27.03.2025 tarih ve 2025/19 numaralı Sermaye Piyasası Kurulu Bülteni’nde Bilgi Sistemleri Yönetimi Tebliği kapsamında, aracı kurumların “sızma testi” sebebiyle idari para cezasına maruz kaldığını görmekteyiz. Hal böyle olunca, sızma testinin ne olduğunu siz değerli okuyucularımıza açıklamak farz oldu.
Sızma testi tabiri, Bilgi Sistemleri Yönetimi Tebliğinde yer almaktadır. Sızma testlerinin amacı, Kurum, Kuruluş ve Ortaklıkların bilgi sistemlerinde tespit edilen açıklıkların ve zafiyetlerin kullanılmasıyla sistemlere sızma girişimlerinin önceden tespit edilmesi ve düzeltilmesidir.
Sızma testleri, belirlenen kullanıcı profilleri ve erişim noktaları üzerinden gerçekleştirilir. Testler; sistem ve servis tespiti, açıklık taraması gibi adımlarla başlar ve her erişim noktası için belirlenen adımlarla devam eder.
Tespit edilen açıklık ve bulgular, hem tek tek hem de birlikte oluşturabilecekleri riskler açısından değerlendirilir. Bulgular, belirlenen önem derecelerine göre raporlanır ve bu dereceler varlığın değerine bağlı olmaksızın belirlenir.
Varlıkların değerine göre aksiyon alma sorumluluğu ilgili kurumlara aittir. Testler sırasında, kurumların faaliyetlerini aksatmayacak yöntemler tercih edilir ve kesintiye yol açabilecek testler mutlaka ilgili kurumlarla koordinasyon içinde yürütülür.
Sızma testleri sonrası tespit edilen bulgular, önem dereceleri, ilgili varlıkların değeri ve raporlardaki öneriler dikkate alınarak, yönetim kurulları tarafından onaylanan bir aksiyon planı çerçevesinde takip edilir. Bu plan, bulguların en kısa sürede giderilmesini amaçlar.
Gerekli görüldüğünde, bu tespitler kurumların teftiş kurullarının iç denetim planına da eklenebilir. Sızma testi raporları ise tamamlandıktan sonra bir ay içinde Kurula iletilir.
Yorumlar kapalı.