Yazan: Sami Mäkiniemelä, Güvenlik Müdürü, Miradore
Siber saldırılar artıyor. Her ay başka bir büyük işletmenin verileri ve müşterileri tehlikeye atılarak giderek artan bir maliyetle darbe aldığı görülüyor. Ancak giderek daha fazla risk altında olan yalnızca büyük küresel holdingler değil; küçük ve orta ölçekli işletmeler (KOBİ’ler) de giderek daha fazla hedef haline geliyor. Yakın zamanda yapılan bir anket, 1.000’den fazla çalışanı olan kuruluşların üçte ikisinin 2022’de siber saldırılara maruz kaldığını gösterse de, tüm siber saldırıların %43’ünün kendilerini hedef aldığı bildirilen KOBİ’lerin durumu pek de iyi değil. Ve bu sayının önümüzdeki yıllarda artması bekleniyor.
Bu saldırılar yalnızca iş operasyonlarında ciddi aksamalara yol açmakla kalmıyor, aynı zamanda şirketin kârlılığını da etkiliyor. Geçen yıl, ABD’de bir siber saldırının ortalama maliyeti, verilen zararlarla başa çıkmak için harcanan tüm ek zaman ve çabayla birlikte 9,4 milyon dolara ulaştı. Büyüyen bu sorun nedeniyle birçok işletme, potansiyel müşterilerine ve saldırganlara siber güvenliği ciddiye aldıklarına dair sinyal vermenin yollarını aktif olarak arıyor. Her ölçekteki kuruluşun bu bağlılığı göstermesinin bir yolu ISO 27001 sertifikası almaktır.
Uluslararası Standardizasyon Örgütü (ISO), dünya çapında 168 ülkeden gelen standart kuruluşlarının çok uluslu bir federasyonudur. Üyelerin teknoloji, bilimsel testler ve çalışma koşulları için dünya çapındaki standartların geliştirilmesi ve desteklenmesinde işbirliği yapmaları için bir forum görevi görürler. Onaylanan bu standartlar daha sonra ISO tarafından küresel akreditasyon kuruluşlarına satılarak, kendilerine başvuran işletme ve kurumlara sertifikalar veriliyor ve bu standartlara uymaları sağlanıyor.
Şu anda ISO 27001, bilgi güvenliği yönetim sistemleri için sektörün önde gelen standardıdır. Bugün Microsoft, Verizon, Apple, Google, Intel ve Amazon gibi dünyanın en büyük teknoloji şirketlerinden bazıları ISO 27001 sertifikasına sahiptir. Ancak bu sadece daha büyük, küresel holdingler için geçerli değil. ISO 27001, her büyüklükteki şirkete, şirket verilerinin güvenliğiyle ilgili riskleri yönetmek için sistemlerini kurma, uygulama ve sürdürme konusunda rehberlik sağlayabilir.
Ayrıca ISO 27001 insanları, politikaları ve teknolojiyi inceleyerek bilgi güvenliğine bütünsel bir yaklaşımı teşvik eder. Bir bilgi güvenliği yönetim sistemi bu standarda göre uygulandığında risk yönetimi, siber dayanıklılık ve operasyonel mükemmellik için önemli bir araç haline gelir. ISO’ya göre, 27001 standardının uygulanması kuruluşlara çeşitli şekillerde yardımcı olur:
- Büyüyen siber saldırı tehdidine karşı güvenlik açığını azaltmak ve şirketlerin gelişen güvenlik risklerine yanıt vermesine yardımcı olmak
- Üçüncü taraflara emanet edilen mali tablolar, fikri mülkiyet hakları ve çalışan verileri gibi varlıkların hasarsız, gizli ve kullanılabilir kalmasının sağlanması
- Kağıt tabanlı, bulut tabanlı ve dijital veriler de dahil olmak üzere tüm bilgileri tek bir yerde koruyan, merkezi olarak yönetilen bir çerçeve sağlamak
- Kuruluş genelindeki insanları, süreçleri ve teknolojiyi teknolojiye dayalı riskler ve diğer tehditlerle yüzleşmeye hazırlamak
- Verimliliği artırarak ve etkisiz siber savunma teknolojisine ilişkin masrafları azaltarak para tasarrufu sağlamak
ISO standardı aynı zamanda potansiyel müşterilere siber güvenliği ciddiye aldıklarının sinyalini vererek şirketlere de fayda sağlar. Sertifika, bir satıcının müşterilerinin verilerinin güvende ve emniyette kalmasını sağlamak için gereken altyapıya, personele ve politikalara sürekli yatırım yapmaya kararlı olduğunu gösterir. Bu özellikle MSP’ler, SaaS satıcıları veya bulut barındırma kuruluşları gibi diğer kuruluşlara BT veya teknoloji hizmetleri sağlayan işletmeler için önemlidir. Ayrıca, sağlık ve savunma gibi ekstra hassas sektörlerde çalışan müşterilerin, uyumluluk nedenleriyle genellikle yasalar gereği ISO 27001 sertifikasına sahip BT tedarikçileriyle çalışmaları gerekir. Bu, sertifikasyonun bir şirketin bu sektörlerdeki itibarını güçlendirirken, bu sektörleri yeni müşterilere ve pazarlara açabileceği anlamına gelir.
Çalıştığım mobil cihaz yönetimi şirketi Miradore yakın zamanda kendi ISO 27001 sertifikasını aldı. Başlangıçta bunu güçlü siber güvenlik uygulamalarına olan bağlılığımızı ve müşterilerimizi koruma konusundaki kararlılığımızı göstermek için yaptık. Ancak birçok potansiyel müşteriden bizimle çalışmak istediklerini ancak ISO 27001 sertifikalı bir tedarikçiye ihtiyaç duyduklarını da duymuştuk. Artık bu sertifikayı alarak, tüm müşterilerimizin sektörün önde gelen veri güvenliği uygulamalarıyla korunmasını sağlarken yeni işler de getirebiliriz.
Pek çok olumlu sonucu olan bu sertifikasyon deneyimimizden sonra, siber güvenlik konusunda ciddi olan tüm şirketlerin, özellikle de müşterilerine BT/teknoloji hizmetleri sağlayan şirketlerin, ISO 27001 sertifikasını almaya hemen başlamasını öneriyoruz.
Siber saldırıların sıklığı ve maliyeti artmaya devam ederken, her büyüklükteki şirketin siber güvenlikle ilgili en iyi uygulamalar konusunda güncel kalabilmek için ellerinden geleni yapması gerektiği açıktır. ISO 27001 işletmeler için bunu yapmanın en iyi yollarından biridir. Endüstri standardı uygulamalarla şirket içi uyumluluğu sağlar, potansiyel müşterilerinize ve saldırganlara siber güvenliği ciddiye aldığınıza dair sinyal verir ve bir kuruluşun çekiciliğini yeni müşterilere ve ek pazarlara genişletir. Yalnızca verilerinizi ve müşterilerinizi korumakla kalmaz, sonuçta kârınızı ve işletmenizin geleceğini de korur.
yazar hakkında
Sami Mäkiniemelä, MDM sunan bir yazılım şirketi olan Miradore’da Güvenlik Direktörüdür
Hizmetler. Sami’ye LinkedIn üzerinden çevrimiçi olarak ulaşılabilir. Faydaları hakkında daha fazla bilgi edinebilirsiniz
Miradore’un web sitesinde mobil cihaz yönetimi.