0 (224) 275-16 00
akademi@btso.org.tr
0 (224) 275-16 00
akademi@btso.org.tr
Bilgi Güvenliği ve Uyum Yönetiminin Sürdürülebilirliği
14.09.2021
Her kuruluşun kendince stratejisi, hedefi ve amaçları farklı da olsa nihayetinde ortak amaçlar kârlılık ve sürdürülebilirliktir. Bu hususların her biri farklı risklere maruz kalabiliyor. Kuruluşların ana faaliyetlerini yürütmesine paralel olarak risk ve fırsat yönetimini de ele alması gerekmektedir. Dönem dönem kurumsal risk faktörleri değişkenlik göstermektedir. İçinde bulunduğumuz pandeminin kuruluşlarda iş sürekliliği, finansal vb. farklı etkileri oldu. Covid sebep oldu ki sektörler iş sürekliliğini masaya yatırmak durumunda kaldılar.
Fakat bazı risk faktörleri var ki sürekli artarak büyümeye devam ediyor. Bilgi güvenliği riskleri de buna en güzel örnek. Her geçen gün yeni bir “Kripto Saldırısı” duyuyoruz ve işletmeler şifrelenen verilerini kurtarmak için yüksek meblağlarda fidyeler ödemek zorunda kalıyorlar. Covid-19 döneminde siber saldırıların (özellikle oltalama saldırıları) %600 oranında arttığı görülmektedir. İstatistiklere göre 2020 yılında siber saldırılar sebebiyle ödenen fidye miktarı 406,3 milyon dolar ve bu rakam 2021 ilk 5. ayında 80 milyon dolara ulaşmış durumda. Halbuki potansiyel risklerin değerlendirilmesi ve risklerin yönetimi için alınacak aksiyonların maliyeti, her daim riskin gerçekleşmesi durumunda ortaya çıkacak zarardan daha az olacaktır.
“Risk Temelli Yaklaşım”
İş süreçleri değerlendirilirken “Risk temelli yaklaşım” benimsendiği takdirde, iş süreçlerinin paralelinde risklerin de yönetimi kolaylıkla sağlanabilir. Kurumsal olgunluk seviyelerinin yüksek olduğu ve bilgi güvenliği, iş sürekliliği gibi konuların öneminin bilindiği sektörlerde (Savunma, İletişim, Bankacılık vb.) risk temelli yaklaşım oldukça yaygın uygulanmaktadır. Fakat aynı hassasiyet maalesef diğer sektörlerde görülmemektedir. Özellikle KOBİ ölçekli kuruluşlarda “Kurumsallaşma” için ilk adım olarak süreç temelli yaklaşım ve risk temelli yaklaşımın benimsenmesi şarttır desek yanlış olmaz.
Risk temelli yaklaşım sadece kurum içi süreçler için değil, dış kaynaklı olarak yürütülen süreçler için de oldukça önemlidir. Özellikle tedarikçi yönetiminde, tedarikçide yaşanabilecek bir uyum sorunu kuruluş için can sıkıcı olabilir. Bu nedenle tedarikçi güvenliği de bilgi güvenliği yönetiminin ayrılmaz bir parçasıdır diyebiliriz.
“Regülasyonlar ve Uyum”
Son birkaç yıldır bilgi güvenliği konusunu hafızalara kazıyan faktörlerden birisi de 6698 Sayılı Kişisel Verilerin Korunması Kanunudur. Kanunun geriye dönük uyum için verilen süresi dolduktan sonra büyük küçük demeden tüm işletmeler “KVKK Uyumu” için kolları sıvadı. KVKK tüm sektörlerdeki bilgi güvenliği algısını değiştirdi desek yeridir. Bilgili-bilgisiz danışmanlar, firewall ve DLP gibi ürünleri “bunu alın KVKK uyumlu olun” diyen satışçılar bu sürecin akılda kalan aktörleridir.
Kişisel veri koruma mevzuatlarına uyumu (KVKK, GDPR vb.) tak-çalıştır, kur-çalıştır ürün gibi gören yöneticiler bu işin böyle olmadığını zamanla öğrendi veya acı tecrübelerle öğrenecekler. Gerek KVKK gerekse GDPR gibi veri koruma mevzuatlarına uyumun özünde de “Risk temelli yaklaşım” ve “Süreç temelli yaklaşım” var diyebiliriz. Örnek vermek gerekirse veri haritalaması yapmak istediğinizde, ilgili iş sürecine verinin giriş alanları, işleme alanları ve aktarım alanları gibi noktaların analizlerinin yapılması gerekmektedir. Bu süreçlerde işlenen kişisel verilere yönelik risklerin de detaylıca ele alınıp yönetilmesi gerekecektir. Bu sebeple KVKK uyum süreçleri bütüncül bir yaklaşımla ele alınmalıdır.
