operasyonel işlemler
otomatik olarak gerçekleştirilir. Bu sayede, kurumlar hem
personel maliyetlerini düşürürler hem de insan hatalarının önüne
geçebilirler.
Örnek vermek gerekirse; ortalama olarak 1 yıl içinde
bir şirkette 10 bin adet işe giriş, 8 bin adet işten çıkış, 12 bin
adet transfer akışı olduğunu varsayalım. Bu hareketlerin kimlik
yönetimi sistemi sayesinde otomatik olarak gerçekleştirilmesi
ile her bir sistemde tek tek yapılması gereken işlemlerle sistem
yöneticilerinin operasyonel süreleri ve elle takip edilen süreçlerin
otomatik hale getirilmesi sayesinde bir yıl içinde yaklaşık olarak
12.500 adam X gün iş gücü
Adam* tasarrufu sağlanabilir.
gün Kimlik yönetimi
Süreç
kazanımı
sistemlerinde otomatik
İşe Giriş
5000
gerçekleştirilen iş akışları
dışında son kullanıcıların ek
İşten Çıkış
2000
yetki talepleri, şirketlerin kendi
Transfer
5500
iç onay süreçlerine uygun
Yetki Talebi
550
olarak gerçekleştirilebilir. Bu
Şifre Yenileme 1800
sayede yetki talepleri kayıt
Toplam:
14850
altına alınarak kimlerde hangi
yetkilerinin olduğu ve kimlerin
Rakamlardan da rahatça görülebileonayı ile bu yetkilerin verildiği
ceği gibi kimlik ve erişim yönetimi sadece güvenlik değil operasyonel veraporlanabilir. Aynı örnek
rimlilik açısından da şirketlere ciddi
üzerinden düşünecek olursak;
avantajlar sunmaktadır.
1 yıl içinde 25 bin adet ek yetki
talebi akışı olduğunda 550 adam*gün maliyet avantajı sağlanabilir.
Kimlik yönetimi sistemleri ayrıca tüm sistemlerdeki şifrelerin
merkezi yönetilmesini de sağlamaktadır. Son kullanıcılara ise
şifrelerini unuttukları anda herhangi bir çağrı merkezi çalışanı veya
sistem yöneticisine ulaşmaya gerek duymaksızın web tabanlı ön
yüzden şifrelerini yenileyebilme imkanı verir.
Kimlik yönetimi sistemi üzerinden; 1 yıl içinde ortalama
100 bin adet şifre yenileme işlemi gerçekleştirilmesi
durumunda ise 1.800 adam X günlük bir iş kazancı sağlanacağı
öngörülebilmektedir.
Tüm bu maliyet kazanımlarını tabloda özetlersek yukarıdaki
gibi bir tablo oluşmaktadır.
O RACLE D Ü N Y A S I N D A N
8
Veri güvenliği
şart
Ama neden?
Orkun Erardağ,
Endüstri ve BT Stratejileri
Insight Direktörü
[email protected]
V
eri güvenliği hepimizin bildiği bir kavram. Kime sorulsa
kesinlikle bir cevap alınır, en basit hali ile Wikipedia’da
tanımlandığı şekli ile hepimizi tatmin eder: “Verileri
izinsiz erişimlerden, kullanımından, ifşa edilmesinden,
değiştirilmesinden veya hasar verilmesinden koruma işlemidir.”
Veri güvenliğini biliyoruz, peki ama veri güvenliği farkındalığımız
ne durumda: Ancak esas sorulması gereken soru, veri güvenliğinin
farkındalığı ile gündelik hayatımızı yaşayıp yaşamadığımızdır.
Yukarıdaki soruya herkes tereddüt etmeden cevap verse de bu
soruya samimiyetle “Evet, yaşıyoruz” cevabını verecek kurumların
sayısı o kadar az ki. Şirketlerin güvenlik yatırımı isteklerine
çoğunlukla finans departmanından gelen tepkiler ne yazık ki
düşündürücüdür: “Güvenliğimiz yeterli değil mi?” ile başlayan
itirazlar “Zaten yeterince yatırım yapmadık mı?” ile devam eder.
Türkiye’de son yıllarda bilgi güvenliği ilgi odağı olsa da farkındalık
seviyesi ne yazık ki olması gerektiği noktaya ulaşamamıştır.
Son yıllarda veri güvenliğinde yaşanan gediklerin kaynak
sebepleri incelendiğinde üç ana neden tespit edilmiştir: “İhmalkarlık,
kötü niyetli saldırılar ve kriminal saldırılar”.
• Ponemon Enstitüsü Mart 2012 raporunda yapılan analizde
son bir yıl içerisinde açığa çıkan hassas veri başına ortalama maliyet
ABD’de bir şirket için 194 USD iken, İtalya’da bir şirket için ortalama
maliyet 78 Euro olmuştur. Veri güvenliğinin ihlalinden dolayı bir
şirketin ortalama yıllık maliyeti ABD’de 5,5 milyon USD, İtalya’da
1,38 milyon Euro olarak raporlanmıştır.
• 2010’da Birleşik Krallık Finansal Hizmetler Denetleme
Kurumu tarafından Zurich Financial Services’e, 2008’de dışarıdan
hizmet aldığı bir firmanın tape backup sırasında şifreleme
kullanmadığı kartuşlardan birinde bulunan 46 bin müşteri bilgisini
kaybetmesinden ötürü 2,275 milyon Sterlin ceza verilmiştir. Zurich
Financial Services, bu veri kaybının altyapısında izleme araçları
olmadığından ancak 2009’da farkına varabilmiştir.
• İngiltere’nin önde gelen finans kuruluşlarından biri, 2009’da
yine Birleşik Krallık’ta, şifrelenmemiş bir CD üzerinde 180 bin poliçe
sahibinin kişisel bilgilerini kaybetmesinden ötürü 3,2 milyon sterlin
ceza ödemiştir.
• Fransız bankası Societe Generale, bir yatırım uzmanının
sistemlerde yaptığı rol ve erişim bazlı hareketleri fark etmemesinden
dolayı 4,9 milyar Euro kaybetmiştir.
Ülkemizde de buna benzer örnekler olsa da henüz kurumlara
düşen mali yaptırımlar anlamında uygulanan cezalar yurtdışındaki
benzerlerine göre çok daha düşük seviyelerdedir. 2010’da, ISO
27001 Bilgi Güvenliği Yönetim Sistemi Sertifikası’na sahip bir
şirketin, kanunen yetkili olmayan şirketlere banka bilgilerini
satmasıyla ilgili BDDK’nın 10 Ağustos 2010 tarih ve 3810 sayılı
kararında, hem Bankalar Yasası hem de TCK açısından suç olduğu
belirtilerek, yöneticiler ve yönetim kurulu üyeleri hakkında suç
duyurusunda bulunulması öngörülmüştür.
BTK ve Tübitak’ın beraber düzenlediği, kamu kurum ve
kuruluşları, özel sektör ve üniversitelerden toplam 41 katılımcı ile
hazırlanan Ulusal Siber Güvenlik Tatbikatı raporunda, tatbikata katılan
kurum ve kuruluşlarda bilgi güvenliği açısından önemli açıkların
olduğu anlaşılmıştır. Aynı raporda, açıkların kapatılması konusunda,
bilgi teknolojilerine yapılacak donanım - yazılım satın alımı ve
benzeri yatırımların yeterli olmayacağı, başta yöneticiler olmak
üzere çalışanların tamamının bilgi güvenliği konusunda eğitilmesi,
ilave olarak bilgi güvenliğine ilişkin kurumsal iş süreçlerinin hayata
geçirilmesi gerektiği vurgulanmaktadır.
Verilerin güvenliği konusunda farkındalığın hayata geçirilmesi
artık şarttır. Bugüne kadar güvenlik açığı yaşamamış bir kuruluşun
geçmiş dönem yönetim kurulları, CEO’ları, CFO’lar, CIO’ları alnı
açık bir şekilde hayatlarını idame ettirmektedir. Ve aynı kuruluşlarda
bugün yöneticilik yapanlar geçmişten gelen beyaz sayfaların verdiği
güvenle yollarına devam etmektedirler. Ama bir gün manşetlere
çıkmamak için şimdiden gereken önlemleri almaları gerekir. O
manşetlerden birinde şirketinizi görmek istemiyorsanız farkındalığı
başlatanlardan biri de siz olun.
İÇTEN
DIŞA
.
GÜVENLIK
Edİtörden:
Bu gazeteyi
neden okumalısınız?
S
on dönemlerde basında yer verilen
“Güvenlik açığı kaynaklı” haberlere
kayıtsız kalamazdık. Bir ilke imza attığımız
ve ilk sayısını sizlerle paylaşmaktan gurur
duyduğumuz bu gazete ile basından çoğumuzun
takip ettiği haberlerin kurumlarda ve de özellikle
kurumların BT bölümlerinde adreslediği kaynak
nedenleri, olası çözümleri ve kurumların çoktan
uymuş olması gereken yasal düzenlemeleri bir de
Oracle perspektifinden değerlendirmek istedik.
Sistem ve veri tabanı güvenliği konusunu bu
kez Oracle’ın ve de Oracle iş ortaklarının çözümsel
yaklaşımıyla ele almanızı dileriz.
Anonysmous adlı grubun yaptığı son
açıklamada da belirttiği gibi
Türkiye de mercek altında.
Bu ve bunun gibi bir çok
hacker grubu veya bağımsız
hackerlar kimi zaman sadece
eğlence, kimi zaman da
para karşılığında kurumların
sistemlerine ve / veya veri
tabanlarına atakta bulunurken,
ülkemizdeki kurumların
konuya yaklaşımı genel olarak
gerçekleşen olayları sonradan
tespit edip sonradan çözmeye
yönelik.
Bazı kurumlar maliyet
kaygıları nedeniyle, bazı
kurumlar veri gizliliği ve
güvenliğine karşı belirli
regülâsyonlara tabi
olmadıklarından, bilgi
güvenliğine yeteri kadar önem vermiyorlar. Oysa
ki; bilgi güvenliği bir çok kurumda risk altındadır ve
alınan risk geri dönüşü olmayan maddi ve manevi
kayıplara neden olmaktadır. Gazetemizde yer
verdiğimiz haberler risklerin ve karşılaşılabilecek
olan saldırının doğal sonucunu gözler önüne
sermektedir.
Sektör ve / veya ölçek tanımayan, iç ve / veya
dış kaynaklı olası riskler teknolojinin gelişmesi
ve artan oranda korunmasız kullanımıyla daha da
artıyor.
İşletme yönetim stratejilerinden, üretim
modellerine hatta çalışma modellerine kadar
yansıyan teknolojinin zorladığı süreğen bir değişim
dönemindeyiz. Rekabet gücünü korumak ve
arttırmak adına, birçok kurum bu değişime ayak
uyduruyorken; konu kurum varlığını sürdürmenin
en kilit noktası olan “BT güvenliği – risk
yönetimi disiplinleri oluşturmaya” geldiğinde
günün gereklerini karşılamayan bir yaklaşım
sergilenebiliyor. Diğer yandan, BT ekiplerinde
ayrı bir güvenlik ekibi oluşturmaya başlayan ve
profesyonel çözümleri başarıyla kullanan kurumlar,
%100 güvenli hizmet vererek risk almadan bu
konuda da rakiplerinin önüne geçmeyi başarıyor.
Riskin olası kaynaklarını ne kadar biliyoruz?
Peki, çözümlerden yeterince haberdar mıyız?
Çözümleri değerlendirirken, çözümün kurum
ve / veya sektörümüze özel dinamiklere, yasal
düzenleme ve denetimlere ne ölçekte yanıt
verdiği, yatırım geri dönüşü gibi konulara gerekli
ehemmiyeti gösteriyor muyuz?
Uzman iş ortaklarımız ve sektörün
bilirkişilerinin destek ve değerli katkılarıyla
oluşturduğumuz zengin içeriğimizle Oracle
çalışanlarından oluşturduğumuz, “Oracle Türkiye
BT Güvenlik Ekibi” olarak amacımız
bu ve benzeri tüm sorularınıza
çözümsel bir yaklaşımla yanıt
verebilmektir.
Oracle Türkiye ve Oracle
iş ortakları; olası tüm güvenlik
açıklarınızı birlikte analiz etmeyi
ve de gidermeyi teklif ediyor.
Oracle’ın yıllardır üzerinde çalıştığı,
dünya çapında birçok kurumda test
edilip kullanılmış ve de başarısı
kanıtlanmış, veri tabanı ve sistem
güvenlik çözümleri ile tanışmanızın
zamanı gelmiş olabilir mi?
Yanıtınız EVET! ise;
gazetemizde yer verdiğimiz tüm
konu, haber, çözüm ve hizmetler
ile ilgili sorularınız için aşağıdaki
e-mail adresimden benimle
iletişime geçebilirsiniz. Konusunda
uzman iş ortağımız veya ürün sorumlularımıza
yönlendirmekten mutluluk duyacağım.
Keyifle okumanız dileğiyle…
GÖKÇE İLSEVER,
İş Ortakları
Kampanya Yöneticisi
[email protected]
Oracle SecurIty
Oracle Audit Vault ve
Database Firewall
Oracle Audit Vault ve Database Firewall, tehlikeleri tespit etmek ve engellemek için Oracle ve Oracle
harici veri tabanı trafiğini izler. Veri tabanları, işletim sistemleri, dizinler ve diğer kaynaklardan gelen
denetim verilerini birleştirerek mevzuata uygunluk ile ilişkili raporları sunan bir çözümdür.
İÇTEN
DIŞA
.
GÜVENLIK
UZMAN GÖRÜŞÜ - TARAFSIZ BÖLGE
Verilerin Korunması
Kanunu’na neden
ihtiyaç duyuyoruz?
Yrd. Doç. Dr. Nilgün Başalp, Bilgi Üniversitesi Hukuk Fakültesi
İ
deal koşullarda gerçek kişilere hangi kişisel
verilerinin kim tarafından ve kimin için elde edildiği,
ne kadar süre ile işleneceği, bu verilerinin kimlerle
paylaşılacağı konularında kural olarak bilgi edinme
ve müdahale etme olanağı tanınmalıdır. Bu olanağı
uluslararası düzeyde iç hukuklarda yerleştirmeye
çalışan iki temel belge bulunmaktadır. İlki ülkemizin de
imzalamış olduğu “Kişisel Verilerin Otomatik İşlenmesine
İlişkin Olarak Bireylerin Korunması Hakkındaki 1981 tarihli
Avrupa Konseyi Sözleşmesi” olup TBMM’ce 1981’den
bu yana onaylanmayı beklemektedir. İkincisi ise Avrupa
Birliği toprakları üzerinde veri korumasına dair genel
kuralları koyan 95/46 sayılı “Kişisel Verilerin İşlenmesinde
Gerçek Kişilerin Korunması Yönergesi”dir.
