Bilgi Güvenliği Teknik Uzmanı Megan Turner tarafından,
Siber saldırıların tüm zamanların en yüksek seviyesinde olduğu bir dönemde, işletmelerin siber güvenlik programlarını ve uygulamalarını hayata geçirmesi gerekiyor. Bununla birlikte, birçok şirket ya bilgi güvenliğini nasıl geliştireceğini bilmiyor ya da bilgi güvenliği ekipleri, son yıllarda ağır iş yükleri ve rolleri üzerindeki baskılarla aşırı yükleniyor. Ortalama olarak, güvenlik ekipleri 830.000’den fazla potansiyel güvenlik riskinden (WRAL TechWire) sorumludur ve bu risklerin bir ihlalle sonuçlanmamasını sağlamak için titiz dikkat gerektirir. Bu, 2023’te 340 milyondan fazla insanın veri ihlallerinden etkilenmesi (IT World Canada News) ve her gün 560.000’den fazla yeni kötü amaçlı yazılımın tespit edilmesi (dataprot.net) nedeniyle ortaya çıkıyor.
Bu kadar yüksek risk hacmiyle şirketler, verilerini korumak için siber güvenliği artırmaları gerektiğini anlıyor ve birçoğu bunu yapmak için sertifika istiyor. Mevcut siber koşullar, şirketlerin siber güvenliklerini geliştirmek için kaybedecek zamanları olmadığını ortaya koyuyor.
NSF-ISR tarafından ISO/IEC 27001 denetimlerinde gerçekleştirilen analiz, standart içinde sertifikasyon arayan işletmelerin genellikle bocaladığı çeşitli alanları ortaya koymaktadır. Bu, standardın Operasyon Güvenliği, Erişim Kontrolü ve Tedarikçi İlişkileri bölümlerindeki zorlukları içerir. Bu ortak boşluklar, şirketlerin siber güvenlik uygulamalarında verileri güvende tutmaya yönelik çok önemli noktalardır. Kuruluşların yalnızca bilgi güvenliklerini güçlendirmek için değil, aynı zamanda ISO/IEC 27001 standardı kapsamındaki gereklilikleri karşılamalarına yardımcı olmak için uygulayabilecekleri stratejiler vardır.
Operasyon Güvenliği
NSF-ISR, ISO/IEC 27001 denetimlerinin Operasyon Güvenliği bölümünde %16’lık bir uygunsuzluk oranı belirlemiştir. Operasyon Güvenliği alanının kapsayıcı amacı, bir kuruluşun sisteminin operasyonlarını güvence altına almak için kontrol ihtiyacını ele almak, elindeki bilgilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini korumaktır.
Değişiklik yönetimi, çoğu uygunsuzluğun tanımlandığı Operasyon Güvenliği içindeki özel kontroldür. Bu kontrol, bir sistem geliştirmesi uygulamak, yazılım hatalarını çözmek ve ağ değişiklikleri veya güncellemeleri yapmak gibi bilgi güvenliğini etkileyen değişiklikleri yönetir. Değişiklik yönetimini uygularken, değişikliği neyin oluşturduğunu, değişikliği uygulama prosedürünün ne olduğunu ve süreç boyunca kimin sorumlu olduğunu tanımlayan bir politika oluşturulması önerilir. Kurulan sürecin bir parçası olarak, her güncellemenin ortaya çıkabilecek potansiyel güvenlik açıklarını değerlendirmek için bir risk değerlendirmesinden geçmesi ve güncellemelerin uygulamadan önce kapsamlı bir şekilde test edilmesi önerilir. Güçlü bir değişiklik yönetimi süreci, yalnızca kuruluşunuzun ISO/IEC 27001 gereksinimlerini karşılamasına yardımcı olmakla kalmaz, aynı zamanda riskleri önemli ölçüde azaltır ve sistemlerinizin güvenilirliğini artırır.