“Regülasyonlara Uyumda Sürdürülebilirlik”
Kuruluşların bilgi güvenliği, iş sürekliliği ve uyum konularında risklerini yönetmesi gerekliliği oldukça net bir durum. Fakat burada atlanmaması gereken önemli bir diğer husus ise uyum faaliyetlerinin sürdürülebilirliğidir. Bir kez yapılan risk değerlendirme, bir kez yapılan kişisel veri haritalama ve bir kez yapılan diğer tüm süreçler… Neredeyse hiç yapmamış olmamakla eşdeğer. Çünkü ne riskleriniz aynı kalacaktır ne süreçler ne de uyum faktörleri. Bu nedenle risk ve uyum yönetim süreçlerini sistematik bir yaklaşımla ele almak zorundayız.
Birçok kuruluş KVKK uyum süreçlerinde danışmanlık alarak uyumu sağladı. Bu aşamada hatırı sayılır miktarlarda harcamalar yapıldı, yatırım gereklilikleri karşılandı. Peki bu kuruluşlar bugün hala KVKK uyumlu haldeler mi? Çoğunluğunun uyumlu olmadığını düşünüyorum. Çünkü kanunun yayınlandığı günden bu yana birçok mevzuat değişikliği, birçok kurul kararı yayınlandı. Değişen bu şartlara göre kuruluşlar kendilerini güncel tutmalı ve değişikliklere adapte olmalılar. Burada karşımıza çıkan çözüm ise PUKİ döngüsü. Kuruluşların kendilerini güncel tutmalarının ve sürdürülebilirliği sağlayabilmelerinin tek yolu PUKİ sistematiğini uygulamalarıdır.
“Dört Adımda Sürdürülebilirlik”
Peki nedir bu PUKİ? Planla, Uygula, Kontrol Et, İyileştir adımlarının kısaltması olan PUKİ, kuruluşların iş süreçlerinin yönetiminde sürdürülebilirliğin anahtar kelimesidir. Bu dört adımın uygulanması halinde risk yönetiminiz ve regülasyonlara uyumunuz her daim güncel kalacaktır.
Planla: Yukarıda bahsettiğimiz bilgi güvenliği ve regülasyonlara uyum süreçlerini “Planla” adımında planlarsınız. Risk yönetim metodunuzu belirlersiniz. Süreçleri yönetecek kişilerin rol ve sorumluluklarının tanımlanmasından tutun da Risklerin ne sıklıkla gözden geçirileceğine kadar birçok konu bu adımda planlanır.
Uygula: Planlama adımında belirlenen prosedürler “Uygula” adımında gerçekleştirilir. Risk analizi, envanter hazırlanması, yasal metinlerin (aydınlatma, açık rıza vb.) uygulanması bu aşamada gerçekleştirilir.
Kontrol Et: KVKK uyumunu sağladığını düşünen işletmeler genellikle bundan önceki iki adımı gerçekleştirip, bu aşama ve sonrasını gerçekleştirmiyor. Tam da bu sebeple sürdürülebilirlik sağlanmıyor. “Kontrol Et” aşamasında Planlama ve Uygulama adımlarında gerçekleştirilen faaliyetlerin şartlara uygunluğu denetlenir. Bu kontrol, bir iç denetim, dış denetim, rutin kontroller veya gözden geçirme yoluyla gerçekleştirilebilir.
İyileştir: Kontrol aşamasında olası bir uyum sorunu ile karşılaşıldığı durumda “İyileştir” aşamasında ilgili uygunsuzluğun kök nedeninin araştırılması ve uygunsuzluğa yönelik düzeltici faaliyetlerin çalıştırılması sağlanır. Gerekirse planlama adımına geçilerek oradaki çalışmalar gözden geçirilerek, revize edilir.
Bu dört adımla birlikte PUKİ çevrimini işleten kuruluşlarda süreçler her daim güncel tutulur. Örnek vermek gerekirse; kuruluşun ağ trafiğindeki riskleri yönetmek için sisteminizde Firewall konumlandırdınız diyelim. Firewall kuralları yazdınız. Gelen giden tüm trafik bu cihaz üzerinden geçiyor ve güvenliğinizi sağlıyor. Cihazın üzerindeki kuralları, logları ve firmware versiyonlarını düzenli kontrol etmezseniz planladığınız bu güvenlik duvarı bir süre sonra işlevselliğini yitirecek basit bit router gibi varlığını sürdürecektir. Bunu yaşamamak için cihaz logları periyodik olarak izlenir, firmware güncellemeleri yapılır ve üzerindeki kurallar gözden geçirilir.
