Ekim 2025’e Geri Sayım
Siber güvenlik manzarası evrimleşmeye ve daha karmaşık hale gelmeye devam ederken, uluslararası düzenlemeler de benzer şekilde ayak uydurmak ve gelişen tehditleri azaltmak için bir kıstas belirlemek için bu yolu izliyor. 2005’ten beri ISO 27001, kuruluşların siber saldırılara karşı dayanıklılık, yeni tehditlere hazırlık ve veri gizliliğini, bütünlüğünü ve kullanılabilirliğini sürdürmesine yardımcı olmak için tasarlanmış bilgi güvenliği yönetim sistemleri (ISMS) için standardı belirledi. ISO 27001’e uyum inanılmaz derecede önemlidir çünkü üçüncü taraflara -ister müşteriler, ister ortaklar veya yatırımcılar olsun- bir kuruluşun veri güvenliğiyle ilgili riskleri yönetmek için sistemlere sahip olduğunu gösterir.
ISO 27001:2022, 2013 standardının en son güncellemesidir ve kuruluşlara artık Ekim 2025 sonuna kadar yeni gerekliliklere uymaları için bir son tarih verilmiştir. Bu çok uzun bir zaman gibi görünse de, uyum sürecine giren tüm çalışmaları düşündüğünüzde aslında öyle değildir: ek kontroller getirmek, bu kontrolleri nasıl yerine getireceğinizi belgelemek için yeni politikalar ve prosedürler getirmek ve kontrolleri yerine getirdiğinizi kanıtlamak için yeterli zamana sahip olmak.
Ekim 2025’e daha varmadan, uyumsuzluktan kaynaklanan düzenleyici risklerden kaçınmak bu değişiklikleri şimdi yapmak için güçlü bir motivasyon olsa da, temel uyumluluğun ötesine geçmek ortaya çıkan tehditlere karşı dayanıklılık oluşturmak ve saldırıları gerçekleşmeden önce önlemek için önemli olacaktır.
ISO 27001:2022’deki en büyük değişiklikler
ISO 27001 standardının 2022 güncellemesinde birkaç değişiklik var. Bunlar arasında 2013 sürümünde zaten gerekli olan bazı kontrollerin yeniden biçimlendirilmesi yer alıyor, ancak kuruluşların artık uyumluluklarını göstermeleri gereken bazı tamamen yeni tematik alanlar da var.
Bu ek gereksinimler (ancak bunlarla sınırlı değildir) veri sızıntısının önlenmesi, web filtreleme, BT sistemlerinin iş sürekliliği, fiziksel güvenlik izleme, yapılandırma değişikliklerinin yönetimi, güvenli kodlama ve tehdit istihbaratını içerir.
Burada (Ek A, Kontrol 5.7) odaklanacağım tehdit istihbaratı gereksinimi, tehditler hakkında bilgi toplamak ve analiz etmek için halihazırda süreçleri olmayan bazı kuruluşlar için tamamen yeni bir alan olabilir, bu nedenle özel olarak dikkat edilmeye değer.
ISO 27001:2022 standardında tehdit istihbaratı ile ne kastedilmektedir?
ISO 27001:2022 standardı, tehdit istihbaratı gereklilikleri konusunda çok özel ifadeler içermektedir: kuruluşların tehdit istihbaratını “toplama” ve “analiz etme” sürecini gösterebilmeleri gerekmektedir.
Bu, kuruluşun şunları anlaması gerektiği anlamına gelir:
- Hangi tehdit aktörleri kuruluşunuzu hedef alabilir?
- Sistemlerine uygulamaları gereken tehdit modelleri.
- Sistemlerinde var olan zaaflar.
- Bu zafiyetlere karşı kullanılabilecek mevcut istismarlar.
Kuruluşların, bu noktaların her biriyle ilişkili bilgileri topladıklarını ve bu istihbaratı analiz edip tehdit değerlendirmelerine dahil edebildiğini göstermeleri gerekir.
Tehdit istihbaratını nasıl toplayabilirsiniz?
Sağlam ve doğru tehdit istihbaratı toplamak her zaman bir tür yazılım gerektirir ve bir kuruluşun tehditler hakkında gerekli bilgileri toplamak için ihtiyaç duyacağı yazılım iki kategoriye ayrılır:
- İşletmenin saldırganlarının kim olduğunu, ne yaptıklarını, motivasyonlarını ve yeteneklerini daha iyi anlamayı kolaylaştırmak için tehdit aktörleri hakkında istihbarat toplamalarını sağlayan yazılım.
- Tehdit aktörleri tarafından potansiyel olarak istismar edilebilecek mevcut güvenlik açıklarını tespit etmek için BT varlıklarındaki tehditlere ilişkin görünürlük sağlayan yazılım.
İdeal olarak, bir kuruluşun bu iki unsuru birleştiren bir yazılımı olmalıdır; bu yazılım tüm BT varlıklarını haritalayabilir, bunları mevcut güvenlik açıklarıyla ilişkilendirebilir, bunların nasıl istismar edilebileceğine dair bilgi sağlayabilir ve bu güvenlik açıklarını istismar etmeye çalışabilecek tehdit aktörleri hakkında istihbarat sağlayabilir.
