Bu Help Net Security röportajında, Kiowa Security’nin kurucusu Robin Long, ISO/IEC 27001 bilgi güvenliği standardının uygulanmasına en iyi nasıl yaklaşılacağına dair görüşlerini paylaşıyor.
Long, kuruluşlara ayrıntılı bir proje yol haritası oluşturmalarını ve sertifikasyon denetimlerini erken bir aşamada ayarlamalarını tavsiye ediyor. Ayrıca, ISO 27001 Lider Uygulayıcı yeterliliğine sahip bir liderin de yer aldığı dahili bir ekibin seçilmesini tavsiye ediyor ve bazı durumlarda standarda yönelik en iyi yaklaşımın, tam uygulamaya başlamadan önce sınırlı sayıda “güvenlik kazanımına” öncelik vererek başlamak olabileceğini öne sürüyor. .
Sorulara geçmeden önce ISO 27001 ile ilgili birkaç genel nokta:
1. ISO/IEC 27001:2022 (“ISO 27001”) arkasındaki belgeler iki ana bölüme ayrılmıştır: birincil kılavuzu içeren ISO/IEC 27001’in kendisi ve ISO/IEC 27002 adı verilen ve listeleri listeleyen bir ‘kılavuz belge’ Birincil belgenin gerekliliklerine göre gerçekleştirilen risk analizine dayanarak belirlenebilecek ve uygulanabilecek önerilen bilgi güvenliği kontrolleri.
ISO 27001 aynı zamanda diğer standartların yanı sıra ISO/IEC 27000:2018 (BT güvenlik teknikleri) ve ISO/IEC 27005:2022 (Bilgi güvenliği, siber güvenlik ve gizliliğin korunması) tarafından da desteklenir.
Tüm bunlar, merkezi İsviçre’nin Cenevre kentinde bulunan Uluslararası Standardizasyon Örgütü (ISO) tarafından geliştirilmekte ve sürdürülmektedir.
2. Standarda sertifikalı uygunluk arıyorsanız yapmanız gereken bir takım şeyler olsa da aslında detaylar konusunda oldukça esnektir. 27001 belgesindeki zorunlu maddeler olan “gereksinimler” bile genellikle oldukça geniş bir yorum aralığına izin verir. ISO 27001’in, hassas bilgileri işleyen her tür ve boyuttaki kuruluş için herkese uyan tek boyutlu bir sistem olarak geliştirildiğini düşündüğünüzde bu mantıklıdır.
Böyle baktığınızda, hemen daha az korkutucu hale geliyor.
3. Devam edip ISO 27001’i uygulamaya karar verirseniz, projenin zaman çizelgesinde hangi tarihe kadar neyin başarılması gerektiğine ilişkin hedefleri tanımlayan ayrıntılı bir yol haritası hazırlamanız önemle tavsiye edilir (Gantt şemaları bunun için iyidir; onlara bakın) yukarı!). Bu, projenin kontrol altında tutulmasına yardımcı olur ve zaman ve bütçe aşımı riskini azaltır. Projeyi haftalık bileşenlere ayırmak da onu daha az göz korkutucu hale getirir.
4. Ayrıca standardın gerçekleştirilmesi, sürdürülmesi ve uygulanmasından sorumlu olacak (küçük) bir grup insanı da tanımlamanız gerekecektir. Buna ‘ISMS Ekibi’ diyebilirsiniz (burada ISMS, Bilgi Güvenliği Yönetim Sistemi anlamına gelir, ISO 27001’i tanımlamanın başka bir yoludur). Bu ekip ideal olarak BT, iş geliştirme ve veri koruma alanlarındaki uzmanlık ve deneyimi birleştirmeli ve üst yönetime giden bir kanala sahip olmalıdır.
Kuruluşların ISO 27001’in geniş kapsamlı kontrol ve gerekliliklerini, özellikle de bilgi güvenliği yönetiminde yeni olanlarını anlama ve uygulama konusunda nasıl yaklaşmalarını önerirsiniz?