AB ülkeleri ile karşılaştırıldığında ülkemizde
kişisel verilerin korunması sorununun yasal düzeyde
yeterli olarak ele alınmadığı, hatta konuyu genel olarak
düzenleyen bir kanunun bulunmadığı belirtilmelidir. İç
hukukumuz, AB veri koruması mevzuatı ile uyumlu
değildir. Bu nedenle 2003 yılından bu yana AB tarafından
yayınlanan birçok Türkiye Ulusal İlerleme Raporu’nda
da değinildiği gibi; bu noktada uyumun sağlanması
ve bağımsız bir kişisel verilerin korunması denetleme
kurumunun oluşturulması gerekmektedir.
Adalet Bakanlığı bu amaçla 2004’den bu yana
üç farklı “Kişisel Verilerin Korunması Kanunu Tasarısı”
hazırlamıştır. Sonuncusu Haziran 2012’de Başbakanlığa
sevkedilmiş, geçen hafta itibariyle Bakanlar Kurulu’nda
görüşülmüş ve bazı değişiklik önerileri ile Adalet
Bakanlığı’na iade edilmiştir.
Bu durumun iş dünyasına olumsuz etkilerinin
bulunduğuna dikkat çekmekte fayda bulunmaktadır.
İlk olarak, AB veri koruması mevzuatı gereğince AB
ülkelerinde bulunan şirketler ile ticari ilişki içinde bulunan
AB üyesi olmayan ülkelerdeki iş ortakları açısından bu
durum ciddi bir sorun oluşturmaktadır. AB veri koruması
mevzuatı çerçevesinde AB üyesi olmayan ve yeterli
koruma düzeyine sahip olmayan ülkelere kişisel veri
aktarımı yasaklanmaktadır. Bu yasak ancak bazı sınırlı ve
istisnai hallerde, ki bunlar da AB veri koruma mevzuatı ile
uyumlu olduğu ölçüde, aşılabilmektedir.
Ülkemizin de yeterli koruma düzeyine sahip
olmadığı ve bu nedenle güvenli olmayan ülke statüsünde
bulunduğu vurgulanmalıdır.
AB VERİ KORUMASI MEVZUATI
ÇERÇEVESİNDE, AB ÜYESİ OLMAYAN
VE YETERLİ KORUMA DÜZEYİNE SAHİP
OLMAYAN ÜLKELERE KİŞİSEL VERİ
AKTARIMI YASAKLANMIŞTIR.
Güvenlik
yaklaşımınızı
değiştirin
Halil Öztürkci, ADEO Bilişim Danışmanlık Hizmetleri
S
on zamanlarda APT (Advanced
Persistent Threat) olarak
adlandırılan saldırı çeşidini sıkça
duyar olduk. Bu saldırı türünde
hedef olarak devletler, şirketler, kurumlar var
ve bu türden saldırıların ilgili hedefe maliyeti,
hatırı sayılır bir yekün tutuyor. Örneğin 2009
yılında Google’ı hedef alan ve “Operation
Aurora” ismiyle anılan, Çin menşeli olduğu
düşünülen bir APT saldırısı gerçekleştirildi.
Bu organize saldırıda hedefin sadece
Google olmadığı, birçok teknoloji şirketinin
de bu saldırıda hedef seçildiği sonradan yapılan
açıklamalarda anlaşılıyordu. Bu saldırının hedefi çok
belliydi; teknoloji hırsızlığı. Yakın zamanda yaşanan
başka bir örnekte ise hedef olarak RSA seçilmişti.
RSA çalışanlarından ikisine gönderilen ve “2011
Recruitment Plan” başlığı taşıyan elektronik postanın
ekinde yer alan PDF dokümanının bir çalışan tarafından
görüntülenmeye çalışılması ile saldırı başlamış, bu
kişinin bilgisayarına sızıldıktan sonra RSA’in iç ağına
atlayan hackerlar SecurID anahtarlarına ilişkin çok gizli
bilgileri ele geçirmişlerdi. Bu saldırının sonucunda RSA,
müşterilerinde kulanılan yaklaşık 40 milyon anahtarı
değiştirmek zorunda kaldı.
kurumların yapması gereken şey,
katmanlı bir güvenlik mimarisi
oluşturmak, sadece uç noktaları
ya da ağ cihazlarını değil, kritik
ve gizli bilgi barındıran bütün
bileşenleri korumaKTIR.
Ülkemizde ise henüz basına yansıyan bu kadar
büyük ölçekte bir saldırı haberi yok fakat hackerların
yeraltı dünyasında dolaşan ve kulağımıza gelen
haberlere bakılırsa ülkemizdeki durum da çok iç açıcı
değil. Birçok özel şirketin verilerinin hacklendikten
sonra para karşılığı şirkete geri satıldığı, kamudaki
9
Bu statüde bulunan ülkelere kişisel verilerin
aktarılmasının kural olarak yasak olması, ancak kişisel
verilerin aktarılacağı ülkede bulunan yabancı iş ortağının
ve AB ülkesinde bulunan şirketin gerekli taahhütleri
vermesi, hatta kişisel veri aktarımının yerine göre AB
ülkesindeki veri koruma otoritesinin “ön denetimine”
konu olması halinde dahi söz konusu ülkeye yalnızca belli
kategoride kişisel veriler aktarılabilmektedir. Çok daha
zahmetli olan bu gibi yöntemlerle kişisel veri aktarımı
uygulamada önemli sorunlar ortaya çıkarmaktadır.
Ciddi sayılabilecek ölçüde zaman kaybı yaşanmakta,
hatta ticari hayatın hızlı işleyişi sekteye uğramakta ve
bu durum önemli para kaybına da neden olmaktadır.
Şirketlerimizin küresel rekabet gücünü sınırlayan bu
sıkıntılı durumu ortadan kaldırmanın en kolay yolu kişisel
verilerin korunmasına ilişkin AB mevzuatına ve tabii
ki uluslararası standartlara uygun bir Kişisel Verilerin
Korunması Kanunu’nu yürürlüğe sokmak ve aynı
zamanda uygulamaktır.
İkinci olarak, şirketlerimiz kendi iş süreçlerini kişisel
verilerin korunmasını büyük ölçüde sağlayacak şekilde
tasarlamış değildir. Oysa bu kanunun uygulamada
dikkate alınmak zorunda olması şirketlerin de konuya
daha duyarlı yaklaşmasına neden olacak ve kişisel
verilerin işlenmesinde, ister işçi ister hasta ister
müşteri verisi olsun, elde ettikleri kişisel verileri, veri
süjesinin haklarını koruyarak ve iş süreçlerini buna göre
tasarlayarak işleyeceklerdir. Bu çerçevede ise küresel
ekonomide güçlü yabancı rakipleri ile de rekabet edebilir
olacaklardır.
Son olarak, kişisel verilerin hukuka aykırı olarak
toplandığı ve depolandığı, başkalarına aktarıldığı, yetkisiz
kişilerce kötüye kullanıldığı hallerde söz konusu kişisel
verinin süjesine de ciddi zararlar verilebilmektedir.
Banka hesap numaraları, kredi kartı bilgileri gibi kişisel
veri niteliğindeki bilgiler ele geçirilerek ilgili kişiler ve
buna bağlı olarak bankalar önemli maddi kayıplara
uğratılabilmektedir.
birçok sistem üzerinde hackerların cirit attığı bilinen
bir gerçek. Özellikle son zamanlarda RedHack gibi
grupların kamu tarafındaki güvenlik zafiyetlerini kullanıp
ilgili sistemlere sızdıkları ve bu sistemler yer alan gizli
bilgi ve belgeleri ele geçirdikleri hepimizin malumu.
Hacker gruplarının bu şekilde ses getiren eylemler
düzenlemelerinin ardından hükümetin “Siber Ordu”
kurma konusunda girişimlerinin olduğunu da yakınen
biliyoruz. Siber ordu kurulmasının yanında, düzenli
aralıklarla yapılan “Siber Güvenlik Tatbikatları” kamu
tarafındaki güvenlik bilincinin arttırılmasında ve kamu
kurumlarının güvenlik açısından mevcut durumlarını
görme noktasında güzel bir başlangıç
adımı olarak duruyor karşımızda.
Saldırıların gün geçtikçe daha
sofistike olmaları, bu saldırılara karşı
koymak için geliştirilecek savunma
mekanizmalarının da tekrardan gözden
geçirilmesini zorunlu kılıyor. Artık tek
başına antivirüs, firewall vb gibi çözümler
yeterli değil. Bunun en yakın örneğini de
bir kaç gün önce basına yansıyan The
New York Times’ın hacklenmesi olayında
görüyoruz. Piyasada çokça bilinen bir
antivirüs firmasının çözümünün kullanılıyor olmasına
karşın, siber saldırıdan kaçamadılar. Bu bağlamda
kurumların yapması gereken şey, katmanlı bir güvenlik
mimarisi oluşturmak, sadece uç noktaları ya da ağ
cihazlarını değil, kritik ve gizli bilgi barındıran bütün
bileşenleri (veri tabanları vb) koruma altına alacak bir
yaklaşım benimsemeleri. Bu yaklaşımı belirlerken
de sadece defansif bir yaklaşım değil, bünyesinde
ofansif adımların da bulunduğu komple bir yaklaşım
benimsemeleri çok önemli. Özellikle sızma testleri,
konfigürasyon gözden geçirmeleri, risk analizleri
bu bağlamda kurumlara ve şirketler ciddi katkılar
sağlayacaktır.
10
DIŞ HABERLER
İÇTEN
DIŞA
.
GÜVENLIK
Veri kaybının sorumlusu aranıyor!
Veri güvenliğine gereken önemi vermeyen şirketlerin “kötü deneyimleri” yukarıdaki manşet gibi gazeteleri süslüyor. Siz de
hacker’ların hedefi olmadan ve manşetlere bu sebeple çıkmadan gerekli önlemleri alın. Son dönemde ülkemizde ve dünyada
ortak ihmaller sebebiyle basında yer verilen haberlere istatistiksel veriler ile gelin birlikte bakalım.
Y
apılan son araştırmalar veri hırsızlığının ana sebebinin
ihmalkarlık olduğunu gösteriyor. Saldırganladır % 96’sı
çok bilgi gerektirmeyen yöntemlerle, gözden kaçan
açıkları kullanarak kurumsal verilere sızıyor. Oracle’ın
yaptığı bir başka araştırmaya göre de saldırıların % 79’u anlık
bir fırsatın değelendirilmesi sonucunda gerçekleşiyor. Tüm
saldırıların % 4’ü ise kurum içinden yardım alınarak yapılıyor.
Hacker’lar her an yeni ihmalleri yakalamaya çalışırken,
gerekli önlemleri almayan yerli ve yabancı şirketlerde yaşanan
veri kayıpları gazetelere yansıyor.
Türkiye’de
iz bırakan
veri
ihlalleri
İÇTEN
DIŞA
.
GÜVENLIK
DIŞ HABERLER
11
Dünyada
konuşulan
veri
ihlalleri
VERİ HIRSIZLIĞININ
ARKASINDA KİMLER
VAR?
% 98’i dışarıdaki kişilerle ilişkili
% 4’ü işbirliği yapan çalışanları içeriyor
% 1’den daha azı iş ortaklarıyla bağlantılı
% 58’i aktivist gruplarla ilişkili
VERİ HIRSIZLIKLARI
NASIL MEYDANA
GELİYOR?
% 81’i bilgisayar korsanlığının bir türünü kullanıyor
% 69’u kurum içerisine yerleşen kötü amaçlı
yazılımlar nedeniyle oluyor
% 10’u fiziksel saldırıları da içeriyor
% 7’sinde sosyal taktikler kullanılıyor
% 5’i özel ayrıcalıkların yanlış kullanımından
Ponemon Institute’un yaptığı “Veri İhlallerinin Maliyeti” araştırmasının
http://datalossdb.org adresinde yayınlanan özetinden alınmıştır.
kaynaklanıyor
Veri bir kere şirket dışına çıktıktan
sonra artık kontrol edilemez
Önemli olan veriyi kaynağında korumaktır!
ORTAK YÖNLER NELER?
Veri miktarı arttıkça
verilere izinsiz erişim
de doğru orantılı
olarak artıyor.
Yandaki tablo 2005
- 2010 arasında
rapor edilmiş veri
ihlallerindeki %
1084’e varan bir artışı
gösteriyor.
• Saldırıların % 79’u anlık fırsatların değerlendirilmesi sayesinde gerçekleşiyor
• Saldırıların % 96’sı çok büyük zorluklar olmadan yapılıyor
• Açığa çıkan tüm verilerin % 94’ü sunucularla ilişkili
• Veri hırsızlıklarının % 85’ini tespit etmek haftalar veya daha uzun zaman alıyor
• Karşılaşılan durumların % 92’si üçüncü taraflarca tespit ediliyor
• Saldırıların % 97’si basit veya orta dereceli önlemlerle engellenebiliyor
• Kurbanların % 96’sının sektör standartlarına sahip olmaması dikkat çekiyor
UZMAN GÖRÜŞÜ - TARAFSIZ BÖLGE
12
Veri güvenliği mi,
veri koruması mı?
Yrd. Doç. Dr. Elif Küzeci, Bahçeşehir Üniversitesi Hukuk Fakültesi
K
işisel verilerin korunması, bilgi teknolojilerinin
hızla gelişmesi ve yaygınlaşması dolayısıyla
önemi her geçen gün artan bir temel hak
alanını oluşturmaktadır. Konuya ilişkin
tartışmaların özellikle son yıllarda, Türkiye gündeminde
de yer aldığı dikkat çekmektedir. Çeşitli medya
kuruluşlarının haberlerine de yansıyan konuya ilişkin
önemli gelişmeler incelendiğinde, bunların önemli
bir bölümünün veri güvenliğinin ihlal edilmesinden
kaynaklandığı görülür. İşte, belki de bu nedenle veri
koruması ile veri güvenliği kavramları çeşitli yayınlarda
birbirinin yerine geçer şekilde kullanılmaktadır.
Oysa kişisel verilerin korunması (data protection
/ datenschutz) ile veri güvenliği (data security /
datensicherheit) eş anlamlı iki kavram değildir. İlkinde
amaç, bireylerin korunması iken ikincisinde doğrudan
verilerin korunması hedeflenmektedir. Ancak bu
verilerin gerçek kişiler ile ilgili olduğu durumlarda, veri
güvenliğinin kişisel verilerin korunması gibi temel bir
hakkın sağlanmasının önemli bir aracı haline geldiği
de dikkatten kaçmamalıdır. Bu yönüyle veri güvenliği,
bireylerin korunmasına hizmet etmektedir.
