TOPIC:

Doküman, proje yönetim sürecine güvenliğin kontrol noktaları olarak entegre edilmesi sırasında kazanılan tecrübeleri ve pratik önerileri içermektedir.

Bu yazıda;
Kurumsal güvenlik master planından bahsetmiyoruz. Yani kurumsal seviyede güvenlik planları, stratejileri, çalışma takımları veya süreçleri ile ilgilenmiyoruz.
Proje risk yönetiminden bahsetmiyoruz. Yani her projenin sağlıklı olarak ilerlemesi önündeki problemleri öngören ve önleyen adımlar ile ilgilenmiyoruz.
Güvenli yazılım geliştirme döngüsü içersindeki güvenlik adımlarından bahsetmiyoruz. Yani odağımız yazılım geliştirme süreci içersine güvenliği entegre etmek için kullanılan yöntemlerin detayları değildir.
Motivasyon

Projelerin sağlıklı olarak hayata geçirilmesinin kurumların yaşamlarını devam ettirmelerinde önemi tartışılmaz. Güvenlik açıkları ile servise çıkmış bir projeyi bir yana bırakırsak, bu açıklıkları sömürülmüş ve hem basına malzeme olmuş, güven kaybı yaşamış hem de direk maddi zarara uğramış bir projenin kuruma sarsıcı etkisi kaçınılmazdır.Güvenlik açıkları belirlenen servis vermeye başlamış bir projede açıkların tespiti ve giderilmesinin maliyet açısından yüksek olacağı herkesçe bilinen bir gerçektir. Örnek olarak, kullanıcılarına thick client (akıllı istemci) olarak yüklenmiş bir yazılımda çıkabilecek ciddi bir güvenlik probleminin düzeltilmesi kullanıcı tabanının genişliğine bağlı olarak sancılı olacaktır.
Proje sürecinin, erken safhalarından başlayarak güvenlik perspektifi ile analiz ve kontrol edilmesi bir çok riskin oluşmadan veya projenin servise çıkmadan kapatılmasına yardımcı olacaktır.

Proje Yönetimi ve Güvenlik

Proje yönetimi, kaynakların bir projenin belirlenen kapsam, zaman ve maliyet dahilinde organize edilmesi ve yönetilmesi disiplinidir.

Genel bir proje akışı Şekil 1’de gösterilmektedir [1]. Başlangıç aşamasında hedefler ve projede görev alacak ana roller belirlenir. Sponsor, proje yöneticisi, analisti bu rollerden bazılarıdır. Planlama aşamasında belirlenen hedeflere ulaşmak için yapılması gereken işlerin sıralanması yapılır. Uygulama fazında, belirlenen bütün işler uygulamaya konur. İzleme fazı genellikle uygulama aşamasında gelişen işlerin belirlenen hedefler yönünde ilerleyip ilerlemediğinin yönetimi ile alakalıdır. Kapanış fazında, süreç ile alakalı eksiklikler, ilerlemeler ve orjinal hedefler ile karşılaştırmalarını içeren kapanış raporları üretilir.
Planlama aşamasının alt parçalarından biri analiz ve tedarik aşamalarıdır. Bu safhalarda oluşturulan planlama dokümanı olgunlaştırılarak onaylanır. Bu doküman proje geliştirmesi ile ilgili bütün detayları içermektedir. Dokümanın geliştirilmesi uygulama aşamasının da içinde olabilecek dizayn safhasında da ilerletilebilir. Projenin güvenli bir şekilde hayat geçmesi için bu sürece kontrollerin entegre edilmesi gerekmektedir.

Süreç içerisindeki ana güvenlik kontrol noktaları;

başlangıç veya planlama aşamasında tanımlanan roller içerisinde güvenlik kontağının belirlenmesi,
planlama veya uygulama aşamasının erken safhalarında yapılacak toplantılara güvenlik kontağının katılması ve proje ile alakalı olarak bilgilendirilmesi,
güvenlik kontağının projenin güvenlik analizi kapsamına alınıp alınmayacağını belirlemesi,
güvenlik kontağının toplantı notları ve sorularına aldığı cevaplar neticesinde ürettiği (projenin güvenli bir biçimde gelişmesi ve servise açılması için uyulması gerekli maddeleri içeren) güvenlik gereksinimleri dokümanının, belirlenmiş riskler varsa proje yöneticisi ve analisti ile paylaşılması,
uygulama ve izleme aşamasında çıkan servislerin genellikle test ortamlarında zaafiyet analizinden geçirilmesi ve sonuçların paylaşılması yolu ile giderilmesi,
kapanış aşamasında, güvenlik kontağının onayının alınması

