Bilgi Güvenliği Danışmanlığı ve Saha Tecrübelerinden Notlar
Bilgi ve iletişim teknolojileri hızla gelişiyor. Bilgisayar ve türevi cihazlar hayatımızın ayrılmaz bir parçası haline geldi. Günümüzde siber güvenlik tehditleri gelişerek devam ediyor, bu tehditlerin tamamı mutlak olarak önlenemese de tehditlerin riskleri azaltılabilmektedir. Bilgi çağında bilgi güvenliği tehditleri büyüyen bir tehdittir. Siber saldırganlar ya da bilgisayar korsanları her geçen gün daha iyi oluyorlar. Bilgi güvenliği siber güvenlik tehditleri her yerde. VMİ Danışmanlık olarak bilgi yönetimi, bilgi güvenliği, siber güvenlik konularında çok önemli saha tecrübelerine sahibiz. Bu tecrübelerimizi size yansıtmaktan büyük keyif alırız.
ISO 27001 Standardının En Temel Amacı Kurumlarda Bilgi Güvenliğini Sağlamak Amacıyla Bir Sistem Kurmaktır
Günümüzde kurumların bilgi güvenliğini sağlamak için çeşitli metotlar ve standartlar geliştirilmiştir. Bunlardan biri de Bilgi Güvenliği Yönetim Sistemi kısaca biz onu BGYS diye ifade ediyoruz. VMİ Danışmanlık Bilgi Güvenliği Danışmanlığı konusunda hem özel sektörle hem de kamu kurumlarında önemli tecrübelere sahiptir. COBIT, ITIL, TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardı olan ISO 27001 standardının kurumlarda uygulanması ile ilgili çok önemli saha tecrübelerine sahiptir. ISO 27001 standardının en temel amacı kurumlarda bilgi güvenliğini sağlamaktır. Çoğu danışmanlık şirketi ISO 27001 çalışmalarını bir danışmanlık hizmeti almadan gerçekleştiremeyeceğinizi söyler. Biz buna katılmıyoruz, elbette siz de standardı uygulayarak kendiniz bu standardı çalışabilirsiniz fakat bu bir öğrenme deneyim ve zaman meselesidir. Bu kadar zaman israfına gerek var mı? Düşünülmesi gereken bir konudur.
Ne Yazık ki Bilgi Güvenliği İhlalleri Maliyetlerini Ölçmüyoruz
Bugün ne yazık ki bilgi güvenliği ihlallerinin, siber güvenlik tehditlerinin kurum ve kuruluşlara maliyetinin henüz ölçülemediğini düşünüyoruz. Konu Türkiye açısından bakıldığında çok daha karmaşık bir durum halini alır. İstatistik tutma anlamında başarılı olamadığımız ortadadır. Bilgi güvenliğini sağlamak en önemli hedeflerimizden biri olmalıdır. Burada belirtmek gerekir ki BGYS’nin kurulması bir aşama olarak görülse de önemli olan Bilgi Güvenliği Yönetim Sistemi’nin sürdürülebilirlik mantığı çerçevesinde sürdürülebilir bir halde kurumlarda uygulanması gerekir. Bilgi Güvenliği Yönetim Sitemi BGYS’nin kurumların faaliyetlerine devam edebilmeleri ve ayakta kalabilmeleri için çok önemli bir araçtır.
ISO 27001 Danışmanlığı ve VMİ Danışmanlık Tecrübeleri
VMİ Danışmanlık, Bilgi Güvenliği Danışmanlığı alanındaki saha birikimini en işlevsel bir şekilde kurumlara özel olarak adeta bir terzi gibi çalışarak kuruma uygun Bilgi Güvenliği Yönetim Sistemi kurar. Ne yazık ki çoğu kurumda siber güvenlik konusunda çalışan bir elaman, bir siber güvenlik uzmanı işe almakla tehditlerin biteceğini düşünmek gibi bir yanılsama vardır. İşe bir bilgi güvenliği uzmanı almak, siber güvenlik uzmanı istihdam etmek önemli bir karar olsa da, şirketteki her çalışan bilgi güvenliği, siber güvenlik uygulamalarıyla ilgili bilgi sahibi olmazsa o kurumun siber güvenliği tehlike altındadır. İçinde güvenlik kelimesi geçen her konusu birçok kez düşünülmesi gereken bir alandır. Bilgi güvenliği ise bilgi çağının ayrılmaz unsurlarından biri olmuştur. En değerli varlığımız olan bilgiyi, veriyi korumak hem yasal olarak görevimiz hem de en temel iş amacımız olmalıdır. Zira o bilgilerin içinde bize emanet edilmiş çalışanlarımızın veya müşterilerimizin özel/kişisel verileri de bulunmaktadır. Elimizdeki bilgileri korumanın başka sorumlulukları olduğunu bilmemiz gerekir bu konudaki regülasyonları hızla gelişeceğini tahmin edebiliriz. TBMM’de yer alan yasa tasarıları bilgi güvenliği için gereklidir.