Öte yandan, verilere yetkisiz erişim ve bunların
yetkisiz kullanımının önüne geçilmesinde, kamu ve
özel teşebbüslerin de çıkarı bulunur. Güven ilişkisinin
ön planda olduğu, bankacılık, sigortacılık, sağlık
hizmetleri gibi alanlarda bu etki daha da açık bir
şekilde görülebilir. Bir bankaya para yatırmayı, sigorta
şirketleriyle sözleşme yapmayı ya da tanı ve tedavi
için bir sağlık kuruluşuna başvurmayı düşünen kişi,
verilerinin güvende olduğunu bilmek isteyecektir.
Verilerin güvenliği konusunda endişe duyması halinde
ise, bu hizmetleri almaktan vazgeçebilir. Bunun,
ilgili kişi açısından yaratabileceği sorunlar yanında,
kurumun ekonomik kaybına da neden olacağı açıktır.
Bu durum, veri güvenliğinin ekonomik olarak ölçülebilir
çıkarları da güvence altına aldığını ortaya koymaktadır.
Başta bireylerin özel yaşamlarının korunması
olmak üzere, belirtilen nedenlerden ötürü veri
güvenliği, kişisel verilerin korunmasına ilişkin
uluslararası alanda kabul edilen bütün metinlerde yer
VERİ GÜVENLİĞİNİN TAM OLARAK
SAĞLANABİLMESİ İÇİN HEM
TEKNİK, HEM DE ORGANİZASYONEL
ÖNLEMLERİN ALINMASI GEREKİR.
Büyük veri büyük
sorun mu?
M. Gökhan Ahi, Bahçeşehir Ahi Avukatlık Bürosu
Gözlemlerinize göre;Türkiye’de şirketlerin BT
güvenliği konusudaki en büyük sıkıntıları neledir?
Türkiye’de genel olarak, tedbirsizlik ile kendine fazla
güvenme olguları birbiriyle çok yarışır. Bunların hemen
arkasından ise üçüncü olarak farkında bile olmamak
gelir. Birçok şirket BT güvenliği sağlanması gerektiğinin
farkında bile değil. Farkında olan şirketler ise zamanında
mutlaka başlarına bir olay gelmiştir, o yüzden tedbirler
almıştır. Ne yazık ki, bu durum sadece BT güvenliği
için değil, şirketlerin her departmanı için geçerlidir. Bazı
şirketlerde bilgi güvenliği hakkında bir farkındalık olsa
bile, standart üstü çözümler yerine sırf maliyetlerden
dolayı standart altı çözümlere yöneliyorlar ki, bu aslında
parayı sokağa atmaktan başka bir şey değil.
Kurumlara şirket içinden veya şirket dışından
gelebilecek olası tehlikeler nelerdir? Sizce şirketler
öncelikle bu tehditlerin hangilerine karşı önlem
almalıdır?
İçten veya dıştan geliyor olup olmadığına
bakmaksızın, kurumlar öncelikle neye sahip olup
olmadıklarını bilmek zorundalar. Yani elllerindeki değer
nedir, bu değer nasıl korunur ve bu değer bir anda yok
olursa ne yapılır? Bugün şirketlerin elindeki en büyük
değer, masa, koltuk ve bina gibi sabit değerlerden
çok işlenmiş verilerinin bulunduğu veri tabanı ve uzun
sürelerdir biriktirilen know - how bilgisidir. Hemen hemen
bütün iş süreçleri, bilgisayarlarla, yazılımlarla, internetle
ve insan kaynağıyla yürütülüyor ama bu sürecin içindeki
her halkanın kendine has zayıf noktaları var. Bu her
zayıf nokta iyice analiz edilip, en önemli değer olan veri
tabanlarından başlayarak tüm halkalar birlikte eş zamanlı
olarak güçlendirilmelidir.
Şirketlerin BT güvenliği konusuda uyması gereken
sektörel, hukuki, evrensel yükümlülükler veya
kalite standartları hakkkında bilgi verebilir misiniz?
Her sektörün kendine has gizlilikleri ve buna bağlı
olarak bilgi güvenliği politikaları var. Bazı sektörlerin
ellerindeki veriler daha hassas ve manipüleye daha
açık. Örneğin bankacılık, sağlık ve sigorta sektörlerinin
verileri hassas olduğundan kendine has bilgi güvenliği
standartlarını hukuki ve teknik olarak sağlamak zorundalar.
Ayrıca, Avrupa Birliği’nin de veri korumaya yönelik
önemli düzenlemeleri ve standartları bulunduğunu
belirtmem gerekiyor. Kalite standardı anlamında ise ISO
27001 standardı veri koruma anlamında kayda değer
zorunluluklar gerektiriyor.
Şirketler BT yatırımı yaparken, BT tedarikçilerini
seçerken ve olası BT çözümlerini seçip yatırım
yaparken ne gibi konulara dikkat etmelidirler?
BT yatırımı için seçilen partnerlerin kalitesi ve
tecrübesi çok önemli. Özellikle sermayesini veriye
dönüştürmüş kurumlar için bu hayati bir öneme sahip.
Kurumlar, partnerlerini seçerken, ulusal veya uluslararası
anlamdaki bilinirlik, güvenirlilik ve deneyimlilik kriterlerine
bilhassa dikkat etmeliler. Sözleşme yaparken bütün
İÇTEN
DIŞA
.
GÜVENLIK
alan önemli bir temel ilkeyi oluşturur. Türkiye’nin de
1981 yılında imzaladığı, ancak halen onaylama işlemini
gerçekleştiremediği 108 sayılı Avrupa Konseyi Kişisel
Verilerin Korunması Sözleşmesi (m.7), OECD Verilerin
Korunması Rehber İlkeleri (par.11), APEC Verilerin
Korunması Çerçeve Belgesi (par.22), BM Verilerin
Korunması Rehber İlkeleri(par.7) ve 95/46/AT sayılı
AB Yönergesi(m.17), veri güvenliği ilkesinin açıkça yer
aldığı önemli metinler arasındadır. Türkiye’de bir süredir
gündemde bulunan ve özellikle 2010 yılından itibaren
kişisel verilerin korunmasının anayasal bir hak haline
gelmesi ile yakın zamanda yasalaşması beklenen
Kişisel Verilerin Korunması Kanun Tasarısı’nda da veri
güvenliği temel ilkeler arasında sayılmıştır.
İşaret edilen metinlerde de yer aldığı üzere,
veri güvenliğinin tam olarak sağlanabilmesi için hem
teknik, hem de organizasyonel önlemler alınması
önemli bir gerekliliktir. Ayrıca bu önlemler, hem ilgili
sistem kurulurken, hem de daha sonrasında işlenirken
alınmalıdır. Bunun yanında AB Yönergesinde de işaret
edildiği üzere, alınan önlemlerin belgelendirilmesi de
gerekir.
Unutulmaması gereken önemli bir husus: veri
güvenliği ilkesinin kişisel verilerin korunması hakkının
ayrılmaz bir parçası olduğudur. Bu ilke, verileri
işleyenlerin kişisel verilerin kazara silinmesini, bunlara
yetkisiz erişimi, yetkisiz kişilerce değiştirilmesini,
onlara aktarımını ve yayımlanmalarını engelleyecek
önlemleri almalarını gerektirir. Kişisel verilere yetkisiz
erişim ve benzeri diğer müdahaleler pek çok hukuk
sisteminde olduğu gibi Türkiye’de de suç olarak
tanımlanmış ve bu eylemleri gerçekleştirenlere karşı
çeşitli yaptırımlar öngörülmüştür. Ancak böylesi
bir suçun mağduru olmadan veri güvenliğinin
sağlanmasının önleyici bir koruma sağlayacağı da
dikkatten kaçmamalıdır.
risklerin analizini yapabilmeli ve bunu sözleşmelere
yansıtabilmeliler. Tabii sadece bunlar değil, aynı zamanda
esnek, sürdürebilir ve geliştirilebilir çözüm sunabilen
partnerler tercih edilmeli. Çünkü teknoloji hızla ilerliyor ve
kimse eski teknolojide çakılı kalmak istemez.
Kurumların BT bölümleri, yönetimleri öncelikle ne
gibi önlemler almalıdırlar?
Her şeyden önce, kurumlar kendi içlerinde bilgi
güvenliği politikası içeren bir belge oluşturmak zorundalar.
Veriler sınıflandırılmalı ve gizlilik dereceleri belirlenmelidir.
Hangi veriye kimin nasıl ulaşacağı saptanıp buna göre
erişim yetkileri düzenlenmelidir. Şifre ve parolaların sık
sık değiştirilmesi zorlanmalıdır. Tüm veri sistemlerinin
hem en güçlü unsuru olan, hem de en zayıf halkası
olan insan faktörü unutulmamalıdır. Tabii ne olursa olsun
tüm aşamalarda güçlü ve yenilikçi çözüm ortaklarıyla
çalışmalıdır.
Güvenlik tehditindeki en kritik sektörler sizce
hangileridir?
Belli bir sektör daha önemlidir diyemeyiz. Her
sektör için kritik ve hassas konular var. Bilgi güvenliğinin
sağlanması gereken her sektör önemlidir. Ama en çok
tehdit altında olan bazı sektörleri de belirtmek gerekir.
Bankacılık, sigortacılık, sağlık, internet servisleri ve
elektronik ticaret sanırım yanlış bir sıralama olmaz.
Gelecekte şirketleri bekleyen veya BT güvenliğinde
en trend konular sizce nelerdir?
Tüm dünyada big data (büyük veri) ve cloud
computing (bulut bilişim) kavramları çok sık tartışılıyor.
Bulut bilişim konusunda karşılıklı haklar ve sorumluluklar
alanı henüz tam anlamıyla yapılandırılabilmiş değil.
Ayrıca büyük veri; veri çeşitliliği, veri karmaşıklığı,
güvenlik zaafiyeti, hız ve gerçek zamanlı çalışma zorluğu
anlamında büyük sorunlar yaratabilen bir konu olarak
karşımıza çıkıyor. Bu iki konu yakın gelecekte de trend
konular olarak konuşulmaya devam edecek.
İÇTEN
DIŞA
.
GÜVENLIK
İŞ ORTAKLARINDAN
13
Üst düzey güvenlik
SAP kullanıcısı olan büyük şirketlere verdiği danışmanlık hizmetleriyle sektörün en bilinen çözüm sağlayıcılarından biri haline
gelen Basistek, ürün portföyüne eklediği Oracle güvenlik opsiyonları ile de büyük ve önemli verilerin korunmasına katkı sağlıyor.
S
AP platform değişimi
projelerinde sahip olduğu
deneyim ve bilgi birikimi ile
öne çıkan Basistek, uzun
yıllar SAP teknolojilerinde
danışmanlık hizmeti sunarken Oracle
Database, Oracle Identity Management
ve Oracle Exadata’dan sonra
Oracle Database Security ürünleri
konusunda da destek vermeye
başlayarak bu alandaki güvenilir
Oracle iş ortaklarından biri haline
gelmiştir. Bu ürünler ve danışmanlıkları
konusunda da deneyimlerini arttırarak,
bu hizmetleri SAP müşterilerine
sunmaktadır.
Basistek, özellikle Oracle Identity
Management tarafında daha önce
sahip olduğu uzmanlığı ve Single
Sign-On tecrübesini de kullanarak
farklı müşteri platformlarında
arttırarak yürütmeye çalışmaktadır.
Bu ürün özelinde Türkiye’nin en
büyük firmalarında birinde IDM
projesi yürütülmekte olup, proje
başarılı bir şekilde sürdürülmektedir.
Bu müşteri özelinde Basistek,
Oracle Identity Management 11g
teknolojilerini kullanarak Single
Sign-On yapıda, uygulamaların
ve kullanıcı sayılarının konsolide
edildiği, bakım maliyetlerinden ve BT
işgücünden tasarruf sağlayan verimli
bir Kimlik Yönetimi projesi sunmayı
hedeflemektedir.
Basistek’in asıl işi, kritik veriye sahip şirketlerin
daha performanslı, daha güvenli ve daha uygun
maliyetlerle bir BT sistemine sahip olması amacıyla
danışmanlık yapmaktır.
Cangiz Kaya- Basistek / Yönetici Ortak [email protected]
Oracle SIngle SIgn On
hizmetlerİNİN SAĞlaDIĞI
yararlaR:
• Kullanıcıların unutulmuş parolaların
sıfırlanmasıyla ilgili isteklerine cevap
vermeye gerek kalmaz, böylece yardım
masasının zamanından ve maliyetinden
tasarruf edersiniz, yatırımınızın getirisini
hızlıca alırsınız.
• Kullanıcılara kendi Windows parolalarını
güvenle sıfırlama imkânı tanıyarak
kolaylık ve maliyet tasarrufu sağlarsınız.
• Mevcut uygulamalar üzerinde hiçbir
değişiklik yapmaksızın şirketinizdeki tüm
uygulama ve kaynaklar için tek kayıt ile
her şeye erişim sağlayabilirsiniz.
• Her biri birden fazla kullanıcıyı
destekleyen çalışma istasyonları arasında
kullanıcıların dolaşım yapabildiği “kiosk”
ortamlarını güvenle çalışır hale getirme.
• Kullanıcıların önemli uygulamalara
erişimini belirleyen ve güvenlik
uygulamalarını aktif hale getiren BT
ekibine kolaylık sağlayabilirsiniz.
Oracle güvenlik çözümleri, aktif koruma
ve otomatik uyarılara yönelik tespit
amacıyla veriyi kaynağında korur. Bu
sayede müşteriler, yönetmeliklere
uyar, dışarıdaki bilgisayar korsanlarının
ve özel haklara sahip kullanıcıların
oluşturduğu güvenlik tehditlerinden
kurumlarını korurlar. Güvenlik ihlallerinden
kaynaklanan denetim ve diğer tüm
masraflardan kurtulurlar.
Finansal hizmetlerde
uyumluluk ve güvenlik
• Süreçleriniz ve raporlarınız global
(PCI DSS, COBIT, Sarbanes Oxley)
ve AB (yeni Veri Gizliliği Direktifi)
yönetmeliklerine uygun mu?
• Müşterilerinize ait hassas verilerin
gizliliğini ve bütünlüğünü koruyabiliyor
musunuz?
• Bir güvenlik ihlali olduğunda, bu
durumdan müşterileriniz, markanız ve
imajınız etkilenmeden önce otomatik
olarak haberdar olmak ister misiniz?
• Çalınan müşteri çağrı kayıtlarından
kaynaklanabilecek masraflardan mı
kaçıyorsunuz?
• Yönetmeliklere ilişkin bir denetim
sürecinde (KPMG, Deloitte, PWC,
CapGemini gibi) dış denetim kurumlarına
ilgili denetim raporlarını kolayca, hızlı ve
başarılı bir şekilde sunabiliyor musunuz?