Süreçlerdeki işletim de tıpkı güvenlik duvarı örneğine benzerdir. Risk yönetim ve uyum süreçlerinizde de süreçlerinizi planlar, uygular, işletimi kontrol eder ve iyileştirme ihtiyacı tespit ettiğinizde gerekli iyileştirmeleri yaparsınız.
Peki nasıl?
Bu sistematiği kuruluşunuzda uygulamak ve uyumunuzun sürdürülebilirliğini sağlamak için Amerika’yı yeniden keşfetmenize hiç gerek yok. Bunu bizim yerimize düşünüp, kılavuzluk etmeyi ilke edinmiş bir uluslararası kuruluş var. Uluslararası standart organizasyonu ISO bu bağlamda bizim yardımımıza koşuyor. Her konuda yayınlanmış bir standart var ve bu standartlar kuruluşlarda PUKİ çevriminin işletimini sağlıyor.
Bilgi güvenliği yönetiminde ISO 27001 Bilgi Güvenliği Yönetim Sistemi, Kişisel veri koruma regülasyonlarına uyum yönetiminde ISO 27701 Kişisel Veri Yönetim Sistemi ve Risk yönetiminde ise ISO 31000 Risk yönetimi kılavuzu standartları bulunmaktadır. Bu ve buna benzer standartlar referans alınarak planlanan Bilgi Güvenliği ve Uyum yönetimlerinin kolaylıkla sürdürülebilirliği sağlanır.
İlgili standartların kuruluşunuzda entegrasyonunu sağlamak istiyorsanız işe GAP analizi ile başlamalısınız. Diğer adı boşluk analizi olan bu denetim türünde kuruluşunuzun hangi alanlarda zayıflıkları-eksiklikleri var belirleme fırsatı bulursunuz. Böylece uyum için gerekli iş planı çıkartılabilir.
Ezcümle, bir kuruluş için hayati önem taşıyan birçok konu var. Günümüzde bunlardan ikisi ön plana çıkmakta. Bilgi Güvenliği ve Yasal Uyum. Bu iki konunun sürdürülebilirliği çok zor olmakla birlikte, standartlarla işletilmesi durumunda bir o kadar basit. Demonte mobilya kurulumu gibi, eğer elinizde doğru bir kılavuz ve uygun ekipman varsa keyif alarak montajı yapar ve bununla da gurur duyarsınız. Şayet kılavuz ve ekipman yoksa sinir harbi yaşarsınız. Bu yüzden Bilgi güvenliği ve Uyum süreçleri gözünüzü korkutmasın, doğru kılavuz ile yolunuza güvenle devam edebilirsiniz.
Fakat bazı risk faktörleri var ki sürekli artarak büyümeye devam ediyor. Bilgi güvenliği riskleri de buna en güzel örnek. Her geçen gün yeni bir “Kripto Saldırısı” duyuyoruz ve işletmeler şifrelenen verilerini kurtarmak için yüksek meblağlarda fidyeler ödemek zorunda kalıyorlar. Covid-19 döneminde siber saldırıların (özellikle oltalama saldırıları) %600 oranında arttığı görülmektedir. İstatistiklere göre 2020 yılında siber saldırılar sebebiyle ödenen fidye miktarı 406,3 milyon dolar ve bu rakam 2021 ilk 5. ayında 80 milyon dolara ulaşmış durumda. Halbuki potansiyel risklerin değerlendirilmesi ve risklerin yönetimi için alınacak aksiyonların maliyeti, her daim riskin gerçekleşmesi durumunda ortaya çıkacak zarardan daha az olacaktır.
“Risk Temelli Yaklaşım”
İş süreçleri değerlendirilirken “Risk temelli yaklaşım” benimsendiği takdirde, iş süreçlerinin paralelinde risklerin de yönetimi kolaylıkla sağlanabilir. Kurumsal olgunluk seviyelerinin yüksek olduğu ve bilgi güvenliği, iş sürekliliği gibi konuların öneminin bilindiği sektörlerde (Savunma, İletişim, Bankacılık vb.) risk temelli yaklaşım oldukça yaygın uygulanmaktadır. Fakat aynı hassasiyet maalesef diğer sektörlerde görülmemektedir. Özellikle KOBİ ölçekli kuruluşlarda “Kurumsallaşma” için ilk adım olarak süreç temelli yaklaşım ve risk temelli yaklaşımın benimsenmesi şarttır desek yanlış olmaz.