Bir Kurumda Bilgi Güvenliğini Sağlamanın Temel Aşamaları
Bir kurumda siber güvenliği sağlamanın temel aşamaları vardır. Öncelikle daha hatlarınız ve enerji hatlarınızı kontrol edin. Yıllar önce yapılmış kablolarla geleceğe varamazsınız. Kullandığınız cihazlarınızın teknolojisini araştırın bütçeniz varsa efektif olarak cihazlarınızı yenileyin. Lisans konusu çok önemlidir, lisanslarınızı kontrol edin. Server odanız varsa güvenliğinden emin olacak sistemler ısı ölçer, nem ölçer odaya giriş çıkışı haber veren sistemler kurun mümkünse server odasının kapısını kamera ile gözetleyin. Antivirüs yazılımları, firewall’lar, sandbox’lar aracılığı ile kötücül yazılımlara karşı temel önlemleri almaya çalışın. Ancak saldırganlar, bu korumaları baypas edecek başka yollara sahiptirler. Siber saldırganlar koruyanlardan bir adım önde. Siz de bir çalışanınızı etik hacker kursuna gönderebilirsiniz. Kurumlardaki siber saldırıların çoğunun yazılım açığı ya da cihazlardan kaynaklanan sorunlar olmadığını aslında sorunun temel kaynağının çalışanlar yani insan faktörü olduğunu görürüz. Siber saldırıların tespiti zordur çünkü bir siber saldırıyı tespit etmek çoğu zaman kolay değildir. Kötücül yazılımlar sistemleri hemen kesintiye uğratmazlar. Genellikle bu yazılımlar tüm ağa erişmek amacıyla spesifik hedeflere yönelik saldırılar planlaması için siber saldırganlara bilgi sağlarlar.
ISO 27001 Standardı Nasıl Bir Standarttır?
Öncelikle panik yapmayın. Uygulanamayacak şeyler zaten standart olamaz! Bilgi Güvenliği Yönetim Sistemi ISO 27001-2013 standardı kurumların bilgi güvenliğinin sağlanması için çok önemli bir sistem ve standarttır. Çünkü ISO 27001 çok önemli tecrübeler sonunda ortaya çıkmış ve çok karmaşık bir alanı sadeleştiren önemli bir ISO standardıdır. Bu standart olaya bütüncül bakarak yönetilmesi kolay bir metot sunar. Varlık envanterinin hazırlanması, risk analizi, altyapı araştırmaları, yetkiler, politikalar, prosedürler, talimatlar, formlar ve yönetim dokümanları aracılığı ile bilgi güvenliğini sistematik, yönetilebilir, denetlenebilir, ölçülebilir bir hale getirir. ISO 27001 size daha yönetebilir bir IT/BT sağlar. VMİ danışmanlık olarak ISO 27001:2013 standardının geliştirilmesi gereken yönleri olsa da temel bir bilgi güvenliği yönetim sistemi için yeterince uygulanabilir olduğunu düşünüyoruz. Bu standardında bilişim ve iletişim teknolojilerindeki hızlı gelişmelerden en çok etkilenen standart olacağını söyleyebiliriz bu nedenle ISO 27001 standardında sık sık reviyon göreceğiz.
ISO 27001:2013 Bilgi Güvenliği Danışmanlığı Hizmeti İçinde Neler Vardır?