Basİstek’ten
bİr haber
2013 Ocak sonu itibariyle, Basistek
Bilgi Teknolojileri San.ve Tic. A.Ş.
ile Nesmal Yatırım Holding A.Ş.
arasında bir süredir devam eden
ortaklık görüşmeleri tamamlanmış
olup ortaklık kararı alınmıştır. Nesmal
Yatırım Holding, Suudi Arabistan’ın en
büyük gruplarından birisi olan Nesma
Holding’e bağlıdır ve hedefi Türkiye
ile Mısır’da katma değer yaratacak
yatırımlar yapmaktır. Bu ortaklık
sonucunda her alanda daha güçlü
bir Basistek olarak yolumuza devam
ediyor olacağız. Yeni ortaklığımız
sayesinde yurtiçinde ve de özellikle
MEMA (Ortadoğu, Akdeniz, Afrika)
bölgesinde daha fazla bilinirliliğe
kavuşacağımızı ve hizmet verdiğimiz
sektörleri çeşitlendirmeyi hedefliyoruz.
Güvenlik konusundaki deneyimimizi
farklı coğrafyalara aktararak, veri
ihlallerini engelleme konusundaki
başarımızı yeni müşteri ve projelerle
sürdüreceğiz.
KRİTİK VERİLERİN İlerİ
SevİyeDE KORUNMASI GEREKİR…
• Transparent Data Encryption, ağ içerisinde dolaşan, disklerde ve
yedekleme için kullanılan teyplerde bulunan hassas verileri şifreler.
• Önleyici yaklaşımın kullanımı sayesinde işletme kullanıcıları ve dışarıdaki
bilgisayar kullanıcıları hassas müşteri verilerini kötü amaçlarla kullanamazlar. Bu
çözüm yönetmeliklere uygun olarak kısa bir süre içerisinde uygulanabilir.
• 11g’den beri, bir uygulamanın tüm tablo alanına çok daha az bir çabayla ve
veri tabanının performansını etkilemeden şifre konulabilmektedir.
• Transparent Data Encryption, Oracle uygulamaları ve SAP için
sertifikalandırılmıştır ve Oracle Database’i temel alan üçüncü tarafların
uygulamaları ile birlikte de kullanılabilir.
İŞ ORTAKLARINDAN
14
İÇTEN
DIŞA
.
GÜVENLIK
Türk Telekom’un KimlikYönetimi
Projesinde Tercihi Biznet Bilişim
Türkiye’nin öncü iletişim ve yakınsama teknolojileri şirketi Türk Telekom, Kimlik
ve Erişim Yönetimi projesini ağ ve bilgi güvenliği sektörünün lider şirketi Biznet
Bilişim ile hayata geçirdi.
T
ürk Telekom Grubu, çağrı
merkezi, satış noktası,
kurumsal departman gibi
sekiz farklı kullanıcı grubu
altında görev yapan 25 bini
aşkın kullanıcısının kimliklerini ve erişim
önceliklerini etkin şekilde yönetme
becerisini güçlendirme hedefiyle yola
çıktı. Bu hedef doğrultusunda Türk
Telekom Grubu, gerçek zamanlı, otomatik
bir kimlik yaşam döngüsü yönetim sistemi
oluşturmak ve mevcut eski sistemlerde
çalışanlar dâhil tüm iş uygulamalarına tek
girişle erişim (Single-sign-on) sağlamak
üzere Oracle Identity Manager , Oracle
Access Manager ve Oracle Directory
Services çözümlerini Biznet Bilişim’le
hayata geçirme kararı aldı.
İhtiyaçlar
• Türkiye’nin 81 ilini kapsayan
geniş bir organizasyon yapısına sahip
olan Türk Telekom Grubu bünyesinde
kullanıcı kimliklerini oluşturma sürecinin
basitleştirilmesi
• Sekiz farklı kullanıcı grubu altında
görev yapmakta olan 25 bin kullanıcının,
Telekom Sipariş Yönetimi ve Müşteri Elde
Tutma Yönetimi gibi karmaşık ve büyük
ölçekli uygulamalara erişiminin yönetimi
• İş kurallarındaki değişiklikleri
desteklemeyen eski sistemlerdeki
kullanıcı yaşam döngülerini yönetmek için
gerekli işlem sürelerinin kısaltılması
• Her bir kullanıcı grubundaki
uygulamalar için kullanıcı hesaplarının
oluşturulmasını kolaylaştıracak, basit ve
standart bir sürecin belirlenmesi
• Kullanıcı hesapları üzerinde
değişiklik yapılırken erişim engellendiği
için, kullanıcıların kritik sistemlere
gecikmesiz giriş yapmasının sağlanması
“Biznet Bilişim gibi doğru bir iş ortağı ile çalışmak
büyük avantaj sağladı. Biznet Bilişim’in yerli
bir firma olması, sürekli destek alabilmemiz ve
tecrübelerinden yararlanmamız çok önemliydi.
Uygulama boyunca Biznet Bilişim çalışanlarıyla
birebir temaslar ve çalışmayla başarıyı yakaladık”
Türk Telekom Kullanıcı Yönetimi Müdürü Sertaç Çelik
Çözümler ve Kazanımlar
• Oracle Identity Manager sayesinde 25
bini aşkın kullanıcının kimlik yaşam döngüsü
gerçek zamanlı ve otomatik bir şekilde
yönetilerek, şirketin iş kurallarına ve güvenlik
standartlarına her zaman uyuluyor olması
ve doğru erişim haklarına sahip kullanıcıların
uygulamalara ve sistemlere erişimi sağlandı
• Oracle Access Manager devreye
alınarak şirketin 15 bin dahili, 10 bin harici
kullanıcısının eski sistemlerde yer alanlar
dahil tüm uygulamalarına tek bir şifreyle, tek
bir noktadan giriş yaparak, kolay ve güvenli
şekilde erişimi sağlandı
• Kullanıcıların sisteme kayıt sürelerini
hızlandırmak ve kullanıcı verilerini doğru
şekilde elde etmek amacıyla, geçerli Türk
Telekom hesapları bulunan kullanıcıların
kendi kayıt işlemlerini kendilerinin
gerçekleştirebilmesi ve böylece kullanıcıların
geçerli kullanıcı kimlikleriyle sistemlerde
otomatik kayıt ve kimlik doğrulaması
yapabilmesi sağlandı
• Oracle Identity Manager ve Oracle
Internet Directory’nin devreye alınmasından
itibaren 48 saat içinde herhangi bir
performans problemi olmaksızın 15 bin
dahili kullanıcının kendi kayıt işlemlerini
gerçekleştirebilmesi sağlandı
• Yardım masası görevlilerinin kullanıcı
hesapları ve şifreleri ile ilgili sorunları çözmek
için harcadıkları süre günde beş saatten 20
dakikaya indi
• Daha önce kullanıcı hesapları ve
şifreleri ile ilgili yardım masasına gelen çağrılar
toplam çağırılarının % 45’ini oluştururken,
proje sonrasında bu oran % 3’e düştü
• Maliyet / fayda verimliliği daha yüksek,
daha merkezi bir kullanıcı yaşam döngüsü
yönetimi sağlamak için, Siebel CRM, ERP,
yerel ağ paylaşım sistemi, tahsilat sistemi gibi
13 kritik uygulamaya Oracle Identity Manager
ve Oracle Internet Directory entegre edildi
• Çalışanların işe başlamasıyla erişim
yetkilerini otomatik veren, işten ayrılmasıyla
erişim yetkilerini otomatik iptal eden bir
mekanizma yardımıyla hem çalışanların
sistemlere eskisinden daha hızlı erişebilmesi
sağlandı, hem de şirket güvenliği büyük
ölçüde güçlendi.
• Bir iş gününde hem kurumsal veri
güvenliğini, hem de uygulama iş yüklerini
izlemeyi kolaylaştıran kritik bir özellik olarak
detaylı ve özet sonuçlar sunan erişim ve
aktivite raporlarının alınabilmesi sağlandı
• Türk Telekom içindeki belirli birimlerin
yönetimi, kullanıcı hesaplarını ve erişim
haklarını tanımlamak ve iptal etmek konusunda
Türk Telekom’un dâhili departmanlarından daha
hızlı ve daha doğru hareket edebilen birim
yöneticilerine delege edildi
• Kaynak yöneticilerinin kendi iş
birimlerindeki kullanıcı yaşam döngülerinden
daha fazla haberdar olabilmeleri ve kendi
sorumluluklarındaki dâhili ve harici denetimleri
gerçekleştirebilmeleri sağlandı.
Neden Biznet Bilişim?
Üst düzey güvenlik çözümleri
sağlıyoruz
“Biznet Bilişim olarak
ağ ve bilgi güvenliği sektörüne
yönelik danışmanlık ve denetim
hizmetlerimiz ile müşterilerimizin BT
sistemlerinin güvenlik seviyelerini
test ederek, uluslararası standartlara uygun duruma
gelmesi konusunda danışmanlık sağlıyoruz. Ayrıca
uzman yazılım ekibimiz tarafından geliştirilen özgün
ve yenilikçi yazılım ürünlerimizle bilgi güvenliği
alanında müşterilerimize kapsamlı çözümler
sunabiliyoruz. Bütün bu yetkinliklerimize güvenlik
alanında konusunda lider uluslararası firmaların
ürünlerinin projelendirilmesi, kurulum ve teknik
destek hizmetleri de eklenince, kurumlara uçtan
uca üst düzey güvenlik çözümleri ve hizmetleri
sağladığımızı söyleyebiliriz”
Onur Arıkan,
Biznet Bilişim Kurucu Ortağı- Baş Danışman
Başarılı ve öncü projelere imza atıyoruz
“Ağ ve bilgi güvenliğinin kurumlar için
gün geçtikçe daha da kritik bir konu haline geldiği
günümüzde, Kimlik ve Erişim Yönetimi’nin BT
güvenliği mimarilerinde önemi de artıyor. Biznet
Bilişim’in bu alanda müşterileri tarafından tercih
edilmesinin en önemli nedeni ise; çözüm mimarisi
oluşturulması, ürünlerin kurulumu, özelleştirilmesi, politikaların
belirlenmesi ve uygulanması, çevre-sistem ve uygulamalarla
entegrasyonu gibi kritik aşamalardaki 6 yıllık tecrübesidir.
Türkiye’de kimlik yönetimi alanında sadece ilk Oracle kimlik
yönetimi projesini gerçekleştirmekle kalmadık, 2006 yılından bu
yana pek çok başarılı ve öncü projelere de Biznet Bilişim imzası
attık. Başarımızın sırrı ise konusunda uzman ve teknik yetkinlikleri
üst seviyede olan bir danışmanlık ekibine sahip olmamız. Şu anda
Kimlik Yönetimi konusunda Türkiye’deki en büyük ve en yetkin
danışmanlık kadrosuna sahip durumdayız. Üstelik bu alanda
yatırımlarımız da artarak devam ediyor.”
Kamuran Moroğlu,
Biznet Bilişim Kimlik Yönetim Sistemleri Direktörü
Uygulama Süreci ve
Sonuç
Yedi aylık bir uygulama sürecinin
ardından, Türk Telekom Grubu’na ait altı farklı
BT altyapısı entegre edilerek sistem Şubat
2011’de canlı kullanıma geçirildi. Uygulama,
zamanında ve bütçe sınırları içinde
tamamlandı.Biznet Bilişim’in konusunda
uzman ekibinin proje uygulaması
sonucunda, bugün Oracle Identity Manager
ve Oracle Access Manager ürünleri, Türk
Telekom bünyesindeki 15’ten fazla büyük
uygulamanın kimliklerini ve erişim haklarını
yönetiyor. Türk Telekom Kullanıcı Yönetimi
Müdürü Sertaç Çelik, “Altı yıldır kimlik
yönetimi uygulamalarını başarıyla hayata
geçiren, çok deneyimli bir ekibe sahip
olan Oracle iş ortağı Biznet Bilişim, bize
sadece kullanacağımız ürünleri sunmakla
kalmadı; hangi kavramlar üzerinde hareket
edeceğimiz konusunda da destek oldu.
Analiz, tasarım, özelleştirme ve test
süreçleri boyunca birlikte çalıştığımız Biznet
Bilişim, İstek Yönetim Sistemimiz ve Java
uygulamalarımız için gerekli özelleştirmeyi
de gerçekleştirdi. Bugün birlikte devreye
aldığımız sistemi işletirken, Biznet Bilişim,
Oracle Identitiy Management çözümlerinin
her zaman kesintisiz hizmet vermesini
garantilemek için gerekli bilgi birikimi ve
teknik desteği sunmaya devam ediyor.”
Oracle’ın Kimlik Yönetimi alanındaki
ilk iş ortağıyız
“Biznet Bilişim, odağı sadece ağ ve bilgi güvenliği olan,
her şeyden önce müşterilerine üst seviyede danışmanlık,
denetim hizmetleri ve teknik destek vermekle mükellef bir
hizmet şirketi. Bugün geldiğimiz noktada Biznet Bilişim, bir
önceki yıla oranla 2012 yılında %60’ın üzerinde büyüme
sergiledi. 10 yıl önce ise bize, “BT Güvenliği işi mi yapıyorsunuz? Çıldırmış
olmalısınız, güvenlik hiç kimsenin önceliği değil!” deniyordu. O döneme
baktığımızda son derece doğru bir tespit gibi görünse de, uzun vadede BT’de
güvenliğin sağlanmasının kaçınılmaz hale geleceğini biliyorduk, bugünlerin
yatırımı bilhassa kurucu ortaklarımızca 10 yıl öncesinden yapılmıştı.
Kimlik Yönetimi alanındaki ihtiyacı yine önceden görmeyi başaran Biznet
Bilişim, hem Türkiye’de bu konuda projelendirme ve danışmanlık veren ilk
şirketlerden biri hem de Oracle’ın bu alandaki ilk iş ortağı oldu. Şu anda
ise Kimlik Yönetimi Danışmanlığı en önemli iş kollarımız arasında. Örneğin
Kimlik Yönetiminin ileri bir aşaması olan Rol Yönetimi konusunda da yine bir
ilke imza atarak Türkiye’deki ilk projeyi Oracle ile hayata geçirmeye başladık.”
Hakan Terzioğlu,
Biznet Bilişim Satış ve Pazarlama Direktörü
İÇTEN
DIŞA
.
GÜVENLIK
İŞ ORTAKLARINDAN
15
Dünya çapında güvenlik projeleri
Merkezi İstanbul’da bulunan Grid Teknoloji, Oracle veri tabanı danışmanlığı, Java Tabanlı
Kurumsal Yazılım geliştirme ve Proje Yönetimi gibi alanlarda başarılı projelere imza atıyor.
