Çözüm odaklı sızma testleri

Günümüzde gerek yasal zorunluluktan, gerekse iş gerekliliklerinden dolayı sızma testi (pentest) gerçekleştirmek durumunda olan birçok şirket mevcut.
Bu testlerde genelde var olan yapının durumu, gelecekte başa gelebilecek tehditler, durum analizi gibi sonuçlar alınmakta. Ancak çoğu zaman pentest raporları hedefledikleri farkındalığa ulaşamamaktalar.
Bu raporlar genellikle birkaç toplantı sonrası arşivlenerek, ileriki tarihlere ertelenen veya çoğu zaman sonuç oluşturulamayan raporlar haline geliyor ne yazık ki.
Aslında bunun önüne geçmek oldukça kolay, yapılması gereken çok daha çözüm odaklı, çok daha sonuç odaklı raporlar yazmak. Genel olarak da “korku” politikası yerine, “gerçek” durum ortaya konulmalı.
Gerçeğin iyi anlaşılabilmesi kesinlikle kilit noktayı oluşturuyor. Bunun içinde anlaşılabilirlik önemli. Yalın bir dil her zaman için avantaj tabii ki ancak göz önünde olması gereken birkaç küçük husus da var.
Mesela;
Her zaman sistemin tamamen ele geçirilmiş olması hedef olmamalı, bunun yerine sistemlerin, işletme açısından kritik önemi ve buradaki zafiyetin iş süreçlerine etkisi çok net ortaya konulmalı. Kısacası burada işletme için önemli olan risk seviyesinin ve zararın maddi manevi ne şekilde ortaya konacağının belirtilmesi.
Raporu okuyacak kişilerin veya sonuçları uygulayacak kişilerin sızma testi uzmanı olmadığı kabul edilmeli. Yönetici özeti yazarken kullanılan yalın dil ve anlaşılabilir olmak ilkeleri raporun tamamına sirayet etmeli.
Daima çözüm önerileri belirtilirken, açıklık veya zafiyet hakkında detaylı bilgi verilirken, yine yalın bir üslup ile, çözümün adım adım nasıl sonuçlandırılacağı da belirtilmeli. Böylelikle kurumun sonuca hızlıca ulaşarak yukarıda bahsettiğim zararlara uğramaması sağlanmalı.
Çözüm önerileri yazıldıktan sonra, bunun nasıl kontrol edileceği de belirtilmeli, eğer mümkünse teknik seviyesi çok yüksek olmayan bir uzman için bile kontrol sağlanabilir bir şekilde adımlar belirtilmeli. Yada düzeltme testi sırasında bu testler gerçekleştirildiğinde raporuna eklenmeli.
Elde edilen bulgular raporlanırken, mutlaka bu bulgunun etkisi ile birlikte gerçekleşme olasılığı da belirtilmeli. Bu durumlar göz önüne alınarak risk değerlendirme ve rapordaki risk seviyesi belirtilmeli. Böylelikle kurum için öncelikli hareket alanlarının tarifi ve hareket alanlarının belirlenmesinde yol gösterici bir belge yaratılmış olmalı.
Bu yapısal uygulamar eşliğinde ortaya çıkacak bir rapor, çok daha çözüm odaklı, çok daha net, anlaşılır ve açık olacaktır.
Unutulmamalıdır ki ortaya konacak değer karşıdan anlaşılmadığı sürece hakettiği verimi oluşturamayacaktır.