Operasyon Güvenliğinin siber güvenlik açıklarının bulunduğu bir başka alanı da teknik güvenlik açıklarının yönetimidir. Teknik güvenlik açıkları, fiziksel bir ortamdaki kilitli olmayan kapılar gibidir ve siber suçluların bir şirketin sistemlerine veya altyapısına erişmesi için kolay giriş noktalarıdır. Şirket bilgilerini korumak için güçlü bir güvenlik açığı yönetim sisteminin yürürlükte olması çok önemlidir. Bir kuruluşun güvenlik açığı yönetim sistemini güçlendirmek için şirket varlıklarının envanterini çıkarın, varlıklarla ilişkili güvenlik açıkları hakkında bilgi toplamak için kaynakları kullanın, belirlenen güvenlik açıklarıyla riskleri değerlendirmek için bir süreç oluşturun ve riskleri azaltmak için uygun kontrolleri uygulayın.
Güvenlik açığı yönetimi, çalışanların programların desteklenmeyen sürümlerini kullanmanın riskleri hakkında eğitilmesini de içerebilir. Şirketler, desteklenen sürümlerin kullanılmasını zorunlu kılarak bu siber güvenlik riskini azaltabilir. Bir şirketin personeli güvenlik açığı risklerini ve bilgileri güvende tutmak için ne gerektiğini bildiğinde ve anladığında, kuruluş daha güvenli hale gelir ve ihlallere daha az eğilimli hale gelir.
Giriş kontrolu
Bilgi sistemleri içinde yetkisiz erişimin önlenmesi, ISO/IEC 27001’in Erişim Kontrolü alanının genel amacıdır. Komşunuzun kişisel banka ekstrelerinizi görmesine ve şifrelerinize erişmesine izin vermezsiniz, değil mi? Tabii ki değil. Finansal hesaplar, özel ürün bilgileri veya yasal kayıtlar gibi bir kuruluşun bilgilerinin görünürlüğü ve bunlara erişim aynı özenle ele alınmalıdır. Ancak, NSF-ISR’nin uygunsuzlukların %15’inin, bu güvenlik alanı için gereklilikleri özetleyen Erişim Kontrolü kategorisine girdiğini bildirmesine şaşırabilirsiniz.
Bir eve yeni sahipler taşındığında kilitlerin değiştirilmesi gerektiği gibi, bir çalışan bir kuruluşta farklı bir role geçtiğinde veya işine son verildiğinde erişim hakları da değiştirilmelidir. Kullanıcı erişim haklarının gözden geçirilmesi, Erişim Kontrolü etki alanındaki uygunsuzlukların çoğunun tanımlandığı özel kontroldür.
Şirketler, erişim haklarını inceleme sürecini iyileştirmeye çalışırken, aşırı çalışan erişimi veya atıl hesaplar gibi anormallikleri belirlemeye yardımcı olacak araçlar kullanmayı düşünebilir. Bu gözden geçirme sürecinde şirketler, çalışanların erişim hakları için gerekli güncellemelerin gerekli olduğunu keşfedebilir. Bu, bir şirkete yönetim sistemi içindeki sürekli iyileştirme fırsatlarına ilişkin değerli içgörüler sağlayabilir. Örneğin şirketler, farklı rollere geçen çalışanların önceki bir rolden hâlâ erişime sahip olduğunu ortaya çıkarabilir ve bu da çalışan rolü değişikliğinden sonraki sürecin iyileştirilmesi gerekebileceğini gösterebilir.