Bir kurumda Bilgi Güvenliği Yönetim Sistemi BGYS kurmak için öncelikle mevcut durum analizi ile işe başlanır. Varlık envanteri çıkarılır. Odalar, çalışanlar, altyapılar, bilgi varlıkları belirlenir ve bu varlıklar üzerinde risk analizi yapılır. Bilgi güvenliğini yönetim sisteminin kapsamı ve bağlamı belirlenir. Bilgi güvenliği yönetim sisteminin dokümantasyon yapısı kurulur. Dokümantasyon sade, anlaşılabilir ve yönetilebilir olmalıdır. Çalışanlara bilgi güvenliği bilinçlendirme eğitimi verilir. Kurumda bilgi güvenliği yönetim sistemini denetleyecek bilgi güvenliği iç tetkikçileri eğitilir. İç tetkiler planlanır, tetkik hayata geçirilir. Bulunan uygunsuzluklar kayıt altına alınıp giderilir. Son olarak kurulum aşamasından son aşamaya kadar kurulan bilgi güvenliği yönetim sistemi yönetim tarafından gözden geçirilir. Son aşama dış denetim yani belgelendirme denetimidir. VMİ Danışmanlık tüm bu süreçlerde sahada uygulama yapan, çalışan, deneyimlerini aktaran, bilgi birikimini kurumla paylaşan bir yapıda çalışma yapmaktadır.
ISO 27001:2013 Bilgi Güvenliği Danışmanlığı Uygulamaları Ana Başlıkları
Durum tespiti. Varlık yönetimi çalışmaları. Bilgi sınıflandırma çalışmaları. İnsan kaynakları güvenliği. Fiziksel erişim alanları. Risk analizi çalışmaları. Altyapı kontrolleri. Ağ güveliği, veritabanı ve yazılım güvenliği. Şifre parola yönetimi. kimlik yönetimi, yetki yönetimi. Test ortamı güvenliği. Dokümantasyon yönetimi. Disaster recovery. Sosyal mühendislik, penetrasyon testleri. Log yönetimi. Yasal uyum. İş sürekliliği. Denetimler. Sistem geliştirme şeklindeki ana başlıklarla özetlenebilir.
VMİ ISO 27001 Danışmanlığı ile Süreçlerinizi Kontrol Altına Alabilirsiniz
Bugün siber güvenlik, bilgi güvenliği ihlalleri çok maliyetlidir. Bilgi güvenliği ihlali durumunda finansal olarak zarar görebilirsiniz, itibarınız zedelenebilir, markanız zarar görebilir ve yasalara uymadığınız için ceza alabilirsiniz. VMİ Danışmanlık olarak her kuruma ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardını öneriyoruz. Her kurum belge almak zorunda değil. Standardı içselleştirip kurumda uygulamaya başlama da önemli bir başlangıçtır.
Siber Olaylara Müdahale Bir Ekip Gerektirir SOME'nizi Kurun
Aman dikkat! Siber saldırganların tek hedefi sizden para söğüşlemek ya da size finansal olarak zarar vermek değildir. Çoğu zaman müşterilerinizin sisimleri, e-posta adresleri de siber saldırganların hedeflediği verilerdir. Çalışanlarınızı siber güvenlik tehditleri konusunda sürekli bilgilendirin ve onları bilgi güvenliği konusunda eğitin. Kurumunuzun verilerini korumak sizin yükümlülüğünüzdedir. Firmanızın işlediği veri türlerine uygun bir güvenlik protokolünü geliştirin. Siber güvenlik vakalarını çalışın ve bir SOME yani siber güvenlik olayları müdahale ekibi kurun. Teknolojik yenilikleri takip edin. Ağınıza giren ve çıkan trafiği kontrol edin.
Siber güvenlik tehditleri kişileri, kurumları, firmaları hatta devletleri hedef almaktadır. Ülkeler siber güvenliklerini sağlamak için çeşitli yasal ve organizasyonel çalışmalar yapmaktadırlar. Sizin IT/BT ya da bilgi işlem adını verdğiniz ekiplerin en temel hedefi bilişim sistemlerinin yönetimini yapmak ve güvenliğini sağlayarak, şirketinizin iş sürekliliğini ve sürdürülebilirliğini sağlamaktır. VMİ Danışmanlık Bilgi Güvenliği yaklaşımlarında regülasyonların önemini sürekli vurgulamaktadır. Biz danışmanlık şirketi olarak bu konudaki gelişmeleri takip etmek amacıyla periyodik olarak hukukçulardan eğitim alırız.
