Fintech girişimleri için siber güvenlik ipuçları

20 Eylül 2017
208 Görüntüleme

Bankalararası Kart Merkezi Bilgi Güvenliği, BT Uyum ve Hizmet Yönetimi Direktörü Bülent Muşlu, Medium hesabında kaleme aldığı bir makale ile FinTech girişimleri için siber güvenlikte dikkat etmeleri gereken noktara dikkat çekiyor.

Bankalararası Kart Merkezi Türkiye’nin lider ve doğal FinTech kurumlarından birisi. BKM çatısı altında çalışan yöneticiler ve mühendisler bu noktada sadece kurum içi değil kurum çevresi ve genel FinTech ekosisteminde bilinci artırmak ve nitelikli içerik üretmek için de gayret gösteriyorlar.

Bilgi Güvenliği, BT Uyum ve Hizmet Yönetimi Direktörü Bülent Muşlu, popüler ve entellektüel içerik platformu Medium üzerindeki hesabında bir yazı kaleme alarak FinTech girişimlerinin siber güvenlik açısından dikkat etmeleri gereken noktaları maddeler halinde paylaştı. İşte o yazı;

Fintech StartUp’lar için Siber Güvenlik İpuçları

Süper bir fikriniz var, üretim planınız hazır, sponsor ayarlanmış durumda ve başlıyorsunuz. Peki ürününüzün daha müşterileri ile tanıştığı ilk gün müşteri güvenini kaybetmenize sebep olabilecek bir siber saldırıya hazır mısınız? Alınması gereken tedbirleri ve yapılmaması gereken hataları aşağıda sıralamaya çalıştım :

1. Siber Güvenlik bir süreçtir :

Her süreçte olduğu gibi bir akış, sürecin sahibi, kuralları, yöntemleri ve uygulayıcıları olmalıdır. Ortaya çıkaracak olduğunuz ürünü bir servis mantığında kurgulayıp Siber Güvenlik konularında ekip içinde bir lider seçmeli ve tüm paydaşların bu liderin öncülüğünde organize olmasını sağlamalısınız.

2. Uyum ve Regülasyon Konuları Göz önünde bulundurulmalı :

Projeye göre uyulması gereken kanun ve regülasyonlar bilinmeli ve takip edilmeli. Müşterinin kişisel bilgilerinin saklanması ve kullanılması konusunda sınırlar ve yöntemler sıkı takip edilmeli, bu konuda bir sorumlu kişi atanmalıdır. Uyulmadığı takdirde ciddi cezalar ve itibar kaybına sebep olabilecek tüm riskli alanlar tespit edilmelidir.

3. Özelleştirilmiş, Görev Bazlı Güvenlik Eğitimleri Düzenlenmeli:

Ekip içinde herkesin siber güvenlik konusunda farkındalığının gerekli olmasının yanı sıra, görevlerine göre özelleştirilmiş güvenlik eğitimleri alınmalıdır. Geliştiricilerin, teknik ekibin kendi sorumlulukları ile ilgili güncel Siber Güvenlik bilgilerine sahip olmaları gereklidir.

4. Siber Saldırı Yöntemleri hakkında bilgi sahibi olunmalı :

Kötü amaçlı kişilerin kullanmış oldukları çok farklı saldırı yöntemleri bulunmaktadır. Ancak bunlar içerisinde en çok kullanılanlarının bilinmesinde fayda vardır. 80/20 kuralını hatırlayın !. Bu yöntemlerin en bilinenlerini aşağıdaki linki tıklayarak okuyabilirsiniz :

https://www.ncsc.gov.uk/white-papers/common-cyber-attacks-reducing-impact 

5. Güvenlik ürünün bir parçası olmalı :

Çözümünüze her eklediğiniz parçanın güvenli olmasını sağlamak için çaba göstermek yerine, baştan güvenli çözümler tasarlamak (“security by design”) en doğrusudur. Kolay bir iş olmasa da, maliyeti bulunsa da en doğru yöntem budur. Güvenlik kaygısı duyulmadan üretilen çözümlerin, yagınlaştıktan sonra güvenli hale getirilmesinin maliyetinin fazla olması ve bazı durumlarda imkansızlığı ile ilgili pek çok örnek bulunmakta. Özellikle sonraki aşamada kurumsal firmalarda boy göstermesi planlanan startup’lar için güvenli çözümler çok önemlidir.

