Zafiyet Yönetimi

Zafiyet; sistemlerde tehditlere kaynak ya da hedef olarak kullabılabilecek açıklıklara verilen genel isimdir.

Zafiyet yönetimi, mevcut zafiyetlerin ortaya çıkarılıp, tanımlanması, risklerinin belirlenmesi ve değerlendirme akabinde bu zafiyetlerin düzeltilip, oluşturdukları risklerin ortadan kaldırılmasını içerir. Zafiyet yönetiminde açığa çıkarılan risk, kurum politikalarınca sorun teşkil etmiyorsa, riskin ilgili zafiyetin olduğu kuruluş tarafından resmi olarak kabul edilmesiyle zafiyet yönetimi süreci sonuçlanır.

Zafiyet taraması zafiyet yönetim sisteminin bir parçasıdır. Zafiyet taraması araması; ağlardaki, bilgisayar altyapılarındaki ya da uygulamalardaki zafiyetleri bir bilgisayar programı kullanarak çıkarmayı içerirken, zafiyet yönetimi, zafiyeti çevreleyen ve risk kabulu ya da iyileştirmesi gibi konuları da kapsayan sürece verilen addır.

Zafiyet yönetimi ağ güvenliği yönetimine öngörüşçü hazırlıklı ve tedbirli bir yaklaşımdır. Zafiyet yönetimi süreci etkin çalışmayan bir kuruluş bünyesindeki açıklıklara karşı kör ve savunmasızdır ve saldırganların ağına girip, bilgilerini çalmasından ancak zafiyetlerinin tanımlanıp, mevcut zafiyetleriyle ilgili tedbir alınmasıyla korunabilir.

Zafiyet yönetimi; hazırlanma, zafiyet taraması iyileştirici aksiyonların tanımlanması, iyileştirici aksiyonların uygulanması ve akabinde tekrar tarama yapılması gibi ana süreçlerden oluşur.

Zafiyet yönetim sistemini verimli bir şekilde sonuçlandırabilmek için;

  • Kuruluşlardaki çalışan görevlerini ve sorumluluklarını iyice gözlemleyip, kuruluşa en uygun zafiyet tarama yönetiminin seçilmesi,
  • Bu yöntemin doğru ve verimli bir şekilde yapılandırılıp, ayarlanması ve zafiyet yönetimine başlarken yapılan ilk zafiyet taramalarının kapsamının sınırlandırılıp, zafiyet tarama aracıyla zafiyetlerin belirlenmesi,
  • Belirlenen zafiyetlerin seviyesine göre öncelik sırasına sokulması, bu sıraya göre alınacak önlemler ve yapılabilecek düzeltmeler, ağ güvenliği politikalarında değişiklik yapılması, yapmaların yükseltilmesi, ilgili kuruluştaki güvenlik ya da bilgi güvenliğiyle ilgili eğitim faaliyetlerinin gerçekleştirilmesine kadar çeşitlilik gösterebilir.

Bu Hizmet Kapsamında Çalışılan İş Ortakları