VMİ Bilgi Güvenliği Danışmanlığı Önerileri: Kurumunuzun Bilgi Güvenliği Farkındalığını Artırmak İçin Şunları Yapabilirsiniz
Çalışanlarınıza periyodik olarak bilgi güvenliği bilinçlendirme eğitimi yapabilirsiniz. Firmanızın, kurunuzun toplantı salonlarına veya ortak kullanım alanlarına bilgi güvenliği, siber güvenlik ile ilgili posterler, görseller asabilirsiniz. Siber güvenlik teknolojileri, yazılımları veya siber güvenlik ile ilgili haberleri kurum içi bülten hazırlayarak çalışanlarınızla paylaşabilirsiniz. Bilgi güvenliği ile ilgili zaman zaman çalışanlarınıza, bilgi güvenliği ile ilgili e-postaları gönderebilişiniz. Bilgi güvenliği ile ilgili dokümanlarınızı bir portal aracılığı ile çalışanlarınızın daha kolay ulaşabileceği şekilde konumlandırabilirsiniz. Bilgi güvenliği politikanızı, mottonuzu ekran koruyucuların ve arka plan resimleri şeklinde ayarlayabilirsiniz. Zaman zaman phishing, anket gibi yöntemlerle bişlgi güvenliği seviyenizi ölçek amacıyla araçlar kullanabilirsiniz.
VMİ Bilgi Güvenliği Danışmanlığı Siber Olaylar Sonrasında Şunları Öneriyor
ISO 27001 Danışmanlığı yaparken en çok gözardı edilen konunun SOME yani Siber Olaylara Müdahale Ekibinin kurulmasının şekli olarak yapıldığını gördük. Oysa SOME’ler ekip çalışması için önemlidir. Siber saldırıya hedef olduysanız sakinliğinizi koruyun. Varsa SOME ekibinizi toplayın. Saldırıya uğradığınız açığı bulun. Bulduğunuz açığı raporlayın ve sebeplerini araştırın. Çünkü buradan bir öğrenme çıkarmalısınız. Bulduğunuz açığı bilgi güvenliği olay ihlal formlarına işleyin ve kayıt altına alın. Saldırı sonrasında sistemi ayağa kaldırdıktan sonra sizin gibi bu saldırıya hedef olmuş insanlarla bilgi paylaşımında bulunun, onların tavsiyelerini dinleyin, not alın. Yaşanan siber saldırının maliyetini çıkarın, verdiği zararı tespit edin, daha iyi önlemler için yazılım ve teknoloji arayışına başlayın. Yaşanan siber saldırının kök nedenlerini iyi tespit edin bu saldırıyı üst yönetimden saklamayın onlarla olayı şeffaf bir şekilde paylaşın. Sizin yaşadığınız siber saldırının bir daha yaşanmaması için önlemler alın ve başkalarının saldırıdan etkilenmemesi için sektörünüzle, meslektaşlarınızla bilgi paylaşımında bulunun.
Bilgi Güvenliği Yönetim Sistemi Kurulumunda Terzi Gibiyiz Kuruma Özel Çalışıyoruz
VMİ olarak terzi gibi çalışıyoruz. Her kurumun farklılığını bilerek Bilgi Güvenliği Danışmanlık hizmetimizi kuruma özel olacak şekilde hazırlıyoruz. Dünyada hızla uygulaması yayınlan ISO 27001 Bilgi Güvenliği Yönetim Sistemi daha önceki haliyle karmaşık bir standart iken ISO 27001:2013 revizyonu ile bilgi güvenliği konusunda her kuruma önereceğimiz bir standart haline gelmiştir. Bu standart ile mutlaka bir belge sahibi olmak zorunda değilsiniz. Fakat siz de takdir edersiniz ki ISO 27001 standardını kurumunuzda uyguladıktan sonra onu TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardı ile taçlandırmak kurunuzu bir adım iletiye taşıyarak bilgi güvenliğine vermiş olduğunuz önemin müşterileriniz tarafından da görülmesi gibi bir sonuç sağlar. VMİ Danışmanlık ile kurumunuzda bilgi güvenliği yönetim sistemi BGYS standardını çalışırsanız: Kurumsal risklerinizi kontrol edebilir, iş sürekliliğini sağlayabilirsiniz.