6. Güvenli Yazılım Kodu Geliştirme Standartlarına Uyulmalı :

Kod geliştirirken basit bir takım önlemlerle büyük güvenlik açıklarının önüne geçilmesi mümkündür. Neler mi yapılabilir ? Yazılımın güvenlik standartlarına uygun geliştirilip geliştirilmediği ortaya çıkaran ücretli/ücretsiz ürünler bulunmaktadır. Ayrıca bu konuda endüstri standardı olmuş yöntemlere aşağıdaki link aracılığıyla ulaşabilirsiniz :

https://www.owasp.org/index.php/Top_10_2017-Top_10

7. Güvenlik Testleri Yazılım Geliştirme Sürecinin bir parçası olmalı :

Yazılıma entegre edilmiş güvenlik özellikleri test edilmeli, belirli sayıdaki başarısız oturum açma denemelerinden sonra kullanıcı kilitlenmesi, işlem sınırlaması gibi yazılımın güvenliği ile ilgili kavramlar göz önünde bulundurularak, yazılım geliştirildikçe güvenlik testleri de gerçekleştirilmeli, fonksiyonel testlerin yanında güvenlik testleri de yer almalıdır. 

8. Sızma testleri yaptırılmalı :

Güvenlik kuralları göz önüne alarak geliştirilmiş, tüm güvenlik testlerinden geçmiş bir yazılım bile üretime alındığında çok farklı saldırı yöntemleri ile sızma testlerine tabi tutulmalı. Unutmamalı ki bir hacker gözü ile yapılan sızma testleri, her zaman farklı açıkların varlığını bize göstermektedir.

9. Güvenlik Sektöründeki gelişmeler, haberler takip edilmeli :

Gün geçmiyor ki daha önceden keşfedilmemiş bir açıklık tespit edilmesin, bu açıklıktan etkilenen kişi, firma, sektör, ülkeler ifşa olmasın. Özellikle tespit edilen açıklıklar sonrası çıkan yamalar takip edilmeli ve soruna sebep olmadan girişimlerinizde uygulanmalı.

Bu yazının orjinaline Bülent Muşlu’nun Medium hesabından ulaşabilir, kendisini Twitter hesabından takip edebilirsiniz.

Ayrıca BKM Bilgi Güvenliği bölümündeki uzmanların güncel siber güvenlik bilgileri ve tavsiyeleri paylaştıkları Bilgi Güvende Twitter hesabını da takip etmenizi şiddetle tavsiye ediyoruz.

Bunlar da İlginizi Çekebilir

Akbank “Akıllı İnteraktif Programatik TV” ile bir ilke imza attı
Bankacılık
10 görüntüleme
Bankacılık
10 görüntüleme

Akbank “Akıllı İnteraktif Programatik TV” ile bir ilke imza attı

Yazar 03 - 18 Kasım 2017

Akbank tarafından tamamlanan bu projeyle müşteriler televizyonlarından kredi notlarını öğrenebilmesinin yanında kredi başvurusu da yapabilecek. Akbank Direkt Bankacılıktan Sorumlu Genel…

Kripto Paralar, Bitcoin ve Blockchain
Bitcoin
114 görüntüleme
Bitcoin
114 görüntüleme

Kripto Paralar, Bitcoin ve Blockchain

Yazar 03 - 18 Kasım 2017

Kadir Has Üniversitesinde öğretim görevlisi ve NTV'de ekonomi danışmanlığı ve yorumculuk görevlerini sürdüren deneyimli hocalamız Mahfi Eğilmez, internet sitesinde kripto…

Chris Skinner finans sektörü dinamiklerini anlattı
Haber
141 görüntüleme
Haber
141 görüntüleme

Chris Skinner finans sektörü dinamiklerini anlattı

Yazar 03 - 17 Kasım 2017

Wall Street Journal Financial News tarafından finans teknolojileri alanında en güçlü kişileri arasında yer alan  Chris Skinner, Türkiye Sermaye Piyasaları…

Bir Yorum Yazın