Tedarikçi İlişkileri
Tedarikçi İlişkileri, NSF-ISR’nin uygunsuzlukları belirlediği en yaygın üçüncü alan olarak duruyor. Uygunsuzlukların %13’ü bu alanda tespit edilmiştir. Bir şirket üçüncü taraf bir iş ortağı kullandığında, güvenlik risklerini en aza indirmek için ilişkinin etkin bir şekilde yönetilmesini sağlamalıdır. Tespit edilen en yaygın boşluklardan biri, sürekli tedarikçi izlemenin gerçekleştiğine dair kanıt eksikliğidir. Tedarikçi ilişkilerini yönetme süreci, satın alma sürecinde tedarikçi risklerini değerlendirmenin ötesine geçer. Eşit derecede önemli olan, düzenli tedarikçi izleme için süregelen ihtiyaçtır. Bu kontrolü uygulamaya yönelik bir yöntem, tedarikçi uyumluluğunu değerlendirmek için metrikleri ve temel performans göstergelerini (KPI’ler) içeren bir satıcı performans puan kartı oluşturmayı içerebilir. Bu puan kartı ayrıca güvenlik değerlendirme raporları hakkında bilgi toplayabilir ve düzenli olarak yapılan toplantılarda gözden geçirilmesi gereken sözleşme anlaşmalarını ele alabilir. Bu yönteme sahip olmak, şirketlere herhangi bir eksikliği veya uygunsuzluğu hızlı bir şekilde ele alma konusunda içgörü sağlayabilir.
Ek olarak, geçiş süreci boyunca güvenliğin sürdürülmesini sağlamak için tedarikçi değişiklikleri için bir planın olması gerekir. Bu planlamanın tedarikçi ilişkilerinin başlatılmasından önce yapılması önemlidir ve bilgi varlıklarının (varsa) güvenli bir şekilde iade edilmesi ve imha edilmesi, kayıtların yönetilmesi ve sözleşmenin feshedilmesinin ardından devam eden gizlilik sorumlulukları hakkındaki beklentileri içermelidir. Tedarikçi ilişkileri yararlı olabilse de potansiyel riskleri en aza indirmenin zorunlu olduğunu unutmamak önemlidir.
Artan Siber Güvenlik
Şirketiniz siber güvenlik süreçlerini henüz değerlendirmediyse, dikkate değer iyileştirmelerin yapılabileceği ortak alanlar olduğundan, ana hatları verilen üç işlemle başlamayı düşünün: Operasyon Güvenliği, Erişim Kontrolü ve Tedarikçi İlişkileri. Şirketiniz ISO/IEC 27001 sertifikası aramıyor olsa bile, içinde yaşadığımız mevcut dijital alanı ve bilgi güvenliği risklerini en aza indirme ihtiyacını göz önünde bulundurarak siber güvenliğinizi nerelerde geliştirebileceğinizi değerlendirmenin değeri vardır.
Bilgi güvenliğinin birçok farklı yönü vardır, bu nedenle bir bilgi güvenliği planı oluşturmak, özellikle yetersiz personel ve aşırı çalışan güvenlik ekipleri için bunaltıcı görünebilir. Başlamak için, kuruluşunuz için en uygun sürecin hangisi olduğunu belirleyin. Bu süreç, şirketinizin bilgi güvenliğinizde geliştirilmesi gereken tüm alanların bir listesini derlemesiyle başlayabilir. Ardından, güvenlik kontrollerinin iyileştirilmemesi durumunda oluşturacakları risk düzeyine göre bu alanları önceliklendirin ve buradan aksiyonları başlatın.
Şirketler ayrıca, özellikle küçük ve orta ölçekliyseler, süreci artırmaya yardımcı olmak için bilgi güvenliğini kuruluş çapında bir çaba haline getirebilirler. Uygun ekip süreçlerini belirlemeye yardımcı olması için yönetici seviyesindeki çalışanları arayın, ancak en iyi uygulamalarla uyumlu olduklarından emin olmak için teklifleri bilgi güvenliği ekibine değerlendirdiğinizden emin olun. Son olarak, etkili siber güvenlik süreçleri oluşturmak zaman alabilirken, her seferinde bir görevi uygulamanın veya iyileştirmenin hiç başlamamaktan daha avantajlı olduğunu unutmayın.
reklam