Avrupa Parlamentosu ve Konsey’in NIS2 (Direktif (AB) 2022/2555) daha önce böyle bir gereksinimi olmayan birçok kuruluşa siber güvenlik ve bilgi güvenliği uyumluluk yükümlülükleri uygular. Finansal cezalardan kaçınmak isteyen bu kuruluşların çoğu, direktife ve ulusal uygulama yasalarına uymayı amaçlamaktadır. Uyum sağlamak için uzman firmalara uyumu sağlamak için etkileşime girerler. Uyumun ilk adımı, herhangi bir uyumsuzlukları tanımlamak için bir denetim yapmaktır. Bu makale, yakın zamanda NIS2 uyumluluğuna tabi hale gelen kuruluşlar için GAP değerlendirme denetimlerinden elde edilen deneyimleri vurgulamayı amaçlamaktadır.
Çoğu durumda, bir kuruluşun liderliğinin temel amacı finansal cezalardan kaçınmaktır. Bu yaklaşım, tam bilgi güvenliği farkındalığının açık bir eksikliğini yansıtmaktadır. Örgütsel liderler genellikle başlangıçta, uyumluluğu sağlamak için uzman bir kuruluş işe almanın, olumsuz sonuçları önleyecek bir kerelik bir görev olduğuna inanmaktadır. Denetimlerden önce ve sonra, belirlenen eksikliklerin denetim ve ele alınmasının bir kerelik faaliyetler olmadığını, ancak kurulan bilgi güvenliği yönetim sisteminin (ISM’lerin) sürekli olarak çalıştırılması gerektiğini iletmek önemlidir. Zihniyette bir değişikliğe ihtiyaç vardır, böylece hedef sadece liderler için para cezalarından veya kişisel sorumluluktan kaçınmak değil, değer yaratmak ve sürekli gelişen tehdit olasılığını azaltmaktır. Hem liderlerin hem de çalışanların farklı rollerdeki farkındalığını artırmak ve zihniyetteki bu değişikliğin temelini atması için eğitim fırsatları sunulması önerilir.
Denetimlerin yürütülmesi sırasında, genellikle denetlenen kuruluş personelinin kontrol önlemlerinin gereksinimlerini tam olarak anlamadığı bulunmuştur. Bu sıklıkla yanlış anlamalara yol açar. Tüm denetlenen taraflar için kavramları açıklığa kavuşturmak ve bağlantıları vurgulamak gerekir – neden belirli gereksinimler var, nasıl birbirine bağlı oldukları, uygulanmasının hedefi ve söz konusu kontrolün kuruluş için geçerli olup olmadığı. Sonuç olarak, denetimler daha uzun sürme eğilimindedir ve anlaşma ve anlamayı sağlama süreci önemli kaynaklar tüketir. Denetlenen partiyi, özellikle daha önce bu gereksinimlere tabi olmayan kuruluşlar için, beklentileri açıklamak ve daha yumuşak bir denetim sürecini sağlamak için herhangi bir NIS2 denetiminden önce eğitmenizi öneririz. Herkesin denetim sorularına kanıta dayalı cevapların nasıl sağlanacağını anlaması çok önemlidir.
Girişte belirtildiği gibi, yakın zamanda NIS2 uyumluluğuna tabi hale gelen kuruluşlar daha önce bilgi güvenliği uyumluluğunu ele almamış, ISO 27001 ISMS sertifikası almamış ve daha önce yasal düzenlemelere tabi değildir. Sonuç olarak, bu kuruluşların birçoğu, yalnızca sözleşmelerde tanımlanan işlevselliği sağlamaya odaklanan BT operasyonlarını dış kaynaklardan temin etmektedir. Genellikle, bu BT hizmet sağlayıcıları uzun zaman önce güven ve iş hususlarına göre seçildi ve sağlayıcının bilgi güvenliğini sağlamak için liderlikten bir gereklilik yoktu. Sonuç olarak, bu hizmet sağlayıcılar genellikle belirlenen eksiklikleri ele alırken zorluklar yaratabilecek sınırlı bilgi güvenliği beceri setlerine sahiptir. Denetimin bir parçası olarak, sadece kontrol uyumluluğunu sağlamakla kalmaz, aynı zamanda hem BT operasyonları hem de bilgi sistemi uygulama perspektifinden uyumu korumak için hangi koşulların gerekli olduğunu vurgulamak da önemlidir.
BT operasyonlarının dış kaynaklı olmadığı, ancak şirket içi BT personeli tarafından yönetildiği kuruluşlarda durum biraz farklıdır. Bu kuruluşlar genellikle yetenekli personel sıkıntısı ile karşı karşıyadır, yani sistemin işlevselliği genellikle sistem yöneticilerine ve BT personeline dayanır. Tipik olarak, bilgi bu BT uzmanlarının kafalarında, belge eksikliği ile bu bireylerin yokluğunu potansiyel olarak yıkıcı hale getirir. Bu, sistemi yöneten BT personelinin tek başarısızlık noktaları olarak tanımlanabileceği anlamına gelir. NIS2 uyumluluğu belgeler olmadan mümkün değildir, bu da bilgi sistemlerinin gerektirdiği kontrolleri belgeleyebilen ve kuruluş içinde denetlenebilir ve şeffaf bir bilgi güvenliği yönetim sistemi (ISM) koşullarını oluşturabilen destek personeline sahip olmayı çok önemli hale getirir. Operasyonun belgelerinin genellikle eksik olduğunu değil, aynı zamanda denetlenen kuruluşlarda politikalar, prosedürler ve süreç açıklamalarının da sıklıkla eksik olduğunu belirtmek gerekir. Birçok durumda, uygulamalar kurulur, ancak belgelenmez. Denetim raporlarında uygun bir düzenleyici çerçeve oluşturmak için önerilerin önerilmesi ve böylece denetlenen kuruluşlara yardımcı olması önerilir.