B
ilgi teknolojilerinin hayatımıza
her geçen gün daha fazla
girmesi ile birlikte, verilerin
kurumlara kazandırdığı değer ve
önem de bir o kadar artmıştır.
Bu nedenle artık kurumlarımızın, tüm
diğer değerli varlıklar gibi, verilerini önemle
korumaları gerektiği apaçık ortadadır. Bunun
için öncelikle, kurumların bu konuda bilinç
ve Know-How’ının güçlenmesi ve erişim
seviyesinde güvenlik, merkezi kullanıcı
kimliği yönetimi, şifreleme, kullanıcı
hatalarına karşı önemler, yedeklerin güvenliği
gibi birçok hususun uçtan uca konfigüre
edilmesi gerekmektedir.
Grid Teknoloji olarak, Oracle veri tabanı
danışmanlığının yanında müşterilerimize
kapsamlı penetrasyon testleri, Audit ve
DB Firewall gibi hususlarda da kapsamlı
hizmetler sunuyoruz.
Türkiye ve Orta Asya bölgesinde
hizmet verdiğimiz müşterilerimizin profillerini
göz önüne aldığımızda özellikle finans,
sigorta, sağlık, GSM ve kamu kuruluşlarında
güvenlik ihtiyacının ön plana çıktığını
söyleyebiliriz.
Danışmanlarımızın yaptığı birçok
analiz ve penetrasyon testinde, kurumların
sadece dış network ile iç network arasında
pozisyonladıkları firewall’lar ile birçok
güvenlik açığını kapattıklarını düşündüklerini
görüyoruz. Yine bu analizler sonucunda şunu
söyleyebiliriz ki, güvenlik açıklarının büyük bir
oranı,
• Local network’ten veri tabanı
sunucularına yapılan saldırılar,
• İşletim sistemi seviyesinde veri
tabanı sunucuna erişimler,
• Yazılım şifrelerinin elde edilmesi
sonucu ne tür bilgilere erişim sağlandığının
kontrol edilememesi,
• Network dinlemeleri,
• DBA yetkisine sahip kullanıcılar,
• Result Set’lerin kontrol
edilememesi,
• Demo veya eğitimler için hazırlanan
sunucuların güvenliğinin ve şifrelerinin ihmal
edilmesi,
• Kurumun gerek RMAN gerekse
de diğer Export yöntemleri ile aldığı
yedeklerden doğan güvenlik açıkları,
• Kurum içinde istemeden
gerçekleşen yanlış (Update, delete,
insert, alter, drop gibi) operasyonlar gibi
sebeplerden kaynaklanmaktadır.
Yazılım Geliştirme’de
Güvenlik!
Grid Teknoloji olarak kendi
geliştirdiğimiz yazılım geliştirme
platformunda önem verdiğimiz en önemli
konulardan birisi de güvenlik oldu. Çok
katmanlı olmayan mimarilerde, güvenlik
çoğunlukla veri tabanındaki yetkilendirmeler
aracılığıyla sağlanıyordu. Sunucu - istemci
arasındaki iletişimin güvenliği ise çoğunlukla
veri tabanının sunduğu iletişim güvenliklerine
bağımlı idi. Çok katmanlı mimari ile birlikte,
veri tabanı ve istemci arasında iş sınıflarını
işleyen, yetkilendirmeyi yapan ve iletişim
katmanının güvenliğini çok farklı yöntemlerle
sağlayan bir yapıya kavuşmuş olduk.
Grid Teknolojinin geliştirdiği Eria yazılım
platformunda ise günümüzde sunulan
ortalama güvenlik seviyesinin çok ilerisinde
bir standartta hizmet vermekteyiz.
BileşenYetkilendirmesi:
Bu özellik sayesinde, yazılımcıların geliştirdiği
grafik ara yüzündeki tüm bileşenler,
gerçekleştirdiği her bir fonksiyonla
kullanıcıya veya kullanıcı gruplarına (roller)
yetkilendirilebilir. Bu bileşenlere butonlar,
listeler, metin kutucukları, listelerdeki
her bir sütun, pencereler, masaüstü kısa
yolları, başlat menüsü nesneleri ve daha
ismi sayılmayan ön yüzde kullanılan tüm
bileşenler dahildir. Yetkilendirme, bu
bileşenlerin her bir fonksiyonu için de ayrıca
verilebilir. Örneğin liste bileşeni tamamen
görünmez veya deaktif yapılabilirken;
bazı kullanıcılar için listenin sadece bazı
sütunlarının görüntülenmesi, bazı kullanıcı
gruplarına ise belirli sütunlara göre arama
veya sıralama yetkisi verilebilir. Yine bir başka
bileşen olan zengin metin kutucuğuna veri
girişi izni bazı kullanıcılara verilirken, bazı
kullanıcılara örneğin, metinin üzerinde renk
değişikliği yapma izni verilmeyebilir.
Bileşenlerin sunduğu her bir fonksiyonun
ayrıca yetkilendirmeye dahil olması, sistem
yöneticisinin yazılımın tamamı üzerinde yetki
denetimi yapmasına olanak sağlar.
Zaman BazlıYetkilendirme:
Yetkilendirmeler konusunda yaşanan en
büyük sorunlardan birisi de yetkinin hangi
zamanlarda verileceğine yönelik denetimin
yapılamamasıdır. Örneğin, bir işletmede
geçici olarak görev yapmakta olan stajyer
için 3 aylık yetkilendirme yapılması
gerektiğinde, öncelikli olarak sistemin
yetki mekanizmasında rol veya kullanıcı
ataması yapılmaktadır. Üç ay sonrasında
stajyerin görev süresi dolduğunda tekrar
LDAP üzerinden rol veya kullanıcı ataması
kaldırılmaktadır. Eria yazılım platformunda ise
tüm yetkilendirmelerde zaman limiti ilk kayıt
aşamasında yapılabilir. Dilenirse, yetkinin
başlangıç ve bitiş tarihi belirtilebilir, yetki
belirli günlerle veya günün belirli saatleri ile
sınırlandırılabilir.
Merkezi Kayıt Sistemi:
Eria yazılım platformunda veri tabanında
yapılan her işlem (silme, kayıt güncelleme,
yeni kayıt ekleme), yazılım geliştiricinin
inisiyatifine bırakılmadan, obje modeline
dayalı veri tabanı katmanı tarafından kayıt
altına alınır. Bu sayede, şüpheli işlemlerin
incelenmesi, kaydın hangi kullanıcı
tarafından değiştirildiği (yapılan değişiklik
ve değişiklikten önceki hali ile), hangi
kullanıcı tarafından silindiği veya eklendiği
sürekli kontrol altındadır. Yetkilendirme
implementasyonunun sistem yöneticisi
Grid Teknoloji olarak Oracle
veri tabanı konusunda farklı
coğrafyalarda çok farklı
projeler gerçekleştiriyoruz.
Finans, sigorta, sağlık, GSM
ve kamu sektörüne yönelik
güvenlik çözümleri üretiyoruz.
Murat TEKSÖZ- Genel Müdür
[email protected]
tarafından eksik yapıldığı durumlarda dahi,
yetkisiz yapılan işlemler, bu günlük kayıtların
yardımıyla otomatik olarak eski haline
getirilebilir.
Gerçek Zamanlı İzleme:
Eria yazılım platformunun bir diğer
avantajı ise, şu anda mevcut olan hiçbir
web uygulamasında bulunmayan ve
implementasyonu tamamen Grid Teknoloji
tarafından yapılmış gerçek zamanlı iletişim
katmanı sayesinde, istenilen kullanıcının
ekranının, veri girişinin ve kullandığı
yazılım fonksiyonlarının gerçek zamanlı
ve canlı bir şekilde sistem yöneticisi
tarafından izlenebilmesidir. Güvenlik ve
yetkilendirmenin sistem yöneticisi tarafından
analiz edilebilmesi ve son kullanıcının o anki
faaliyetlerinin canlı bir şekilde izlenebilmesi
ile hızlıca aksiyona geçilerek, yetki
kısıtlaması yapılabilir.
İletişim Katmanı Güvenliği: Eria
platformu, internet tarayıcısı aracılığıyla
kullanılabilen bir web uygulaması olduğu
için, şu anda kabul görmüş tüm iletişim
katmanı güvenliği teknolojilerinden
faydalanabilir. Yazılım geliştiriciler, ihtiyaçları
ölçüsünde 128-256 bit SSL, SSL2 veya
TLS güvenliği uygulayarak, iletişim
katmanının da güvenlik sağlayabilirler.
Bu standart yöntemlere ek olarak, ayrıca
yazılım katmanında da Eria platformu
istemci - sunucu güvenliğinin artırılmasına
yönelik birçok açık/kapalı anahtar yöntemini
destekleyerek, ekstra güvenliğin gerektiği
durumlarda da yazılım geliştiricilerine
seçenekler sunmaktadır. Ayrıca e-devlet
uygulamalarında e-imza ve benzeri PKI
altyapısı bulunan kurumlarda istemcide
bulunan SmartCard ve okuyucuları
aracılığıyla sisteme erişimde güvenlik kartı
uygulamalarını desteklemektedir.
Veri Güvenliği: Eria platformu,
temelden ele alınarak geliştirilirken
yazılımcıların hatalı implementasyonları
nedeniyle oluşabilecek veri kaçağı ihtimalini
sıfıra indirmek adına her bir istemcinin
sunucudaki oturum ve diğer bilgilerini
birbirlerinden ayırır. Her bir istemcinin
anlık verilerini kendi alt Eria Client sanal
ortamında tutar. Bu sayede, son kullanıcıların
veri tabanı haricinde kalan oturum ve geçici
verileri birbirlerinin erişemeyeceği bir yapıda
tutularak veri güvenliği sağlanmış olur.
İŞ ORTAKLARINDAN
16
İÇTEN
DIŞA
.
GÜVENLIK
Şirket verilerinizin güvenlik
seviyesini yukarı çekin!
InspireIT, Oracle veri tabanının tüm imkânlarını kullanarak önemli güvenlik
kaygılarına yanıt veren çözümler sunmaktadır.
Ç
oğu bilgi sistemi gibi veri
tabanlarında da işlevsellik
ön planda tutulmakta
ve güvenlik konusu
farkına varılmadan ihmal
edilmektedir. Veri tabanı
güvenliği denince birçok işletme sahibi,
öncelikle kullanıcıların erişim izinlerini, veri
/ ağ şifrelemeyi ve güvenlik duvarlarını
düşünür. Oysa bunlar veri güvenliğinin
yalnızca birer unsurudur. IDC’nin güvenlik
konulu araştırmalarının en çarpıcı
sonuçlarından bazılarına bakalım;
• Güvenlik tehditlerinin % 80’i içeriden
gelmektedir
• İçeriden gelen tehditlerin % 65’i
tespit edilememektedir
• Network güvenliği (VPN, Firewall)
oldukça iyi anlaşıldığı için, artık saldırılar
içeriden direkt olarak verinin kendisine
yapılmaktadır
Yapılan son araştırmaların da
gösterdiği üzere, veri güvenliği ve veri
tabanı savunması konusunda yalnızca
bilinen önlemlerin alınması yeterli
olmadığından, eldeki gelişmiş sistemin
tüm fonksiyonlarını layıkıyla kullanmak göz
ardı edilmemesi gereken bir konu.
Yenilenen saldırı tekniklerine karşı
vaktinde uygulayacağınız önlemler, şirket
veri güvenliğiniz için hayati önemdedir.
Her kritik sistem sorumlusunun kendisine
sorması gereken bazı soruları hatırlayalım;
• Oracle’ın düzenli olarak yayınladığı
ve sadece güvenlik açıklarına özel
olan yamaları biliyor ve düzenli olarak
uyguluyor musunuz? Yoksa, sisteminizin
işlevselliğine ve sürdürülebilirliğine
zarar vereceği endişesiyle, uygulamada
geç kalarak mevcut güvenlik açıklarının
etkilerini daha da mı arttırıyorsunuz?
• Hassas verilerinize kimlerin eriştiğini
veri tabanı performansınızı etkilemeden
kayıt altına almak ister misiniz?
• Şirketinizde yeni uygulamalar için
açılan veri tabanı kullanıcılarının haklarını
biliyor musunuz ya da bu hakları nasıl
kullandıklarını kontrol edebiliyor musunuz?
Şirketten ayrılan personel için açılan
kullanıcıları veri tabanından da kaldırıyor
musunuz?
• Veri tabanına bağlanan kullanıcıların
hangi IP adreslerinden geldiklerini
denetliyor musunuz?
• Veri tabanına ilk bağlanma sırasındaki
şifre hatalarını tespit ederek, potansiyel
sızma girişimlerini farkedebiliyor
musunuz?
• Veri tabanı ilk kurulumunu siz mi
yaptınız ve hazır gelen opsiyonların
yarattığı güvenlik açıklarını biliyor
musunuz?
• Kullandığınız script’lerde açık şifre
kullanıyor musunuz ve kullanıyorsanız
kaldırmak için bir çalışma yaptınız mı?
• Veri tabanı audit’ini hiç kullandınız
Verileriniz gerektiği gibi
korunuyor ve yönetiliyor
mu? Bu konuda en ufak bir
şüpheniz bile varsa güvende
değilsiniz demektir.
Hakan ERGÜN / Yönetici Ortak
[email protected]
mı? Etkili ve sınırlı kullanıldığında çok
yararlı bilgiler alabilirsiniz.
• Veri tabanı audit özelliklerini kullanıyor
iseniz, sistemde oluşan tehditler için
zamanında uyarı mesajları alarak, olası
sızma girişimlerini raporlayabiliyor
musunuz?
• Sistem yedeklerini nerede
saklıyorsunuz ve yedekleri çalınmaya karşı
şifreliyor musunuz?
• Veri tabanı seviyesinde kullanıcı
erişimlerini sıkı denetlemenize rağmen,
işletim sistemi seviyesinde veri tabanı
dosyalarına ya da veri tabanı dump
dosyalarına direkt erişebilen yetkili
kullanıcılara nasıl önlem alıyorsunuz?
• Felaket kurtarma sisteminiz var mı ve
olası göçme durumlarında ne kadarlık bir
kesintiye tahammül edebilirsiniz?
• Test sistemlerinize canlı sistemlerden
veri atarken hassas verinizi koruyabiliyor
musunuz?
Güvenliğinizden ödün vermeyin!
S
ektördeki yaygın güvenlik uygulamalarını en iyi
şekilde size sunan InspireIT, veri tabanı güvenlik
açıklarınızı ortaya çıkarıp, verilerinizin güvenliğini
en ileri düzeyde arttırarak, kurumsal güvenlik
standart prosedürlerine uygunluğunuzu garanti altına alır.