Ben de bir danışman olarak çıkar çatışmasının farkındayım ancak ISO 27001’in uygulanması, iç denetim ve belgelendirme denetçileriyle etkileşim için dışarıdan tavsiye almanın mantıklı olduğunu düşündüğümü söylemeliyim.
Böyle bir danışmanın temel sorumluluklarından biri, hem yüksek hem de düşük seviyelerde standart ve genel olarak bilgi güvenliği yönetiminin anlaşılmasına yardımcı olmaktır. Örneğin ISO27002 kontrollerinin kapsamı gerçekten çok geniştir, ancak yetkin bir danışman bunları dikkatlice planlanmış bir sırayla tek tek ele alınan yönetilebilir bölümlere ayıracaktır.
Bir danışman tutmaya karar verseniz de vermeseniz de, BGYS Ekibi liderini ISO2 7001 Lider Uygulayıcı (LI) kursuna göndermek de oldukça iyi bir fikirdir. Bu kurslar genellikle yaklaşık üç gün sürer ve faydalıdır. ISO 27001’in kuruluşun projedeki kilit katılımcıların yeterliliğine dair kanıt sunmasını gerektirdiğini ve bir ekip üyesinin LI yeterliliğinin standarda ilişkin makul düzeyde bilgi ve bağlılığı gösterdiğini unutmayın.
ISO 27001’in uygulanması kaynak yoğun olabilir. ISO 27001 uygulaması için kaynakların ve bütçenin etkin bir şekilde tahsis edilmesi konusunda kuruluşlara, özellikle de KOBİ’lere ne gibi tavsiyeleriniz var?
ISO 27001’in uygulanmasının para ve diğer varlıklar açısından kaynakları, özellikle de insanların zamanını zorunlu olarak tükettiği doğrudur. Kritik soru, kaynak maliyetinin algılanan kazanımlarla dengelenip dengelenmediğidir ve bu büyük ölçüde tahsisin verimliliği ile ilgilidir. Bunu optimize etmek için kullanabileceğimiz diğer yöntemler arasında şunlar yer alır:
1. Yukarıda belirtildiği gibi, kuruluşu ayrıntılı (haftalık) düzeyde iki aşamalı sertifikasyon denetim sürecine kadar götüren bir yol haritasının kullanılması.
2. Sertifikasyon denetçisinin erken seçimi ve sertifikasyon denetimleri için geçici tarihler üzerinde anlaşmaya varılması. Bunu yapmanın faydaları arasında proje yol haritasının tanımlanmasına yardımcı olmak için günlükte bir bitiş tarihi almanın psikolojik yönü de yer alır. Belgelendirme denetimlerinin maliyeti de genel bütçenin önemli bir kısmını oluşturur ve belgelendirme kuruluşu bu aşamada bunlar için teklif verecektir.
İlk iki sertifikasyon denetiminin yanı sıra, birkaç (yaklaşık yıllık) gözetim denetimi ve üç yıl sonra yeniden sertifikalandırma denetiminin bulunduğunu unutmayın. Bu denetimlerin tümü elbette paraya mal olur ve bütçeleme gerektirir.
3. Aşağıdakilerle ilişkili potansiyel masraflar da dahil olmak üzere, daha az belirgin olan bazı masraflara dikkat etmek:
- İş sözleşmeleri, gizlilik sözleşmeleri vb. üzerinde değişiklik/ekleme yapılmasına ilişkin hukuki çalışmalar
- Gerekirse kalem testi/güvenlik açığı taraması
- Yüklemeyi seçtiğiniz yazılım, örneğin kötü amaçlı yazılımdan koruma, IDS vb.
Üst yönetimi ISO 27001 uyumluluğunun gerekliliği ve yararları konusunda ikna etmek için hangi stratejiler kullanılabilir?
Danışmanlık şirketleri bu soruyu web sitelerinde bir madde listesiyle yanıtlamayı çok seviyorlar.
Ancak, hemen hemen tüm durumlarda sadece tek bir temel faktörün söz konusu olduğunu ve bunun ticari bir faktör olduğunu söyleyebilirim: Standart sertifikasına ihtiyaç duyan potansiyel önemli müşteriler veya ortaklar belirlendi. Hassas sektörlerde (finans, kritik altyapı, sağlık…) faaliyet gösteren kuruluşlar bunu zaten öğrenmiştir veya öğrenme sürecindedir ve bunun hakkında söylenmesine gerek yoktur. Bilmiyorlarsa mutlaka söyleyin!