Bilgi mevcut olsa bile (genellikle tam olarak böyle değildir), BT güvenlik ve bilgi güvenliği bilgisi genellikle eksiktir ve ara bağlantıları anlamak zor olabilir. Kontrol uyumluluğu incelenirken, denetlenen taraflar genellikle neden belirli şeyleri bilmeleri gerektiğini anlamazlar. Bu bizi denetim öncesi eğitimin önemine geri getiriyor, burada bunun genel bir kontrol kümesi olduğu ve ‘tek bir boyuta uyduğu’ çözüm olduğu açıklanabilir. Bazı kontrollere uyulması gerekmeyebilir, örneğin kuruluşun ilgili faaliyetleri yoktur. Örneğin, herhangi bir geliştirme faaliyeti yoksa, herhangi bir geliştirme gerçekleşmediğinden, kod incelemelerinin eksikliğiyle ilgili uyumsuzluğu tanımlamak imkansızdır. Bir bilgi güvenliği uzmanının varlığı bu tür ‘yanlış anlama’ ele alabilir, ancak bu uzmanlık her organizasyonda her zaman mevcut değildir.
Birçok kuruluş için birincil amaç, operasyon için gerekli minimum koşulları belirlemektir ve bunun ötesinde, BT güvenliğine veya bilgi güvenliğine çok az dikkat ederler. Birçok durumda, sistemin her an çökmesine neden olabilecek eksiklikler vardır veya düzenleyici ve mantıksal koruma önlemlerinin eksikliği, bazıları kuruluşun bilgisi olmadan zaten meydana gelmiş olabilecek veri koruma olaylarının yüksek bir olasılığına yol açar. Kontrollerin olmaması (izleme gibi). Büyük para cezaları potansiyeli göz önüne alındığında, bu alanların ele alınması tavsiye edilir, özellikle birçok kuruluş öncelikle cezalardan kaçınmak için NIS2 uyumluluğunu sürdürür.
Birçok durumda kuruluşlar, süreçlerini veya destekleyici bilgi sistemlerini (ne kullandıkları iç ne de dış) veya bu sistemlerin sayısını veya bunların bağlantılarını bilmemektedir. BT iş operasyonlarını işler ve destekliyorsa kuruluşlar basitçe tatmin olur. Genellikle nasıl çalıştığı üst yönetimi ilgilendirmez. Bununla birlikte, bugünün tehdit ortamında, bu tutum kaçınılmaz başarısızlığa yol açar. Dahası, süreçler ve bilgi sistemleri hakkında bilgi eksikliği nedeniyle, denetimin kendisi zorluklarla karşı karşıyadır, belirlenen eksikliklerin listesi eksik olacaktır ve sonuç olarak bu eksiklikleri ele almak için eylem planı yetersiz olacaktır.
Kuruluşlardaki karar vericiler genellikle bir denetim yapmanın tanımlanmış eksiklikleri otomatik olarak çözeceğine ve yetkililere uygunluğu sağlamak için yalnızca bir kez yapılması gerektiğine inanmaktadır. Denetim raporlarını aldıktan sonra, daha fazla yatırımın gerekli olabileceğini (güvenlik açığı değerlendirmeleri, penetrasyon testi veya güvenlik sistemlerinin uygulanması gibi) ve denetim sonrası eylem planında belirtilen eksiklikleri ele aldıktan sonra, ihtiyaç duyduklarını öğrenmek için şaşırırlar. yerleşik ismleri çalıştırmak. Denetim yapılmadan önce bile bu bilgilerin denetlenen taraf ve karar vericilerle paylaşılması önerilir, böylece gelecekte ne bekleyeceklerinin farkındadırlar.
Denetim deneyimleri genellikle kuruluşların iyi hazırlanmış olmadığını ortaya koymaktadır. Zorunlu uyumluluk sağlamak, belirli kuruluşlar için önemli zorluklar yaratacaktır. Bununla birlikte, kuruluş mevcut durumunu, olgunluk seviyesini ve sadece NIS2 uyumluluğunu elde etmek için değil, aynı zamanda büyüyen siber tehditlere yeterli yanıtlar geliştirmek için gelecekteki kaynak tahsisini anlamak istiyorsa, bir denetim yürütmek kaçınılmazdır.
Yazar hakkında
Zsolt Baranya, Macaristan ve Almanya’daki Black Cell Ltd.’nin kıdemli bilgi güvenliği denetçisidir. Eskiden, yerel bir hükümet kuruluşunda bilgi güvenliği görevlisi ve veri koruma görevlisi rollerinde bulunmaktadır. Ayrıca Macar kritik altyapılarının bilgi güvenliği uyumluluğundan sorumlu olduğu Ulusal Afet Yönetimi Genel Müdürlüğü, Kritik Altyapı Koordinasyonu Dairesi’nde kıdemli bir Masa Memuru olarak çalıştı. Zsolt’a ulaşılabilir [email protected] ve şirketinin web sitesinde https://blackcel.io/.