Tecrübeler

A. Güvenlik Analiz Kapsamı
Proje sayısı ve güvenlik analisti sayısının birbirine oranı düşünüldüğünde, her projenin güvenlik analizi anlamında yeterli özeni görmeyeceği bir gerçektir. Bu nedenle projeler kurumlara has belirli kriterlere göre değerlendirilerek, güvenlik analizi kapsamına alınıp alınmayacağı belirlenmelidir. Bu da çoğu zaman toplantılara katılmadan, proje detayları ve o zamana kadar hazırlanmış analiz dokümanları okunarak karara bağlanabilir. Bunun yanında sorular direk olarak proje yöneticisine yönlendirilebilir.Güvenlik analiz kapsamı kriterlerinden bazıları;


son kullanıcılara açılacak yeni arayüzler, kaynak kod, protokol değişiklikleri,
kimlik doğrulama mekanizmasındaki değişiklikler,
yeni sistem/sunucu kurulumu,
sunucu lokasyon/segment değişiklikleri,
network alt yapısı değişiklikleri,
kurumun servislerine has verilerde değişiklikler, yenilemeler, v.b. (Kredi kartı, müşteri, lokasyon, uygulama kayıt bilgileri)
IP kısıtlama, izin verme işlemleri
...


Yukarıdaki kriterlerden kurum için hassas olanlara dokunan projeler güvenlik kapsamına alınır ve müdahil olunarak analiz edilirler.

B. Güvenlik Analizi
Proje sürecinde proje yöneticisi, analisti ve geliştiricileri ile yapılan toplantılar, soru-cevap oturumları sonucunda uygulamanın güvenli geliştirilmesi için gerekli aksiyonlar belirlenir. Bu aksiyonların saklanması, izlenmesi, raporlanması Proje Yönetim yazılımları ile mümkün olmayabilir. Bu nedenle özelleşmiş ayrı bir yazılım kullanılması gereklidir. Yazılım;

1. Projeleri güvenlik durumlarına göre kategorize etmelidir. Bu kategoriler, güvenlik analistinin proje yönetimi aşamalırından bağımsız fazlarını göstermelidir;


Projeye güvenlik analisti atandı,
Proje risk görülmeden onaylandı,
Proje için alınması gereken güvenlik aksiyonlarını belirlendi,
Alınması gereken aksiyonlar alındı ve proje risk içermeden onaylandı,
Proje riskler ile onaylandı
...


2. Barındırdığı güvenlik aksiyonlarını bir standarddan almalıdır (ISO 270001, PCI-DSS, SOX, v.b). Böylece güvenlik analizi standardlara yaklaşacak ve sonra yaşanabilecek politika uyumluluk yükü hafifleyecektir.3. Böyle bir araç, standard Proje Yönetimi yazılımından farklı olacağından proje yöneticileri, analistler, operasyoncular ve diğer yöneticilerin kolaylık erişebilmeleri için kurum içinde geçerli kimlik doğrulama mekanizmalarına entegre olmalıdır (Windows Auth, LDAP, v.b.).
3. Üst yönetimde aksiyonların ve risklerin kapatılması için gerekli kol gücünü elde edebilmek ve bilgi güvenliği takımları için her zaman sorun olmuş ROI problemi için güvenlik analizlerinden çıkarılacak sunuma hazır özel raporlar üretmelidir.

C. Risk Kabulü
Analiz sonucunda bulunan aksiyonlar ve uygulama fazının içerisinde test aşamasında yapılan teknik zaafiyet araştırması sonucu bulunan kritik açıklıklar giderilmedikleri takdirde risklere dönüşürler. Söz konusu proje ile ilgili riskler kaldırılamıyorsa, risk kabul süreci çalıştırılmalıdır. Proje ile ilgili riskler, ilgili iş sahibine/talep sahibine aktarılıp, onayı alınmalıdır. Onay verilmeyen projeler hayata geçirilmemeli ya da ilgili aksiyonlar tamamlanana kadar bekletilmelidir.

D. Güvenlik Farkındalığı
Bütün süreci organize eden proje yöneticilerinin güvenlik adımları ve aksiyonlar ile ilgili farkındalıklarını arttırmak anahtar bir role sahiptir. Güvenlik kontaklarının atanması, toplantılara davet edilmesi, belirlenen güvenlik aksiyonların yerine getirilip getirilmediği proje yöneticisi tarafından izlenmelidir. Ayrıca proje yöneticisi risk kabulü süreci ile birebir ilgilenir. Bütün bu adımları sorunsuz ilerletmek için proje yöneticilerinin kısa ve temel güvenlik analizi farkındalık eğitiminden geçmeleri faydalı olacaktır.

E. Go / No Go Kararı
Projelerde,

unutulmuş güvenlik analisti atamaları,
giderilmemiş güvenlik aksiyonları
gibi durumlar oluşabilir. Bu gibi durumlarda proje, kullanıma güvenlik analizi yapılmadan açılacaktır. Bu gibi durumları engellemek için, proje yönetim sürecinde en son fazda (Kapanış) güvenlik onayı kontrolü konmalıdır (Şekil 2). Bu onay verilmedikçe proje kapanmamalıdır.