Uyumluluğun zorluklarından biri, tüm politikaların, süreçlerin ve prosedürlerin iyi belgelenmesini ve – en önemlisi – kuruluşun bunları kanıtlayabilmesini sağlamaktır. İşte bu noktada sağlam bir tehdit istihbarat platformu büyük bir etki yaratabilir.
Kuruluşlar, ideal olarak otomatik bir şekilde hem “toplama” hem de “analiz” şartlarını karşılayan bir tehdit istihbarat platformu aramalıdır – sürekli olarak tehdit istihbaratı toplayarak, analiz ederek ve doğru ve zamanında risk tabanlı kararlar almayı kolaylaştıran teknik olmayan bir biçimde son kullanıcıya sunarak. Tehdit istihbaratı, özellikle orta ölçekli bir kuruluşun bile karşılaşabileceği tehditlerin çokluğu ve çeşitliliği göz önüne alındığında, emek yoğun bir iş olabilir, bu nedenle otomatik özelliklerden yararlanmak siber güvenlik ekibiniz için paha biçilmez olacaktır.
Bu araçlar, işinizi etkileyebilecek tehditleri hızlı bir şekilde tespit edebildiğinizi göstermenize olanak tanır. Örneğin, satılan veya sızdırılan herhangi bir personel kimlik bilgisini tespit edebilen bir platform kullanmak, bu riske karşı hızlı bir şekilde hafifletici eylemde bulunmak için gereken görünürlüğe sahip olduğunuzu kanıtlayacaktır.
Ayrıca, BT altyapınızın, var olan tüm güvenlik açıklarının ve bu güvenlik açıkları için bilinen istismarların tam görünürlüğüne sahip olduğunuzu göstermeniz de hayati önem taşır. Bu, düzeltmeye yönelik risk tabanlı bir yaklaşım benimsemenizi (ve bunu göstermenizi) sağlar.
Uyumluluğun ötesine geçmek
Yeni güvenlik kontrollerini (tehdit istihbaratı gibi) uygulamanın nihai hedefinin asla bir denetimi geçmek olmaması gerektiğini vurgulamakta fayda var. ISO 27001:2022 gibi standartlar yararlı bir çerçeve sunar ve asgari düzeyde güvenliğin sağlanması için önemlidir. Ancak tüm kuruluşlar, “asgari”nin ötesine geçen ve kuruluşlarının altyapısını, verilerini, çalışanlarını, müşterilerini ve ortaklarını korumada gerçek bir etkiye sahip olan kontrolleri uygulamaya çalışmalıdır. Tehdit istihbaratı için yeni ISO gereksinimlerini karşılamak harika bir ilk adımdır ve 2025 düşündüğünüzden daha hızlı gelecektir, bu nedenle kuruluşlar henüz başlamadılarsa hemen başlamalıdır. Kuruluşunuzun karşı karşıya olduğu tehditler hakkında görünürlük ve anlayış sağlamak için gerekli platformları kurmak, güvenlik yolculuğunuzda atabileceğiniz en etkili adımlardan biri olacaktır.
yazar hakkında
Dr. Nick Savage, siber güvenlikte 25 yılı aşkın deneyime sahiptir ve şu anda Searchlight Cyber’da Altyapı, Güvenlik ve Uyumluluk Başkanıdır. Nick, Searchlight’ın yönetimi ve uyumluluğundan sorumludur ve bu, Searchlight’ın Bilgi Güvenliği Yönetim Sisteminin sürdürülmesini içerir. Nick, Searchlight’ta sistemlerinin ve süreçlerinin Birleşik Krallık’ın Cyber Essentials şeması, ISO 27001: 2022 ve SOC 2’deki Ortak Kriterler ile uyumlu olmasını sağlar.
Nick, Searchlight’a katılmadan önce Portsmouth Üniversitesi’nde Bilgisayar Okulu Başkanıydı ve burada yaklaşık 100 personel ve araştırmacıdan oluşan bir ekibi yönetti ve Foresight ve CyberTrust gibi büyük İngiltere ve AB siber güvenlik projelerine katıldı. Bunun bir parçası olarak Nick, IBM tarafından siber güvenliğe yaptığı katkılardan dolayı özel bir ödülle tanındı. Nick, 2016 ile 2021 yılları arasında Birleşik Krallık’taki Profesörler ve Bilgisayar Bölüm Başkanları Konseyi’nin bir üyesiydi (sonra başkan yardımcısıydı) ve siber güvenliği bilgisayar bilimleri derecelerinin müfredatına yerleştirmek için Kabine Ofisi’ndeki İngiltere Siber Güvenlik ve Bilgi Güvencesi Ofisi ile çalıştı. Nick ayrıca Birleşik Krallık’ın NCSC CyberFirst programında konuşmacı, çeşitli uluslararası konferanslarda ve ESET ve Accenture tarafından düzenlenen sektör etkinliklerinde ana konuşmacı oldu. Nick, NIS Platformunda AB Direktifi 2016/1148’i geliştiren DG CONNECT Çalışma Grubunun bir üyesiydi. Nick, İngiltere’nin Commonwealth Burs Komisyonu’na akademik danışman ve ISACA’ya Akademik Avukat olarak katılmış; CISA, CISM ve CoBIT 4.0’ı incelemiştir. Nick, BCS, The Chartered Institute for IT’nin Üyesi ve Chartered Engineer (CEng)’dir. Daha fazla bilgi için şuraya bakın: https://www.slcyber.io/