Veri tabanının mevcut güvenlik özelliklerinin etkin kullanımını
sağlar ya da ek güvenlik gereksinimleri bulunuyorsa, Database
Firewall, Database Vault, Audit Vault, Advanced Security
gibi Oracle’ı sektörünün en gelişmiş veri tabanı güvenlik
ürünü yapan üstün özelliklerden dilediklerinizi sisteminizle
buluşturur. Hizmet verilen tüm sistemlerde güvenlik ön
plana çıkarılarak, fonksiyonellikten ödün vermeden kullanıcı
erişimlerine maksimum kısıtlama uygulanmaktadır.
InspireIT kurumsal ortamlardaki yaygın deneyimi ile kendi
yönetimi ve denetimi altındaki veri tabanlarında,
• AudItleme ve İzleme : Database Firewall, Audit Vault,
Total Recall
• Erişim Koruma ile Kimlik Yönetimi : Label Security,
Database Vault
• Şifreleme : Advanced Security, Transparent Data
Encryption (TDE), Data Masking
• Ölçeklenebilirlik : RAC
• Felaket Kurtarma : Data Guard, Goldengate
• Veri Yedekleme : RMAN, Secure Backup
• Veri Kurtarma : RMAN, Flashback Teknolojileri
hizmetlerinin yanı sıra yasal gereklere uygunluk gibi pek çok
olanak da sağlamaktadır.
Yasal gereklilik kapsamında InspireIT tarafından
bankalarda ve sigorta firmalarında yapılan birkaç aylık
çalışmalarda, ‘Oracle Database Vault’ konfigürasyonları
yapılmış, ‘Advanced Security Opsiyonu’ ile tablo verilerinin ve
ağ paketlerinin şifrelenerek iletimi sağlanmış ve ‘Data Masking
Pack’ ile canlı ortam verilerinin test ortamlarında gizliliği
garanti altına alınmıştır.
Artan güvenlik gereksinimlerinin (sistem yönetimini
karmaşıklaştırmadan) mevcutta yatırımı yapılmış veri tabanının
sağladığı hazır özelliklerle karşılanmasının, uzun vadede
maksimum maliyet avantajı sağlayan uygulama bağımsız
yöntem olduğunu düşünüyoruz. Farklı markalara ait ürünlerin
entegrasyon sorunları ve sürüm arttırımı zamanlarında ortaya
çıkabilecek uyumluluk sorunları ek maliyet kalemleri olarak
düşünülmelidir.
‘Oracle Database Vault’ sektördeki en ileri veri tabanı
güvenlik ürünü olarak, kritik verilerinize kimin, hangi
zamanlarda, nerede ve ne şekilde erişebileceğini belirler.
Bu sayede müşterilerimiz hassas uygulama verilerini daha
ileri seviyede koruyarak, veri tabanı seviyesinde yetkilerini
kötüye kullanmak isteyen kullanıcıların ya da veri tabanı
sorumlularının erişimine kapatır. Aynı zamanda Oracle
Database Vault, mevcut uygulamada herhangi bir değişiklik
gerektirmeksizin veri tabanlarına ve kritik verilere kimin,
ne zaman, nereden ve nasıl ulaşabileceğine dair politikalar
getirmektedir. Oracle kaynak koduna entegre çalışan bir modül
olması sebebiyle, uygulamanıza ait hassas verilerinizin ilgili
kullanıcılar dışında, veri tabanı yöneticileri de dahil kimse
tarafından görülememesini sağlayan, Oracle veri tabanlarına
uyumlu ve rol ayrımını garanti edebilen tek üründür.
InspireIT, kurumların hassas verilerini korurken proaktif
bir stratejileri olması gerektiğine inanmaktadır. Müşteri özlük
bilgilerinin, satış rakamlarının ya da hassas finansal kayıtların
çalınması gibi kritik vakaların artmasına paralel olarak,
başta veri tabanı olmak üzere organizasyonel her tür verinin
korunma gereksinimi, önümüzdeki 5 senenin en önemli
yatırım kalemlerinden biri olacaktır.
Sektördeki yaygın güvenlik uygulamalarını en iyi şekilde
size sunan InspireIT uzmanları, yapılacak ön değerlendirme
çalışması sonrası veri tabanı güvenlik açıklarını tespit edip
verilerinizin güvenliğini en ileri düzeyde arttırarak, kurumsal
güvenlik standart prosedürlerine uygunluğunuzu garanti altına
alacaktır.
İŞ ORTAKLARINDAN
İÇTEN
DIŞA
.
GÜVENLIK
17
Veri güvenliğinde KoçSistem ile
kurumlara özel yenilikçi çözümler
KoçSistem olarak yenilikçi bilgi güvenliği teknolojilerimiz ve hizmetlerimizle
paydaşlarımızı yarınlara taşıyan öncü güç olma vizyonumuz ile bilgi
güvenliğini proaktif bir yaklaşım ile her noktada sağlamayı hedefliyoruz.
G
ünümüzde veri güvenliği,
sadece yöneticileri
ilgilendiren bir konu
olmaktan çıkarak tüm
çalışanları endişelendiren
bir konu haline gelmiştir. Finansal
bilgilerimizden günlük tercihlerimize
kadar kontrolümüz dahilinde ya da
haricinde depolanan her türlü kişisel
bilginin güvenliği önem taşımaktadır.
Bunun yanı sıra, kurumları tehdit eden iç
ve dış unsurlardan kaynaklanan güvenlik
endişeleri, uygulamaların içeriğinde
bulunan verilerin önemi ve gizli bilgileri
güvenlik altına alma talepleri, veri
tabanı sistemlerinin güvenlik araçlarıyla
güçlendirilmesini vazgeçilmez hale
getirmektedir.
KoçSistem’in sunmakta olduğu
hizmetler arasında Oracle Database
Vault, Audit Vault & Database Firewall,
Advanced Security ve Label Security
gibi veri tabanı güvenlik araçları ve
bileşenlerinin projelendirilmesi,
kurulumu ve konfigürasyonunu içeren
danışmanlık hizmetlerinin sağlanması
bulunmaktadır. KoçSistem olarak bu
alanda yatırım yaparak sahip olduğumuz
deneyimli ve konusunda sertifikalı
danışmanlar ile projelerin minimum
riskle tamamlanmasını hedeflemekteyiz.
Bunun yanı sıra veri tabanının güvenliğini,
sürekliliğini ve sağlıklı çalışmasını
sağlamak amacıyla, projenin hayata
geçmesinden sonra proaktif yönetimsel
işlevlerin gerçekleştirildiği sürekli bakım
hizmetlerimiz bulunmaktadır. Bu hizmetler
ile KoçSistem, iş kritik alanlardaki hizmet
sürekliliğini müşteri tarafından belirlenen
hizmet seviyesinde gerçekleştirerek
proje sonrası sistemin sağlıklı olarak
işletilmesini hedeflemektedir.
UÇTAN UCA GÜVENLİK
KoçSistem veri ve veri tabanı
güvenliği konusundaki uzmanlığını,
teknoloji konularında öncü konumda
bulunan bir Kamu Kuruluşu için, Türkiye’de
ilk defa gerçekleştirilen Oracle Database
Firewall satışı ve implementasyonu
projesi ile göstermiştir. Kurumun ihtiyacı
olan veri tabanına gelen sorguların
ve üzerindeki aktivitelerin izlenmesi,
gerektiğinde müdahale edilmesi ve
veri tabanı güvenliğinin, Audit Vault ve
Database Vault ürünlerine ek olarak Oracle
Database Firewall ürünü kullanılarak
sağlanması amaçlanmıştır. Böylece hem
canlı hem de felaket kurtarma merkezinde
yer alan veri tabanı sistemleri güvenli hale
getirilerek, veri tabanına içeriden veya
dışarıdan gelebilecek saldırılara karşı bir
güvenlik kalkanı oluşturulmuştur.
Kurumların ihtiyacı olan uçtan uca
güvenliğin sağlanması için sadece veri
tabanı seviyesinde güvenlik çözümleri
değil uygulama seviyesinde de güvenlik
çözümlerinin hayata geçirilmesi
kaçınılmazdır. Kimlik Yönetimi IDM
de uygulama seviyesinde güvenlik
konusunda en önemli ihtiyaçlardan
birisidir. Şirketler, büyüme ve gelişme
eğilimlerine paralel olarak farklı kademe
ve departmanlarda onlarca farklı uygulama
kullanmaktadır. Uygulamanın amacına
bağlı olarak kurumlar bu uygulamalar
için farklı güvenlik sistemleri kurmak
durumunda kalmaktadırlar. Bu durum,
zaman içerisinde tek bir kullanıcının farklı
iş süreçlerinde, farklı kullanıcı isimleri ve
şifreler, farklı yetkilendirme protokolleri
kullanmasına yol açmaktadır.
Her bir iş süreci için farklı
yetkilendirme politikalarının, binlerce
kullanıcı için uygulanması zaman alan,
denetimi güç ve hataya açık bir ortam
doğmasına neden oluyor. Kimlik yönetimi,
bu noktada devreye girerek, güvenlik
konusunu merkezileştirme, daha sağlıklı
bir yapıya kavuşturma, zaman ve maliyet
avantajları yaratma imkânı sunuyor.
TECRÜBELİ KADRO
KoçSistem, bu alanda lider konumda
olan Oracle teknolojilerine son 5 yıldır
ciddi bir yatırım yaparak Türkiye’nin en
tecrübeli danışmanlık ekibini kurmuş ve
kimlik yönetimi konusunda şirketlere fark
yaratan çözümlerini ESSO (Enterprise
Single Sign On) ve / veya SSPR (Self
Service Password Reset), Provisioning, İK
- İş Süreçlerinin Otomasyonu, Çalışanların
Erişim Haklarının Otomasyonu, Rol
Yönetimi ve Etkin Raporlama başlıklarında
sunmaktadır.
KoçSistem, geçtiğimiz 5 yıllık süreç
içerisinde binlerce kullanıcısı olan 2
Ulusal Banka’nın ve Koç Holding’e bağlı 4
şirketin IDM uyarlamasını gerçekleştirdi.
Bu projeler hayata geçirildikten sonra
kullanıcılar kendi kimlik ve uygulama
bazlı şifre yönetimlerini merkezi bir
şekilde yapar hale gelmişlerdir. İşe
alım sürecinde yeni bir çalışana tüm
bankacılık uygulamaları dahil kendi rol ve
sorumluluğuna göre tüm erişim haklarının
verilmesi onay süreci dahil saatler
mertebesine gelmiştir. Aynı şekilde işten
ayrılma durumlarında kullanıcının tüm
erişim yetkilerinin merkezden silinmesi
yine birkaç saat içinde yapılabilir olmuştur.
Son 12 ayda ise Oracle IDM
çözümleri ile bu çözümlerin en son
versiyonları İstanbul’da Koç Holding
merkezi satınalma sürecini yönetmek
için kurulmuş olan ZER A.Ş.’nin İK
İş Süreçlerinin Otomasyonu projesi
sürecinde gerçekleştirilmiştir. Yine
önemli projelerden birisi de Ankara’da
bir kamu kuruluşunda Oracle satınalma
öncesi kullanılmaya başlanan SUN IDM
çözümlerinin Oracle IDM teknolojilerine
göre yeniden uyarlanarak taşınması
projesidir. Yetkin ve tecrübeli ekibiyle
KoçSistem, bu alanda halihazırda birçok
fırsat üzerinde çalışmaktadır.
Bulut Güvenliği
K
oçSistem olarak yatırım yaptığımız diğer önemli alanlardan birisi
de Bulut Bilişim teknolojileridir. IDC 2012 sonuçlarına göre,
Türkiye Bulut Bilişim Pazar lideri olarak Koçsistem, paylaşımlı
güvenlik sistemlerine de yatırım yapmaktadır. Son iki yıldır “Hizmet olarak
altyapı” bileşenlerini paylaşımlı olarak sunan Koçsistem, veri iletişimi
güvenliği alanlarında halihazırda müşterilerine hizmet vermektedir.
Ayrıca KoçSistem, müşterilerine sunduğu hizmetlere, 2013 yılının
ikinci yarısında paylaşımlı veri tabanı güvenliği hizmetlerini de eklemeyi
hedeflemektedir. KoçSistem veri merkezlerinde bulunan 250’den fazla
Oracle veri tabanı ortamının güvenliğini en üst düzeyde sağlamak için,
Oracle teknolojileri fizibilite çalışmaları devam etmektedir. Yapılacak olan
yatırımla tüm veri tabanı logları merkezi olarak saklanacak ve belirlenen
kurallar çerveseninde, proaktif olarak yönetilecektir. Müşterilerimizin tek
tek yatırım yapmasının yerine KoçSistem olarak onlara tüm bu hizmetleri
bulut ortamından paylaşımlı olarak vermeyi ve yönetmeyi hedeflemekteyiz.
Veri erişiminde sınırların kalktığı günümüzde, veri güvenliğinin sağlanması
ve yönetilmesi konuları çok önemli hale gelmiştir. KoçSistem ve Oracle
olarak gerçekleştirdiğimiz işbirliği ile kurumların bu kapsamdaki ihtiyaçlarını
karşılayacak ve kurumsal itibarlarını güvence altına alacak teknolojiler ve
hizmetler sunarak, onlarınn güvenliğini en üst seviyede sunduğumuz
hizmet ile sağlamaktayız.
Veri güvenliği ve yönetimi
konusunda müşterilerimize
benzersiz hizmetler
sunuyoruz.
Özlem Kestioğlu /
KoçSistem Teknoloji Çözüm ve
Hizmetleri Satış Grup Yöneticisi
[email protected]
İŞ ORTAKLARINDAN
18
İÇTEN
DIŞA
.
GÜVENLIK
Metod Bilişim Hizmetleri ile
Oracle veri tabanı güvenliği
Müşterilerimize Oracle teknolojileri konusunda danışmanlık ve destek hizmeti
verirken uzman ve deneyimli kadromuzla eğitim merkezimizde Oracle
Üniversitesi’nin resmi sertifikalı eğitimlerini veriyoruz.