Risk temelli yaklaşım sadece kurum içi süreçler için değil, dış kaynaklı olarak yürütülen süreçler için de oldukça önemlidir. Özellikle tedarikçi yönetiminde, tedarikçide yaşanabilecek bir uyum sorunu kuruluş için can sıkıcı olabilir. Bu nedenle tedarikçi güvenliği de bilgi güvenliği yönetiminin ayrılmaz bir parçasıdır diyebiliriz.
“Regülasyonlar ve Uyum”
Son birkaç yıldır bilgi güvenliği konusunu hafızalara kazıyan faktörlerden birisi de 6698 Sayılı Kişisel Verilerin Korunması Kanunudur. Kanunun geriye dönük uyum için verilen süresi dolduktan sonra büyük küçük demeden tüm işletmeler “KVKK Uyumu” için kolları sıvadı. KVKK tüm sektörlerdeki bilgi güvenliği algısını değiştirdi desek yeridir. Bilgili-bilgisiz danışmanlar, firewall ve DLP gibi ürünleri “bunu alın KVKK uyumlu olun” diyen satışçılar bu sürecin akılda kalan aktörleridir.
Kişisel veri koruma mevzuatlarına uyumu (KVKK, GDPR vb.) tak-çalıştır, kur-çalıştır ürün gibi gören yöneticiler bu işin böyle olmadığını zamanla öğrendi veya acı tecrübelerle öğrenecekler. Gerek KVKK gerekse GDPR gibi veri koruma mevzuatlarına uyumun özünde de “Risk temelli yaklaşım” ve “Süreç temelli yaklaşım” var diyebiliriz. Örnek vermek gerekirse veri haritalaması yapmak istediğinizde, ilgili iş sürecine verinin giriş alanları, işleme alanları ve aktarım alanları gibi noktaların analizlerinin yapılması gerekmektedir. Bu süreçlerde işlenen kişisel verilere yönelik risklerin de detaylıca ele alınıp yönetilmesi gerekecektir. Bu sebeple KVKK uyum süreçleri bütüncül bir yaklaşımla ele alınmalıdır.
“Regülasyonlara Uyumda Sürdürülebilirlik”
Kuruluşların bilgi güvenliği, iş sürekliliği ve uyum konularında risklerini yönetmesi gerekliliği oldukça net bir durum. Fakat burada atlanmaması gereken önemli bir diğer husus ise uyum faaliyetlerinin sürdürülebilirliğidir. Bir kez yapılan risk değerlendirme, bir kez yapılan kişisel veri haritalama ve bir kez yapılan diğer tüm süreçler… Neredeyse hiç yapmamış olmamakla eşdeğer. Çünkü ne riskleriniz aynı kalacaktır ne süreçler ne de uyum faktörleri. Bu nedenle risk ve uyum yönetim süreçlerini sistematik bir yaklaşımla ele almak zorundayız.
Birçok kuruluş KVKK uyum süreçlerinde danışmanlık alarak uyumu sağladı. Bu aşamada hatırı sayılır miktarlarda harcamalar yapıldı, yatırım gereklilikleri karşılandı. Peki bu kuruluşlar bugün hala KVKK uyumlu haldeler mi? Çoğunluğunun uyumlu olmadığını düşünüyorum. Çünkü kanunun yayınlandığı günden bu yana birçok mevzuat değişikliği, birçok kurul kararı yayınlandı. Değişen bu şartlara göre kuruluşlar kendilerini güncel tutmalı ve değişikliklere adapte olmalılar. Burada karşımıza çıkan çözüm ise PUKİ döngüsü. Kuruluşların kendilerini güncel tutmalarının ve sürdürülebilirliği sağlayabilmelerinin tek yolu PUKİ sistematiğini uygulamalarıdır.
“Dört Adımda Sürdürülebilirlik”
Peki nedir bu PUKİ? Planla, Uygula, Kontrol Et, İyileştir adımlarının kısaltması olan PUKİ, kuruluşların iş süreçlerinin yönetiminde sürdürülebilirliğin anahtar kelimesidir. Bu dört adımın uygulanması halinde risk yönetiminiz ve regülasyonlara uyumunuz her daim güncel kalacaktır.
Planla: Yukarıda bahsettiğimiz bilgi güvenliği ve regülasyonlara uyum süreçlerini “Planla” adımında planlarsınız. Risk yönetim metodunuzu belirlersiniz. Süreçleri yönetecek kişilerin rol ve sorumluluklarının tanımlanmasından tutun da Risklerin ne sıklıkla gözden geçirileceğine kadar birçok konu bu adımda planlanır.