Dokümana Boğmadan Sürdürülebilir ve Yönetilebilir Bir ISO 27001 Sistemi
Türkiye, bilgi güvenliği yönetim standardına büyük ilgi göstermektedir. Fakat bu çok teknik bir konu olduğu ve kurumların ana omurgasını teşkil eden bilgi ve iletişim sistemleriyle doğrudan ilgili olduğu için çok büyük hassaslıklar gerektiren bir konudur. VMİ Danışmanlık ISO 27001 Bilgi Güvenliği Yönetim Sistemi alanında hem kamu kurumları hem de özel sektör ile çalışmalarında önemli saha tecrübeleri biriktirmiştir. ISO 27001 danışmanlık hizmetimiz süresince bilgi güvenliği kurallarına uygun olarak sistemi sizin yapınıza özel olarak inşa ederiz. Dokümanlar içinde boğulmadan kolayca sisteminizi yönetmeniz için size en uygun pratik yöntemleri sunarız. Biz VMİ danışmanlık olarak dijitalleşmeye çok önem veriyoruz. Sürdürülebilirlik kavramı bizim için birinci derecede önemlidir. Çünkü Birleşmiş Milletler (UN-UNDP) tarafından ilan edilen 17 Sürdürülebilir Kalkınma Hedefi ile ilgili bilgi dağarcığımız geniştir. Bu anlamda birçok uygulama görmüş bir danışmanlık şirketi olarak dijital dünyanın geleceğine inanıyoruz. Dijital dünyada verilerin korunmasına yani bilgi güvenliğinin sağlanmasına yönelik çalışmalara önemli katkılar sağladık ve sağlamaya devam edeceğiz.
Sürdürülebilir Kalkınma Hedefleri SDG'ler İçin Dijitalleşmeyi Önemsiyoruz
Sürdürülebilir bir dijital dünya için sürdürülebilir yaklaşımlar ve metotlar geliştiriyoruz. ISO 27001 danışmanlığı ile sizlerin bilgi güvenliği ihtiyacınıza en uygun olacak şekilde sisteminizi kuruyoruz. Bu sistem sadece bir dokümantasyon yığınını kapsamaz. ISO 27001 Danışmanlık hizmetimiz içinde siber güvenlik teknoloji önerilerimiz, penetrasyon testlerimiz ile de sizlere en uygun teknoloji, yazılım, sistem önerilerimizi sunuyoruz. VMİ Danışmanlık olarak kurumunuzun bilgi güvenliği yönetim sistemini baştan aşağı yeniden inşa edebilir ya da var olan sisteminize uygun siber güvenlik yöntemleri de geliştirebiliriz. Bilgi güvenliği yönetim sistemi kurarken eğitimler, çalıştaylar, vaka analizleri, sosyal mühendislik testleri, zafiyet taramaları, POC of Proof çalışmaları ve kıyaslamalarımızla iş sürekliliğinize büyük katkı sağlarız.
ISO/IEC 27001:2013 Danışmanlığı ve Kurumsal İtibar
Biz inanıyoruz ki daha iyi bir siber güvenliğe sahip bir işletme olmak sektörde ayakta kalmanın en önemli becerilerinden biridir. Bilgi güvenliği yönetim sistemini kurmuş ISO 27001:2013 belgesine sahip ve bunu içselleştirmiş bir kurum marka imajını yükseltir. ISO 27001 belgesinin müşteri sadakati konusunda da önemli artıları vardır. Müşterileriniz, paydaşlarınız kendilerini güvende hissederler. Yapılan bir araştırmaya da bunu doğrulamıştır. Her 10 firmadan 9’u bilgi güvenliğini iyileştirmenin müşteri sadakatini ve güvenini artırdığını ve şirketlerinin itibarını yükselteceğini beyan etmişlerdir. Ayrıca yetkilendirilmiş gümrük yükümlülüğü almak isteyen firmalar için ön koşullardan biri de ISO 27001 belgesidir. VMİ Danışmanlık olarak siber güvenlik konusundaki her adımı destekliyoruz. Devletimizin bu konuya olan ilgisini takdir ediyor daha çok odaklanma ve çalışmalar bekliyoruz. VMİ, ülkemizdeki siber güvenlik ekosisteminin geliştirilmesi amacıyla daha çok katkı verilmesinin bugünün şartları açısından bir gereklilik olduğuna inanmaktadır.
VMİ Danışmanlık, bilgi yönetimi, bilgi güvenliği, siber güvenlik, iş sürekliliği yönetimi, kurumsal risk analizi alanlarında bilgi, beceri ve saha tecrübeleri ile kurumunuza katkı sağlamaktan büyük mutluluk duyar.