B
ilginin değerinin ölçümlenmeye
ve hatta değerine göre
sigortalanmasına çalışıldığı bir
zamanda yaşıyoruz. Bu nedenle
doğal olarak saldırıların en
yoğun olacağı yer kuşkusuz bilginin kaynağı
olan veri tabanı olacaktır. Cloud mimarisinin
gelişmesine paralel olarak verilerin başka
lokasyonlarda tutulması da önümüzdeki
dönemde veri tabanı güvenliğini en üst
seviyeye çıkaracaktır. Oracle 11c ile birlikte
sysdba, sysoper ve sysasm yetkilerine ilave
olarak sysbackup (rman ile backup almak
için), sysdg (dataguard broker kullanabilmek
için) ve syskm (Transparent data encyption
işlemleri yapabilmek için) yetkilerinin de
gelmesi, yetkiler ayrımının derinleşerek
bulut mimarisine uygun hale gelineceğini
gösteriyor. Dolayısıyla verinin kaynağında
korunması ihtiyacı gitgide artacak ve
Oracle veri tabanının sunduğu güvenlik
opsiyonlarına çok daha fazla ihtiyaç olacaktır.
tehlike her yerde
Ancak sektörümüzde bu bilincin henüz
tam olarak yerleşmediğini ve veri tabanı
güvenliği konusunda hala açıklar olduğunu
görüyoruz. Genel olarak network ve orta
katman tarafında güvenliğin daha öncelikli
olarak düşünüldüğünü , veri tabanında ise
önleyici güvenlik tedbirleri yerine , tespit
etme yönteminin daha ağırlıklı olarak
kullanıldığını gözlemliyoruz. Biz verilerin
kaynağında, yani bizzat veri tabanında en iyi
şekilde korunabileceğini düşünüyoruz.
Üniversitede veri güvenliği dersinden
hatırladığım bir cümle var. Şöyle diyordu
“Verilerinizi korumak için alacağınız önlemler
o kadar çok ve detaylı olabilir ki, doğru ve
bütünleşik bir strateji benimsemezseniz;
verilerinizi korumak için yapacağınız yatırım
bazen korumak istediğiniz verinin değerini
bile geçebilir”.
Gerçekten de birçok kurum ve şirkette
güvenlik ve audit amacıyla alınmış çok
sayıda ürün olduğunu ve yine bu ürünlerin
birçok konuda kesiştiğini, yani aynı işi
yaptıklarını görüyoruz. Bu durumda hem
maliyet artıyor hem de farklı know-how
gereksinimlerinden dolayı sistem karmaşık
hale geliyor.
Ayrıca bu ürünlerin gerek veri
tabanıyla gerekse de birbirleriyle olan
entegrasyonlarında sorunlar yaşanıyor.
Dolayısıyla tek bir vendor ile bütünleşik bir
çözüm stratejisi oluşturmak hem komple bir
çözüm sağlayacak hem de maliyet ciddi bir
şekilde azalacaktır.
Bir örnek vermek gerekirse, şu anda
sektörde kullanılan, güvenlik ve denetleme
amacıyla network trafiği üzerinden dinleme
yaparak çalışan bir ürün, Oracle veri
tabanıyla istemci veya diğer sunucular ile
yapılan bağlantılarda kriptolanmış ağ trafiğini
veya SSL kullanarak kurulan bağlantıları
desteklemiyor. Halbuki aynı ihtiyaç için
Oracle’ın Audit Vault ürününü kullandığınızda
böyle bir problemle karşılaşmıyorsunuz. Biz
bu durumu ISO 27001 standardına geçen
bir global şirkette canlı bir şekilde yaşadık.
Daha önce yukarıdaki amaç için kullandıkları
bir ürün veri tabanı bağlantılarını SSL ile
yapma zorunluluğu gelince işe yaramaz hale
geldi.
Ben Oracle Türkiye’de çalışırken insan
kaynakları yöneticilerinden sık sık şu şekilde
bir soru gelirdi.
“Biz IT personelinin maaşları
görmesini istemiyoruz, bunu engellemenin
bir yolu var mı?”
Gerçekten veri tabanı yöneticilerinin
bir takım hassas bilgileri görebilmesinin
sakıncaları olabilir. Yıllar önce bir bankanın
veri tabanı yöneticisi swift kodlarını
öğrenerek yurtdışındaki hesabına yüklü bir
para transferi yaparak ortadan kayboldu.
Benzer şekilde City Bank’ın içeriden
sızdırılan bilgilerle dolandırılması öyküsü
Discovery Channel’a konu oldu ve detaylı
şekilde anlatıldı. Artık bu tarz saldırıların çok
büyük oranda içeriden geldiği görülmektedir.
İşte Oracle’ın 10g versiyonu
ile getirdiği Database Vault opsiyonu
yukarıdaki olumsuz durumların oluşmasını
engelleyen bir güvenlik opsiyonudur. Veri
tabanının güvenlik duvarının önüne bir
güvenlik katmanı daha koyarak veri tabanı
yöneticilerinin verileri görmesi engellenir.
Hatta istenirse bir tablonun sahibi bile kendi
tablosunu sorgulayamaz. Ayrıca bu kuralları
koyan ve daha sonra analiz raporları alan
kişiler de ayrı ayrı tanımlanarak yetkiler
ayrımı sağlanmış olur ve manipülasyonların
önüne geçilmiş olur. Database Vault
opsiyonunu kullanmadan önce kimlere
hangi yetkilerin verileceğinin belirlendiği
detaylı bir analiz çalışması yapılması
gerekmektedir. Metod olarak bu konuda
da müşterilerimize derin teknik bilgimizin
yanında analiz sürecinin yönetilmesi
konusunda da hizmet vermekteyiz.
Veriler Data Masking ile Güvenle Taşınabilir
B
ir müşterimizde verinin bir POC çalışması için kurum dışına
çıkarılması gerekiyordu. Ancak COBIT standartlarına tabi olan bu
kurumdan verilerin açık olarak kurum dışına çıkması söz konusu
değildi. Burada Oracle’ın Data Masking özelliğini kullanarak verileri
gizledik. Data Masking ile verileri gizlerken aynı zamanda “Foreign Key”
bağlantılarını da koruyabiliyorsunuz. Yani veriniz güvenli hale geldiği
gibi testlerinizin de sağlıklı bir şekilde yapılması sağlanmış oluyor. Data
masking, koşullu, birleşik ve deterministic mask tekniklerini sunduğu
gibi çok zengin bir format kütüphanesini de beraberinde getiriyor. Ayrıca
Enterprise Manager arayüzüyle çok kolay bir şekilde uygulanabiliyor.
Data Masking ürününün her geçen gün daha çok kurum tarafından
anlaşılan önemi ve gördüğü rağbet karşısında Oracle bu özelliği
Oracle12c ile birlikte bir opsiyon olarak veri tabanının içine gömdü.
Oracle Data Redaction denilen bu opsiyon ile birlikte artık SQL sorgunuzu
çalıştırdığınızda, tanımladığınız policy gereği bazı bilgiler dinamik olarak
mask’lanarak getiriliyor. Oracle Database Firewall ürünü de benzer bir
iş yapıyor. Gelen SQL’i anında çözümleyerek dinamik olarak bir policy
uyguluyor ve kara listede olan kişilere veya SQL injection yapıldığına kanaat
getirirse işlemi blokluyor. Görülüyor ki; önümüzdeki dönemde güvenlik
yine en büyük ilgi alanımızı oluşturmaya devam edecek. Kurumların,
bilgilerin çalınmasını önleyici şekilde , bütünleşik ve makro düzeyde
oluşturulmuş güvenlik stratejilerini şimdiden hazırlayarak güvenlik açıklarını
kapatması gerekiyor, aksi takdirde şimdilik belirli kurumlar için zorunlu olan
standartlar yakın gelecekte zaten herkesi bunları yapmaya zorlayacaktır.
Oracle’ın 10g versiyonu ile
getirdiği Database Vault
özelliği akla gelebilecek birçok
olumsuz durumun oluşmasını
engelleyen bir güvenlik
opsiyonudur.
CEM ZORBA/ Metod Oracle Akademisi
Gn.Md. [email protected]
güvenlik
çözümleri
Oracle, veri tabanı güvenliğinde
en üst teknolojinin kullanıldığı benzersiz
çözümler sunuyor. Bu ürünlerin en büyük
özelliği birbirleriyle entegre çalışması
ve birbirini tamamlayıcı nitelikte olması.
Kısacası Oracle veri tabanındaki güvenlik
opsiyonlarını tercih ettiğinizde, başka
hiçbir ürüne gerek duymaksızın veri
tabanı güvenliğinizi en üst düzeyde ve en
maliyet etken şekilde sağlamış olursunuz.
Biz bu çözümleri, konusunda Türkiye’nin
sayılı uzmanları arasında olan ve çok
deneyimli kadromuzla, ihtiyaç duyulan
müşterilerimizde uyguluyoruz. Ayrıca
Kozyatağı’nda Oracle Üniversitesi’nin resmi
lokasyonu olan eğitim merkezimizde veri
tabanı güvenliği ve veri tabanının güvenlik
opsiyonlarının uygulamalı eğitimlerini
veriyoruz. Eğitimleri veren eğitim
danışmanlarımızın tamamı işin mutfağından
yetiştikleri için eğitimlerde müşterilerimizin
ihtiyacını çok daha iyi analiz edip en doğru
ve pratik çözümleri sunabiliyoruz.
İŞ ORTAKLARINDAN
İÇTEN
DIŞA
.
GÜVENLIK
19
Verilerinizin güvenliği mi,
güvenliğinizin verileri mi?
ORATURK, Oracle İş Yönetim Sistemleri odaklı uzmanlığı
ve uluslararası tecrübeye sahip Oracle sertifikalı kadrosuyla
Türkiye’nin pek çok başarılı şirketinin yanında yer alıyor.
ORATURK’ün güvenlik çözümlerini
kullanan müşteriler arasında
Anadolu Hayat ve Emeklilik,
Anadolu Sigorta ve Emeklilik
Gözetim Merkezi gibi Türkiye’nin
önemli şirketleri de var.
YALÇIN ZORMAN / Yönetici Ortak
[email protected]
E
ski Metotlarla Yetkilendirme
ve Güvenlik Kontrolü Yerini
“Oracle Güvenlik” (SECURITY)
Ürünlerine Bırakıyor. 1990’ların
kaygılarından biri sahip
olunan önemli verilerin “kayıpsız” olarak
saklanabileceği bir “ilişkisel veri tabanı”na
karar vermekti. Birçok Türk şirketi, ilk
“gerçek” veri tabanını bu dönemde
keşfetti. Açık sistemlere geçiş, client-server
mimarisi, dağıtık yapıdaki veri tabanları,
paralel çalışma altyapısı. Partitioning
ise sonraki karar konularınızdı. 2000’li
yıllarda ise Cluster yapıda çalışan “RAC”
mimarisi, ölçeklenebilirlik, süreklilik, kolay
yönetilebilirlikle; felaket kurtarma altyapısı
yani “Data Guard”, Grid mimarisi ve
otomatik disk altyapısı mimarisi yani “ASM”
ile tanıştınız...
Şirketlerin günümüzdeki temel
iş ihtiyaçlarının başında; çalışanların,
müşterilerin, tedarikçilerin ve iş ortaklarının
kritik iş sistemlerine erişebilirliğindeki
güvenliğin arttırılarak sağlanması geliyor.
Sadece “yetkilendirilen” bilgilere erişim
sağlanması, hassas / özel verilerin
çalınmasının ve kötü amaçlı kullanım
ihtimallerinin ortadan kaldırılması gerekiyor.
Bu ihtiyacın temel nedenleri rekabet
ortamında zor durumda kalmak ve / veya
ciddi maddi kayıplara uğrama riskidir.
Son zamanlara kadar sadece kişisel
kaygıların yönlendirdiği veri güvenliği
konusu, günümüzde yasal zorunlulukları ve
rutin kontrolleri içeren bir yapıya dönüşüyor.
Özellikle kritik verilere erişimlerin daha
güçlü kontrollerle ağlanmasını zorunlu kılan
denetleme ve düzenlemelerin birçok resmi
otorite (SOX, HIPAA , BASELII , FISMA,
PCI, Hazine, BDDK, EPDK, Bağımsız
Denetim Kuruluşları) tarafından giderek
arttırılıyor olması da “Veri Tabanlarında
Güvenlik” konularının önemini giderek
arttırıyor. Günümüzde artık eski metotlarla
yetkilendirme ve güvenlik kontrolü yapmak,
yerini “Oracle Güvenlik” (Security) ürünleri
yani Advanced Security, Database Vault,
Audit Vault, Data Masking, Secure Backup
opsiyonlarına bırakıyor.
Veri güvenliği ile veriye hızlı erişim
arasındaki dengenin sağlanabilmesi için
merkezi ve otomatize edilmiş bir altyapının
kurulmuş olması önem kazanıyor.
2013 yılında ORATURK olarak öncelikli
hedefimiz; müşterilerimizi Veri Güvenliği
konularında bilgilendirerek doğru Oracle
ürünlerini doğru şekilde kullanmalarını
sağlamak. Gerek uzun vadeli güvenlik
yol haritasına ihtiyaç duyan, gerekse belli
özel alanlarda iyileştirme planları olan
müşterilerimize, optimal çözümleri şirkete
özel güvenlik ve regülasyon ihtiyaçlarını da
karşılayacak şekilde sunuyoruz.
Oracle Database OPTIONS; Oracle
Güvenlik Ürünleri Gerçekten Opsiyonel mi ?
Hatırlayın... 1980’lerde arabaların sağ
dikiz aynaları opsiyoneldi, 1990’larda ise
airbag’ler ve ABS fren sistemleri. Peki sizce
2013’de şu ihtiyaçlar hala opsiyonel mi?
Veri Bütünlüğü (Data INTEGRITY) ve
Veri Koruma (Data PROTECTION)
Verilerin hareket halindeyken
şifrelenmesi (Network encryption) =
Advanced Security
Görevlerin ayrılığı (Separation of
Duties) = Database Vault
Güvenli denetim logları (Secure Audit
Logs) = Database Audit Vault
Verinin şifrelenmesi (Encryption of
Data) = Transparent Data Encryption
Tek şifre ile birçok sisteme erişim
ve yetki kontrolü = Oracle Identity
Management
4A1E ile Erişimin Temel
Aşamaları
Oracle 11g veri tabanında yapılmakta
olan ve 4A1E kontrolleri olarak bilinen
adımlar aşağıdaki gibidir;
Authentication – Kullanıcı “kimliğinin
kontrolü”. (Bir kullanıcının kimliği
doğrulandığında, önceden belirlenen
uygulamalara erişimine izin verilmiş oluyor).
Authorization ile kimlik kontrol
sonrasında, ilgili kullanıcıya erişebileceği
“yetkilerin verilmesi” Access Control ile ilgili
verilere her erişildiğinde, yetkileri bazında
“erişim denetimi”
Auditing ile erişilen verilere ait audit
bilgilerinin saklanması
Encryption ile hassas verilerin transfer
aşamasında ve disk üzerinde saklanırken
şifrelenmesi. 4A1E kuralını baz alarak,
şirketinizin veri güvenliğini arttırmada
birlikte atacağımız temel adımları şöyle
özetleyebiliriz: İlk adım; içerisinde ORATURK
uzmanlarının da bulunduğu “Veri Güvenliği
Ekibi”nizi oluşturmak. Sistem mimarları /
yöneticileri, DBA’ler, network yöneticileri,
verilerin sahipleri ve son kullanıcılardan
oluşacak bu ekiple birlikte öncelikle
“Güvenlik İhtiyaçlarınızı” tanımlıyoruz.
