A. Loglama ve İzleme Nedir?

Loglama ve izleme, bilgi sistemlerinde gerçekleşen tüm kritik olayların kayıt altına alınması ve bu kayıtların düzenli olarak gözlemlenmesini kapsar. Sistem davranışlarının analizi, güvenlik ihlallerinin tespiti ve adli bilişim süreçleri için kritik öneme sahiptir.

B. Loglama ve İzleme Sürecinde Alınması Gereken Temel Önlemler

1. Merkezileştirilmiş Log Yönetimi:

- Tüm sunucular, ağ cihazları ve güvenlik sistemlerinden loglar merkezi bir sistemde toplanmalıdır (örneğin: SIEM).

2. Olay Günlüklerinin Kapsamı:

- Kim, ne zaman, neye erişti, ne yaptı gibi bilgiler kayıt altına alınmalıdır.

3. Zaman Damgası Kullanımı:

- Loglar UTC uyumlu zaman damgası ile işlenmeli ve değiştirilemez şekilde saklanmalıdır (5651 uyumu).

4. Erişim Kontrolleri:

- Loglara yalnızca yetkili kişiler erişebilmeli, loglar şifrelenmeli ve bütünlüğü korunmalıdır.

5. Otomatik Alarm ve Korelasyon:

- Şüpheli aktiviteler (brute-force, yetkisiz erişim denemeleri) için otomatik uyarı sistemleri tanımlanmalıdır.

6. Saklama Süreleri:

- Log kayıtları, yasal düzenlemelere uygun süre boyunca (Türkiye'de min. 1 yıl) saklanmalıdır.

7. İzleme Paneli ve Raporlama:

- SIEM sistemleriyle görselleştirme panelleri oluşturulmalı, haftalık/aylık güvenlik raporları hazırlanmalıdır.

C. Logların Güvenliği ve Kullanımı

- Log dosyaları sadece okunabilir formatta saklanmalı, silinme ve değişikliklere karşı koruma sağlanmalıdır.

- Adli bilişim süreçlerinde delil niteliği taşıyabilmesi için logların bütünlüğü kanıtlanabilir olmalıdır.

- Olay müdahale ve analiz ekiplerinin kullanımı için log yapıları standartlaştırılmalıdır.

Sonuç: Kayıt Yoksa Kanıt Yok, İzleme Yoksa Güvenlik de Yok

Siber güvenlik sadece saldırıyı engellemek değil, yaşanan olayları doğru okuyabilmek ve gerektiğinde kanıtlayabilmektir. İşte bu yüzden loglama ve izleme sistemleri, bilgi güvenliğinin gözleri ve kulaklarıdır.

ISO 27001’in A.12.4 kontrol seti, olay kayıtlarının oluşturulmasını, korunmasını ve düzenli analiz edilmesini zorunlu kılar. Bu yalnızca teknik bir gereklilik değil; aynı zamanda yasal sorumlulukların (örneğin 5651) yerine getirilmesi, olay müdahale süreçlerinin çalışması ve iç denetimlerin sağlıklı yürütülmesi için de hayati bir zorunluluktur.

Merkezileştirilmiş log toplama sistemleri (SIEM), otomatik uyarılar, zaman damgalı kayıtlar ve şifrelenmiş log arşivleri; kurumun adli bilişim yeterliliğini doğrudan etkiler.

Bu nedenle loglama ve izleme, BT altyapısının “ekstra”sı değil, her güvenlik katmanının altında çalışan bir denetim sistemidir. Etkin güvenlik için önce gözetleme sistemi, sonra “önleme” stratejisi gelir.