Tamamen geçerli ve inandırıcı olduğunu düşündüğüm diğer nedenler arasında şunlar yer alıyor:
- Bir kuruluşun bilgi güvenliği düzeyinde algılanan iyileşme, müşteriler dışındaki diğer paydaşlara (yatırımcılar, üst düzey yönetim, düzenleyiciler, tedarikçiler vb.) kuruluşa yönelik bilgi güvenliği riskleri konusunda güvence sağlar.
- ISO 27001’in uygulanması küçük şirketlerin büyümesine yardımcı olabilir. Örneğin, iş sürekliliği, felaketten kurtarma ve değişim yönetimi ve diğer birçok alanla ilgili prosedürlerle sağlam İK politikalarının geliştirilmesine yardımcı olabilir.
- ISO 27001’in hiçbir şekilde yalnızca kişisel verilerle ilgili olmadığını, aynı zamanda diğer hassas bilgi türleri, özellikle fikri mülkiyet veya “IP” (ticari sırlar ve kaynak kodu dahil) ile de ilgilendiğini unutmayın. Birçok teknoloji start-up’ı için bunlar işletmenin ana varlıklarıdır ve iyi korunmaları gerekir.
Risk yönetimi ve performans değerlendirmesi, ISO 27001’in kritik ancak zorlu yönleridir. Kuruluşlar, etkili bir Bilgi Güvenliği Yönetim Sistemi (ISMS) sağlamak için bu unsurlara nasıl yaklaşmalıdır?
Bunlar gerçekten de ISO 27001’in temel alanlarıdır. Risk değerlendirmeleriyle ilgili hatırlanması gereken kritik noktalar arasında şunlar yer alır:
- Gerçekten en azından bulmaya çalışmalısın Tümü Kuruluşunuzun karşılaştığı veya karşılaşabileceği olası bilgi güvenliği riskleri (iç ve dış). Bu en iyi BGYS Ekibi etrafında oluşturulan bir grupta beyin fırtınası yaparak yapılır.
ISO 27001 temel olarak şu şekilde ayrılıyor: “Hangi bilgi güvenliği riskleriyle karşı karşıyayız? Onları en iyi nasıl yönetebiliriz?”
- Tıpkı tavuğun yumurtadan önce gelmesi gibi, bu durumda da yapılması gerekenin öncelikle riskleri tespit etmeniz olduğunu unutmayın. ve daha sonra bu riskleri yönetmeye yardımcı olacak kontrolleri seçin.
Kesinlikle tüm kontrolleri uygulamanıza gerek yoktur ve neredeyse tüm kuruluşlar, Uygulanabilirlik Beyanlarında bazılarını geçerli bir şekilde uygulanamaz olarak değerlendirmektedir. Örneğin, tüm çalışanların uzaktan çalıştığı işletmeler, fiziksel kontrollerin azaltılmasından yararlanabilecek tüm risklere sahip değildir.
Performans değerlendirmesi söz konusu olduğunda, bu büyük ölçüde ilgili maddeler ve kontroller üzerinde çalışma ve kuruluşun ilgili gereksinimleri karşılamaya çalışırken ne kadar iyi bir iş çıkardığı konusunda anlaşmaya varma durumudur. İzleme, ölçme ve değerlendirme için seçilenler kuruluşun türüne, büyüklüğüne ve iş hedeflerine bağlı olacaktır. Bunlar temel olarak bilgi güvenliğine yönelik temel performans göstergeleridir (KPI’ler) ve tedarikçi değerlendirmelerini, belgelenmiş olayları, olayları ve güvenlik açıklarını içerebilir.
Özellikle Microsoft 365 gibi bulut çözümleri için kuruluşlar ISO 27001’i uygulamada hangi benzersiz zorluklarla karşılaşıyor ve bunlar nasıl çözülebilir?