Gerektiğinde süreç liderleriniz ve yasal
zorunlulukları takip eden çalışanlarınızı
da ekliyoruz.Kimlerin hangi verilere ve
servislere, neden erişmesi gerektiğini
analiz ediyoruz. Mevcut durumdaki güvenlik
açıklarınızı analiz ederek; “Oracle Security
Option” larından hangilerinin ne şekilde
ihtiyaçlarınızı karşılayacağına birlikte karar
veriyoruz. Gerekli prosedürleri ve altyapıyı
oluşturup, günlük hayatta kullanmanızı ve
rutin olarak kontrol etmenizi sağlıyoruz.
Sonrasında dönemsel olarak bir araya gelip
sizlerle yeni ihtiyaçlarınız ve uygulamadaki
iyileştirmeleri görüşüyoruz.
Oracle Database Vault ile
Yetkili Kullanıcı Kontrolü
Verinizin erişim güvenliği konusunda
dinamik ve esnek erişim kontrollerini
hayata geçirmenizi ve raporlamasını
sağlayan Oracle Veri tabanı opsiyonudur.
Yaptıkları iş gereği veri tabanı erişimine
izin vermek durumunda olduğunuz “Yetkili
Kullanıcıların” yani çalışanların, müşterilerin,
tedarikçilerin ve iş-ortaklarının, sadece izin
verdiğiniz verilere eriştiğinden emin olmanızı
sağlar. Bir veri tabanı yöneticisinin dahi
kritik verilerinize (kredi kartı, müşteri özel
bilgileri, hesap detayları, personel maaş
bilgileri, hesaplamalar, harcamalar, görüşme
detayları gibi) erişimini engelleyebilir. Veri
tabanı yapılarının bilginiz haricinde izinsiz
olarak değiştirilmesini engeller. Gerçek
Oracle
Database
AUDIT Vault
Audit Vault; veri tabanı, uygulama
sunucusu, uygulamalar ve işletim sistemi
gibi değişik kaynaklardan alınan audit
verilerinin ve kritik aktivitelerin konsolide
edilerek çok yönlü raporlamasını
sağlar. Oracle 9iR2 ve sonrasındaki
tüm Oracle veri tabanı versiyonlarını
desteklemektedir. Merkezi raporlama,
analiz ve uyarı mekanizması özellikleri
sayesinde tüm verilerinize erişim detaylarını
hazır raporlama ara yüzleri üzerinden
izleyebilirsiniz. Arşivleme yeteneği ile
istenildiği kadar geçmiş audit verisi
saklayabilen Audit Vault, denetimler
sırasında ciddi mesailer harcayarak elde
etmek durumunda kalabildiğiniz işlem
tarihçelerini hızlı, güvenilir ve kolay bir
şekilde sunabilmenizi de sağlar. Audit Vault
Collection Agent sayesinde SQL Server,
DB2, Sybase gibi diğer veri tabanlarından
da audit bilgilerini elde edebilirsiniz. Audit
kurallarınızın tutarlı olmasını sağlamak üzere
eklenen “kopyalama” özelliği sayesinde
veri tabanlarınız arasında kural kopyalama
işlemini hızlı bir şekilde yapabilirsiniz.
zamanlı olarak anlık kontrolleri eklemek,
değiştirmek ve takibini yapmanızı sağlar. Veri
tabanı kernel seviyesinde çalışan bu özellik,
PL/SQL kullanılarak uygulanan güvenlik
uygulamalarından çok daha etkindir. Her bir
veri tabanı için ihtiyaç duyulacak güvenlik
seviyesinin farklı olabildiği durumlarda da
kullanılan Database Vault, single-instance
Oracle veri tabanınıza uygulanabildiği gibi
RAC mimarisindeki yapılarda da başarılı bir
şekilde kullanılmaktadır.
Günümüzde pek çok şirket; IT
altyapısının kurulumu, yönetilmesi
ve yeni projelerin hayata geçirilmesi
aşamalarında çeşitli danışman firmaların
uzmanları ile birlikte çalışmakta ve veri
tabanı seviyesinde erişim yetkisi vermek
durumunda kalmaktadırlar. İşte bu noktada
Database Vault, gerçek anlamda verilerinizi
korumanızı sağlayacak en etkili opsiyondur.
BDDK, Hazine, SPK ve bağımsız denetim
firmalarının IT audit kapsamında da yer
alan “yetkili kullanıcı”ların yapabildiklerinin
kısıtlanması ile ilgili talepler de Database
Audit Vault kullanımı ile tamamıyla
karşılanmaktadır. Kısıtlamaların yanı sıra
ürünün içerisinde gelen raporlama özelliği
ve gerçek zamanlı izleme ile de güvenlik
politikaları, politika değişiklikleri, “yetkili
kullanıcıların” kritik kaynaklara erişim
detayları izlenebilmektedir. Database
Vault, Oracle eBusiness Suite üzerinde de
uygulanabilmektedir.
İÇTEN
DIŞA
.
GÜVENLIK
BASİSTEK
Bİznet Bİlİşİm
Biznet Bilişim, kurulduğu 2000 yılından bu yana ağ ve bilgi
güvenliği alanında projelendirme, danışmanlık ve denetim
hizmetleri sunmaktadır. Ar-Ge yatırımları ile elektronik imza,
elektronik fatura, kayıtlı elektronik posta (KEP), ISO 27001 Bilgi
Güvenliği Yönetim Platformu gibi özgün ve yenilikçi yazılımlar
geliştirir. Türkiye’nin en kapsamlı BT güvenlik ürün ve servis
portföylerinden birine sahip olan Biznet Bilişim, Payment Card
Industry Security Standards Council (PCI SSC) nezdinde Approved
Scanning Vendor (ASV) ve Qualified Security Assessor (QSA)
sertifikalarına sahip PCI DSS denetimleri yapmaya yetkili tek
Türk firmadır.
IT sektöründe danışmanlık vermek amacıyla 2008 yılında kurulan
BASISTEK, bilgisayar ve yazılım mühendislerinden oluşan
deneyimli kadrosu ile SAP ve HP altyapı ve yönetim yazılımları
kurulumunda uzman kadrosu ile geniş bir müşteri kesimine katma
değerli hizmetler sunmaktadır. BASISTEK, sektörel çözümlerden
iş çözümlerine; sistem entegrasyon çalışmalarından dış kaynak
kullanımına, servis ve bakım hizmetlerinden danışmanlığa kadar
geniş bir yelpazede güvenilir bir teknoloji ve iş ortağı olarak
müşterilerine rekabet avantajı sağlamayı ilke edinmiştir.
Basistek Bilgi Teknolojileri Sanayi ve Ticaret Ltd. Şti.
Biznet Bilişim Sistemleri ve Danışmanlık San. Tic. A.Ş.
GRID TEKNOLOJİ
InspireIT
Altıntepe Mah. Galipbey Cad. No:127 CS Plaza Kat : 2
Küçükyalı – Maltepe – İstanbul
Telefon : 0216 549 19 73
Faks : 0216 549 19 74
E-Posta: [email protected]
Adres: ODTÜ Teknokent İkizler Binası Kat 1 A-2 Blok
06800 Çankaya / Ankara
Telefon: 0312 210 11 77
Faks: 0312 210 11 67
E-Posta: infobiznet.com.tr
InspireIT, 2003 yılında Bilgi Teknolojileri konusunda, Avrupa,
Ortadoğu ve CIS bölgelerinde danışmanlık ve yazılım hizmetleri
vermek üzere kurulmuştur. Kuruluşundan bu yana geçen kısa
süre içerisinde, Oracle Veri tabanı, Orta Katman Teknolojileri ve
Veri Ambarı uygulamalarında dış kaynak sağlama, danışmanlık ve
eğitim veren; Uzaktan Sistem Yönetim Merkezi ile 7x24 Oracle Veri
tabanı ve Sistem Destek hizmetleri veren ve dağıtım sektörüne özel
Abone Yönetim Sistemi çözümü ile sektörel yazılım projelerinde
yer alan, alanında önde gelen bir teknoloji firmasıdır. Görev aldığı
tüm projeleri zamanında ve başarıyla tamamlayarak, her zaman
müşterilerinin güven duyduğu iş ortaklarından biri olmuştur.
Genel Müdürlüğü İstanbul’da bulunan GridTeknoloji, 15 yılı
aşkın deneyime sahip profesyonel kadrosu ile yurt içi ve yurt
dışında birçok müşteriye teknoloji hizmetleri sunmaktadır.
Kurumumuzun sunmuş olduğu hizmetlerin başında Oracle Veri
tabanı Database Firewall, Audit, penetrasyon hizmetleri, 7*24
destek, Cluster ve Disaster çözümleri, HealtCheck ve Remote
DBA bakım hizmetleri bulunmaktadır. Oracle danışmanlık
çözümlerinin yanı sıra birçok kuruma proje yönetimi ve planlama
hizmetleri, Java Web Socket teknolojisine sahip yazılım
geliştirme gibi çözümler de sunmaktayız.
Grid Bilişim ve Bilgi Teknolojileri Dan. Tic Ltd Sti.
Inspirit Bilgi Teknolojileri Yaz.Dan.Tic.Ltd.Şti.
KOÇSİSTEM
METOD BİLİŞİM
Libadiye Cad. Tahralı Sk. Tahralı Sitesi Kavakyeli Plaza
B Blok D:8 Ataşehir 34704 İstanbul / Türkiye
Telefon: 0216 317 77 70
Faks: 0216 317 77 24
Ataşehir Bulvarı Gardenya Plaza 3
Ofis 11 Ataşehir 34758 İstanbul
Tel : 0216 548 11 91
Faks: 0216 549 1192
E-posta: [email protected]
Metod Bilişim Hizmetleri, Oracle teknolojileri konusunda
kurumlara özgü bilişim çözümleri üreterek iş dünyasının
dinamiklerine uygun, sağlam, kalıcı ve sonuca odaklı
hizmetler veren bir danışmanlık şirketidir. Oracle’ın Gold
Partner’ı olarak lisans çözümleri de sunan Metod Bilişim
Hizmetleri bünyesinde 2012 yılında kurulan Metod Oracle
Akademi, Kozyatağı’ndaki dünya standartlarındaki eğitim
sınıflarıyla, Oracle Üniversitesi’nin resmi lokasyonu olarak
sertifikalı ve ileri düzey Oracle eğitimleri vermektedir.
Metod’un Oracle eğitimi verdiği kişilerin sayısı 6000’in
üzerindedir.
Türkiye Bilgi Teknolojileri sektörünün lider oyuncularından
biri olma özelliğini yıllardır koruyan KoçSistem, 1945’ten bu
yana müşterilerinin bilgi teknolojisi çözümlerine ilişkin ihtiyaç
ve beklentilerini güvenilir, kalıcı ve yenilikçi bir işbirliğiyle
karşılamak ve en yüksek katma değeri almalarını sağlama
hedefiyle çalışmaktadır.
Sürekli gelişimini ve kurumsal var oluşunu, “Gücümüz, hayal
gücünüz” söylemiyle özetleyen KoçSistem, müşteriye özgün
teknoloji çözümleri ve dış kaynak hizmetleriyle müşterilerinin
sürdürülebilir büyüme hedeflerini “fark yaratma” stratejisiyle
gerçekleştirmektedir.
KoçSistem Bilgi ve İletişim Hizmetleri A.Ş.
Ünalan Mah. Ayazma Cad. Çamlıca İş Merkezi
B3 Blok Üsküdar 34700 İstanbul
Tel: 0216 556 11 00
Faks: 0216 566 11 88
ORATURK
Oracle Türkiye bünyesinde çalışmış profesyoneller tarafından
2006 yılında kurulan Oraturk, Oracle İş Uygulamaları ve Oracle
Teknolojileri konusunda derinlemesine bilgi ve deneyimini sayesinde,
müşterilerinin ihtiyaçlarına özel çözümler sunan danışmanlık, eğitim,
teknik destek ve dış kaynak sağlayıcı bir teknoloji firmasıdır.
Müşterilerinin ihtiyaçlarını ve teknolojideki gelişmeleri sürekli
olarak takip eden Oraturk, yaptığı işi sahiplenen, esnek yaklaşımı
ile Türkiye, Avrupa ve Ortadoğu’daki özel müşterilerine “Butik
Danışmanlık” felsefesi ile değer katmaya devam etmektedir.
Kuruluşundan bugüne Türkiye’nin önde gelen özel firmaları için
çalışma fırsatı yakalamış olan Oraturk, başarılı projeleri ve tecrübesi
ile Türkiye’ de Platinum Partner olarak hizmetlerini sunmaktadır.
ORATURK Bilgi Sistemleri Eğitim ve
Danışmanlık Dış Tic Ltd Şti.
Büyükdere Cd. No:185 KANYON Ofis Binaları
Kat:6 Esentepe Şişli Istanbul
Tel: 0212 319 7707
E-posta: [email protected]
Metod Bilişim Hizmetleri
İçerenköy Mah. Eski Üsküdar Yolu Cad. Bodur İş Merkezi
No:8 Kat 3 Daire 13 34752 Ataşehir-İstanbul
Tel: 0 216 629 01 43 Pbx
Fax: 0 216 629 01 45
Email: [email protected]
Oracle güvenlik çözümleriyle ilgili
detaylı bilgi almak için
www.bilgicozumleri.com/guvenlik
adresindeki kayıt formunu doldurarak sizinle
iletişime geçmemizi sağlayabilir veya
0212 335 22 38
numaralı telefonumuzdan bize ulaşabilirsiniz.
Bu sayfada Oracle iş ortakları isim sırasına göre dizilmiştir.
Bu belge sadece bilgi amacıyla sunulmaktadır ve belgenin içeriği
herhangi bir uyarı yapılmaksızın değiştirilebilir.
Oracle bu belgede sunulan içerikle ilgili herhangi bir sorumluluk kabul etmemektedir.

puSulA - Bilgi Çözümleri

Transkript

Benzer belgeler

Android Projeleri • GPS takip sistemi Çalışanların anlık

Oracle Accelerate Presentation

Cloud computing

Sunum Dosyası için lütfen tıklayınız.

Oracle Database 10g Express Edition Kurulumu

TC Kimlik No Sorgulama - Sorgulama İşlemleri - sorgulama

Oracle Book Version.2.0

HB1002: ORACLE 10G VERĐTABANI – PL/SQL