Tesisat Dergisi 197. Sayı (Mayıs 2012)

156 Tesisat Dergisi Sayı 197 - Mayıs 2012 TEKNİK BİLGİ • İyileştirme, Değerlendirme aşamasında tanımlanan meseleleri özel tasarlanmış bir endüstriyel BT programı ile çözmek için gereken eylemlere hitap eder. • Yönetme, müşterinin, ağ güvenliği, destek verme ve eğitim de dâhil olmak üzere yaptığı Endüstriyel BT yatırımlarının yönetimini ifade eder. • Sigortalamak, müşteriye ait endüstriyel BT çözümlerinin tasarlandıkları şekilde çalışıp çalışmadığından emin olunması konusundaki metotlara hitap eder. Değerlendirme Aşaması Değerlendirme aşaması, endüstriyel BT yaşam döngüsü içinde çok önemlidir. Bu aşamada genel eksiklikler ve zayıflıklar, ulaşılmak istenen sonuç durumu ile karşılaştırılmaktadır. Dört aşamadan, belki de en aydınlatıcı olanı bu aşamadır. Değerlen- dirmeleri, sisteminin daha iyi yönetimine yardımcı olacak eylem önerileri takip etmelidir. Öneriler, tespit edilen açıklara mantıklı biçimde hitap edil- mesi için önem sırasına göre düzenlenmelidirler. Ayrıca, bütçe kurallarının sağlanması, İyileştirme aşaması için gereken çabanınbüyüklüğü ve kapsa- mı konusunda yardımcı olacaktır. Değerlendirme türleri, tesisatın kurulum anındaki ve uzun vadeli ihtiyaçlarına bağlı olarak değişmektedir. Bazı kurulumlar için, yasal değerlendirmeler ön plandadır. Ağ güvenlik açıkları ile ilgili acil endişeler varsa, ağ değerlendirmesi ideal bir başlangıç noktası olacaktır. Değerlendirme kategorileri şunlardır: • Güvenlik açığı değerlendirmeleri • Yasal Değerlendirmeler, • NERC CIP, CFATS, vb • Ağ Değerlendirmeleri • Risk ve hazırlıklı olma • Genel boşluk analizi ve proje planlama İyileştirme Aşaması Değerlendirme aşaması en aydınlatıcı olsa bile, İyileştirme aşaması, risk yönetimine, süreç, tek- noloji ve insan perspektiflerinden yaklaştığından dolayı en yoğun ve farklı aşama olabilir. Süreç, özellikle güvenliğe etki etmesinden dola- yı, iyileştirmeye genel bakışta önemlidir. Süreç, aşağıdakiler gibi süreçsel geliştirmeler içerir: • Yama Yönetimi • Güvenli Uzaktan Erişim • Anti-virüs • Yedekleme ve Restorasyon • Değişim Yönetimi • Çevre Güvenliği • Anti-Virus, McAfee gibi, • Yama Yönetimi,WSUS gibi • Beyaz Liste, Bit9 gibi, • Saldırı Tespit (IDS)/ Saldırı Önleme Sistemi (IPS) Tipping Point gibi • Sistem Açığı, Fire Eye gibi • Ağ izleme, SolarWinds gibi • Günlük Çözümleme, Splunk gibi Özetlemek gerekirse, iyileştirme aşaması, aşa- ğıdakileri de içerebilen özel olarak tasarlanmış bir Endüstriyel BT programı ile sonuçlanır: • Derinlemesine ağ tasarımında çok katmanlı güvenli savunma • Sistem sertleştirme • Test ve yedekleme çözümleri • Uyum ve yönetim geliştirme • Güvenlik bilinçlendirme programı Yönetim Aşaması Yönetim aşaması, müşterinin, ağ güvenliği, destek ve eğitim dâhil olmak üzere Endüstriyel BT yatırımlarının yönetimini içerir. Aşağıdaki özellikleri de içerebilir: • Sistemlerin ve teknolojinin sürekli yönetimi, aşağıdakiler de dâhil olmak üzere: - İş Akışı uygulaması - Anti-virüs ve yama yönetimi hizmetleri - Çevre yönetimi • Destek hizmetleri, aşağıdakiler de dahil olmak üzere: - Güvenlik araçlarının ayarlarının düzenli olarak yapılması - Sistem sağlığı ve performansını izleme - Ad-hoc destek sözleşmeleri Sigortalama Aşaması Sigortalama aşaması, Endüstriyel BT çözümle- rinin tasarlandıkları şekilde işlemelerini sağla- mak için gereken yöntemleri içerir. Programın izlenmesi aşağıdakileri içerebilir: • Değişim yönetimi • Yama yükleme doğrulanması ve anti-virüs güncellemeleri • Bir uyum tablosu kullanma • Aylık raporlama • Sistem sağlığı ve performans raporlama • Ve bazıları için, her yıl yenilenen NERC CIP Si- ber Güvenlik Açığı Değerlendirmesi (CSVA) [i] ABDSenatosu Ticaret, BilimveUlaştırma Komitesi önünde, JosephM. Weiss, Kontrol Sistemleri Siber Güvenlik Uzmanı’nın ifadesidir. 19 Mart 2009. Şekil 3. Risk yönetiminin en iyi uygulamalarının güvenlik şartları İnsani perspektiften bakıldığında, süreç kontrol ortamının güvenliğini etkileyen her bir kişi, güvenlik için geçerli risklerin ve düşüncelerin farkında olacak hale getirilmelidir. Bu amaç doğrultusunda, bir güvenlik farkındalık programı çok önemlidir. Güvenlik açıklarına maruz kalma potansiyeli hakkında bilgisi olmayan birey ve grupların olması alışılmadık bir durum değildir. Ek eğitimler gerekebilir. Her kuruluş içinde bu kilit alan için geçerli talimatlar ve yönetimlerin geliştirilmesi ve belgelendirilmesi en iyisi olacaktır. Aynı zamanda, kuruluşlar genişleme veya küçülme yoluyla veya diğer pozisyonlara kaydırma sebebi ile değiştikleri için, güvenlik bilinci de sürekli devam eden bir süreçtir. Genel olarak, insan perspektifi aşağıdakileri içerir: • Güvenlik Bilinçlendirme Programı • Güvenlik eğitimi • Politika ve yönetişim gelişimi • Tasarım ve uygulama kaynakları Teknoloji perspektifi; teknoloji de sürekli değiştiği için, birçok değişikliğe karşı ko- yabilecek bir perspektiftir. Bu alanda, ağ mimarisi, topolojisi ve süreç kontrol ağ tasarımının fiziksel ağ diyagramları, tekno- loji gereksinimleri gibi şeyleri belirlemek ve belgelemek önemlidir. Teknoloji, sunucu ve yazılım, dağıtım ve yapılandırma konusun- daki seçimi de kapsar. Sistem fiziki donanım ve sanallaştırma ihtiyaçları ve uygulama konuları bu alanda yer almaktadır. Sonra, raflarda bulunmayan ürünlerin (COTS) geniş bir ticari yelpazeden seçimi ve belirli bir alan için hangisinin en uygun olduğunun tespiti konusu vardır. COTS ürünlerinde aşağıdaki işlevleri yerine getirebilecek araçlar vardır: Honeywell Endüstriyel BT Çözümleri