Uzaktan çalışmaya ve bulut kaynaklarının kullanımına geçiş, ISO 27001 için oldukça yıkıcı oldu. 2022 sürümü, çalışma koşullarındaki değişikliği yansıtacak şekilde (kontrollerde yapılan değişikliklerle) bir miktar uyarlandı. Ancak yine de geleneksel fiziksel çalışma yerlerine, ağlara ve SaaS öncesi tarzdaki tedarikçilere büyük önem verilmektedir.
Yerel olarak indirilen yazılımlardan bulut hizmetlerine büyük geçiş, 27002 kontrollerini uygun şekilde yorumlamak için ISO 27001’in esnekliğinden yararlanmamız gerektiği anlamına gelir, örneğin:
- Ağlar hakkında daha az, bulut kaynaklarının güvenli yapılandırılması hakkında daha fazla düşünmek.
- ‘Tedarikçi ilişkileri’ kontrollerinin SaaS tedarikçileriyle ilgili yönlerine odaklanmak.
- Bulut kaynakları işletmenizdeki hassas verilerin işlenmesi ve depolanması açısından çok önemliyse, yeni kontrol 5.23’ün (Bulut hizmetlerinin kullanımına yönelik bilgi güvenliği) işletmeniz için de aynı derecede önemli olduğunu ve dikkatle ve titizlikle ele alınması gerektiğini unutmayın. Bu neredeyse kesinlikle sizin için geçerli ve burada çok şey var.
- Bulut hizmetlerini kullanarak uzaktan çalışan çalışanlara sahip bir kuruluş için iş sürekliliği/felaket kurtarmanın, büyük ölçüde ilgili bulut sağlayıcısının/sağlayıcılarının yedeklemeleri, depolama/bilgi işlem yedekliliğini vb. nasıl yönettiğiyle ilgili bir sorun haline geldiğini unutmayın.
ISO 27001 sürekli iyileştirme taahhüdünü gerektirir. Kuruluşlar, özellikle olay yönetimi ve müdahale konusunda buna nasıl yaklaşmalı?
Bu, kuruluşların mücadele etme eğiliminde olduğu 10. maddenin (İyileştirme) esrarengiz bir bölümüdür (ikinci bölüm uygunsuzluklarla başa çıkmakla ilgilidir ve ne yapılması gerektiği konusunda çok daha açıktır).
Bana öyle geliyor ki en iyi yaklaşım ‘BGYS’yi nasıl daha iyi hale getirebiliriz?’ sorusunu gündeme getirmektir. Periyodik BGYS yönetim toplantılarında bunun başarılabileceği bazı örnekler bulun ve ardından gözlemlenen ilerlemenin doğru yönde olmasını sağlayın. Bu, ilk takip (gözetim) denetimi sırasında, çeşitli potansiyel iyileştirmelerin bir listesini ve bunların nasıl başarıldığını sunabilmeniz gerektiği anlamına gelir.
Kuruluşunuzun ISO 27001’i belgelendirmeden, hatta kısmi uygulama yapmadan uygulamasını hiçbir şeyin engelleyemeyeceğini belirterek bitirmek istiyorum. Birçok işletme ISO 27001 konseptini beğeniyor ancak tam anlamıyla taahhütte bulunmaya hazır değil. Bu durumda aşağıdaki uygulama modelini şiddetle tavsiye ederim:
1. Güvenlikteki artan artış, gerekli kaynaklar (para, zaman, personel) ve uygulama kolaylığı açısından kuruluşunuz için bilgi güvenliğinin hangi alanlarının öncelikli olduğuna karar verin. Gerekirse bunlara ‘en düşük seviyedeki güvenlik meyveniz’ diyebilirsiniz. Olası örnekler arasında erişim kontrolü, İK güvenliği veya uç nokta güvenliği yer alır.
2. İlgili 27002 kontrollerine göre bunları tek tek inceleyin.
3. En yüksek öncelikli alanları kapattıktan sonra, daha düşük öncelikli alanlar üzerinde çalışmaya başlayın.
4. Birkaç ay sonra ISO 27001’in o kadar da zorlu olmadığını ve bunun üstesinden gelmeye hazır olduğunuzu hissedebilirsiniz. Göreyim seni!