Uygula: Planlama adımında belirlenen prosedürler “Uygula” adımında gerçekleştirilir. Risk analizi, envanter hazırlanması, yasal metinlerin (aydınlatma, açık rıza vb.) uygulanması bu aşamada gerçekleştirilir.
Kontrol Et: KVKK uyumunu sağladığını düşünen işletmeler genellikle bundan önceki iki adımı gerçekleştirip, bu aşama ve sonrasını gerçekleştirmiyor. Tam da bu sebeple sürdürülebilirlik sağlanmıyor. “Kontrol Et” aşamasında Planlama ve Uygulama adımlarında gerçekleştirilen faaliyetlerin şartlara uygunluğu denetlenir. Bu kontrol, bir iç denetim, dış denetim, rutin kontroller veya gözden geçirme yoluyla gerçekleştirilebilir.
İyileştir: Kontrol aşamasında olası bir uyum sorunu ile karşılaşıldığı durumda “İyileştir” aşamasında ilgili uygunsuzluğun kök nedeninin araştırılması ve uygunsuzluğa yönelik düzeltici faaliyetlerin çalıştırılması sağlanır. Gerekirse planlama adımına geçilerek oradaki çalışmalar gözden geçirilerek, revize edilir.
Bu dört adımla birlikte PUKİ çevrimini işleten kuruluşlarda süreçler her daim güncel tutulur. Örnek vermek gerekirse; kuruluşun ağ trafiğindeki riskleri yönetmek için sisteminizde Firewall konumlandırdınız diyelim. Firewall kuralları yazdınız. Gelen giden tüm trafik bu cihaz üzerinden geçiyor ve güvenliğinizi sağlıyor. Cihazın üzerindeki kuralları, logları ve firmware versiyonlarını düzenli kontrol etmezseniz planladığınız bu güvenlik duvarı bir süre sonra işlevselliğini yitirecek basit bit router gibi varlığını sürdürecektir. Bunu yaşamamak için cihaz logları periyodik olarak izlenir, firmware güncellemeleri yapılır ve üzerindeki kurallar gözden geçirilir.
Süreçlerdeki işletim de tıpkı güvenlik duvarı örneğine benzerdir. Risk yönetim ve uyum süreçlerinizde de süreçlerinizi planlar, uygular, işletimi kontrol eder ve iyileştirme ihtiyacı tespit ettiğinizde gerekli iyileştirmeleri yaparsınız.
Peki nasıl?
Bu sistematiği kuruluşunuzda uygulamak ve uyumunuzun sürdürülebilirliğini sağlamak için Amerika’yı yeniden keşfetmenize hiç gerek yok. Bunu bizim yerimize düşünüp, kılavuzluk etmeyi ilke edinmiş bir uluslararası kuruluş var. Uluslararası standart organizasyonu ISO bu bağlamda bizim yardımımıza koşuyor. Her konuda yayınlanmış bir standart var ve bu standartlar kuruluşlarda PUKİ çevriminin işletimini sağlıyor.
Bilgi güvenliği yönetiminde ISO 27001 Bilgi Güvenliği Yönetim Sistemi, Kişisel veri koruma regülasyonlarına uyum yönetiminde ISO 27701 Kişisel Veri Yönetim Sistemi ve Risk yönetiminde ise ISO 31000 Risk yönetimi kılavuzu standartları bulunmaktadır. Bu ve buna benzer standartlar referans alınarak planlanan Bilgi Güvenliği ve Uyum yönetimlerinin kolaylıkla sürdürülebilirliği sağlanır.
İlgili standartların kuruluşunuzda entegrasyonunu sağlamak istiyorsanız işe GAP analizi ile başlamalısınız. Diğer adı boşluk analizi olan bu denetim türünde kuruluşunuzun hangi alanlarda zayıflıkları-eksiklikleri var belirleme fırsatı bulursunuz. Böylece uyum için gerekli iş planı çıkartılabilir.
Ezcümle, bir kuruluş için hayati önem taşıyan birçok konu var. Günümüzde bunlardan ikisi ön plana çıkmakta. Bilgi Güvenliği ve Yasal Uyum. Bu iki konunun sürdürülebilirliği çok zor olmakla birlikte, standartlarla işletilmesi durumunda bir o kadar basit. Demonte mobilya kurulumu gibi, eğer elinizde doğru bir kılavuz ve uygun ekipman varsa keyif alarak montajı yapar ve bununla da gurur duyarsınız. Şayet kılavuz ve ekipman yoksa sinir harbi yaşarsınız. Bu yüzden Bilgi güvenliği ve Uyum süreçleri gözünüzü korkutmasın, doğru kılavuz ile yolunuza güvenle devam edebilirsiniz.