Bilgi güvenliği yönetişimi sağlam bir sürece dayalı olarak tasarlanmalıdır. Bilgi güvenliği başkanının (CISO) koruyucu tedbirler sunması ve artan tehditlerle kendini haklı göstermesi artık tek başına yeterli değildir. Bugün, kontrollerin uygulanmasına yönelik süreçler, tüm paydaşlar tarafından anlaşılmalı ve kabul edilmelidir. Güvenlik kontrolleri geleneksel olarak tehditleri ele almak, kaza riskini azaltmak veya yönetmeliklere uyumu sağlamak için kurulmuştur. Aşağıdan yukarıya çeşitli fırsatlar sunan böyle bir yaklaşım, yöneticilerin maliyetler veya uzun vadeli planlama üzerinde kontrolü olmadığı için artık günümüzde sürdürülebilir değildir. Bu nedenle, Siber Güvenlik programı yönetim süreci veya bilgi güvenliği yönetim sistemi (ISMS) oluşturmak, karar verici CISO’lar için büyük önem taşımaktadır. Yönetim omurgası ve iş birimlerini içeren, yinelemeli sürece dayalı bir yönetim sisteminin başlatılması, kararların kalitesini ve özellikle tüm paydaşların desteğini sağlar.
Bugün sizlerle paylaşacağım bu yazımda aşağıdaki soruların cevapları sizlerle paylaşacağım:

  • Siber Güvenlik programı nedir?
  • Bu program nasıl kurulur?
  • Bu programının bileşenleri nelerdir?
  • Bu programı yönetmek için gerekli araçlar nelerdir?
  • Bu program inceleme döngüsü uygulamada nasıl işlemektedir?

Siber güvenlik programı, bir şirketin varlıklarını korumak için, her şeyden önce üç seviyeli modele ve daha genel olarak tüm faaliyetlere, düzenleyici çerçeveye ve süreçlere göre stratejik, taktik ve operasyonel kontrolleri uygulamak için hayata geçirdiği tüm önlemlerden oluşur. Siber güvenlik programı yönetimi, mevcut kontrollerin yönlendirilmesi ve denetlenmesini, operasyonel faaliyetleri, değişiklik projelerini, planlama ve koordinasyonu içerir. Güvenlik programının yönetimi, ISO 27001 standardında önerildiği gibi bir ISMS tanımına karşılık gelir. Bu nedenle, iki seçim birbirinin yerine kullanılabilir ve genellikle aynı şeyi belirtir.
Bir güvenlik programı, stratejinin gerekliliklerini, iç ve dış düzenleyici çerçeveyi karşılaması gerekmektedir. Tanımlanmış bir organizasyona göre yürütülür ve yönetim tarafından kararlaştırıldığı gibi olgunluğu iyileştirmeye yönelik risk tedavileri ve projeleri içerir. Bir güvenlik programı yürütmek CISO’nun ana sorumluluğudur. Öncelikle CISO, tüm kontrollerin düzgün çalışmasını sağlamalı ve daha sonra daha önce tanımlanan stratejik güvenlik girişimlerini uygulamalıdırlar.
Resmi bir sürece göre program yönetimi son derece önemlidir. Güvenliğin riski azalttığını göstermek önemlidir, ancak sürece güvenmek daha da önemlidir. Sonuçlara duyulan güven, aslında sürece olan güvene bağlıdır. Bu nedenle, bir riskin tedavisi iyidir, ancak tüm risklerin tanımlandığını ve tedavilerinin planlandığını göstermek daha da iyidir. Bu nedenle, programı sürekli bir iyileştirme süreci şeklinde yineleyerek yönetmek ve karar alma mercilerini dahil etmek etkili yönetişim için esastır. Hiçbir şeyin şansa bırakılmama yeteneği, üst düzey yetkililere güven aşılamaktadır. Bu aynı zamanda denetçileri, düzenleyicileri ve tüm paydaşları da güvence altına alır.
Bir güvenlik programının tasarımı, sürekli iyileştirmeye ve aynı düzensizliklerin tekrarlanmasını önleyen problem çözme, risk azaltma ve önceliklendirme döngüsü oluşturur. Üst düzey yöneticiler ve Yönetim Kurulu üyeleri, şirketin strateji ve politikalara göre korunması için ISMS veya güvenlik programının kapsamlı olmasını bekler.
Bir programın tüm paydaşlar tarafından kabul edilebilmesi için, standartların veya denetim bulgularının tavsiyelerine dayanması ve ayrıca aşağıdaki hedefleri entegre eden bir süreç içerisinde kararlaştırılan iyileştirme noktalarını içermesi gerekir: risk azaltma, iş ihtiyaçlarına uyum, yeni entegre teknolojiler, denetim bulgularına yanıt, olgunluğun iyileştirilmesi, vb.
Yeni güvenlik projeleri, ancak bir riski tedavi etme, güvenlik duruşunu iyileştirme, süreç olgunluğunu iyileştirme, denetim bulgularına cevap verme veya stratejik girişimler uygulama gereği başlatılmalıdır. ISMS sadece bir dizi operasyonel kontrollerden oluşmamaktadır. Her şeyden önce, bir şirketin varlıklarının en iyi şekilde korunmasını sağlamak için sistematik bir sürekli iyileştirme yaklaşımıdır. ISMS ve Gözden Geçirme döngüsü geliştirmek için gerekli iyi uygulamaları içeren ISO 27001 standardı kullanılabilir. Güvenlik programını geliştirirken standart tarafından savunulan aşağıdaki temel ilkeler dikkate alınmalıdır:

  • Güvenlik organizasyonu durumu (strateji ve stratejik uyum)
  • ISMS çerçevesinde yönetim desteği ve organizasyonu
  • Politikaların ve düzenleyici çerçevenin önemi
  • Risk yönetimi: tanımlama, değerlendirme ve tedavi
  • Risk analizine dayalı planlama ve hedef belirleme
  • Kaynakların sağlanması
  • Farkındalık ve iletişim
  • Kontrollerin kurulması ve yönetimi
  • Performans değerlendirmesi
  • Uygunsuzlukların sürekli iyileştirilmesi ve yönetimi

Siber güvenlik program kurulması için aşağıda belirttiğim kapsamların oluşturulması gerekmektedir.

  • Strateji: Stratejik hedefler ve girişimler, Karar Verme sürecinde karar vermenin temel bileşenleridir. Program için belirlenen öncelikler bu hedefleri dikkate almalıdır.
  • Politikalar: Yasal çerçeve, güvenlik programı için gereksinimleri belirler. Belgeleri, uyulması gereken kuralları ve kontrollerin nasıl uygulanacağına ilişkin talimatları içerir.
  • Organizasyon: Program yönetimi, yönetimin, komitelerin, CISO ve ekibinin, BT’nin ve diğer tüm paydaşların görev ve sorumluluklarını tanımlar. Sorumluluklar “Karar Ver – Decide”, “Yap – Do” ve “Gözlemle – Monitor” gibi üç süreçte tanımlanmalıdır.
  • Risk yönetimi: Yönetim süreci, şirketin varlıklarının ana tehlikelerini vurgular. Bu, program içindeki kontrollerin güçlendirilmesini planlamayı mümkün kılar.
  • Raporlama ve gözetim: Karar verme sürecinde gerekli olan tüm raporların üretilmesi ve faaliyetleri izleme sürecinin bir parçasıdır.
  • Varlık yönetimi: Varlık yönetimi kontrolleri, risk yönetimi sürecine katkılarıyla program yönetiminde dolaylı olarak yer alır. Korunacak varlıkların bilgisi, ilgili sorumluluklar ve bunların sınıflandırılması, güvenlik programı dahilinde herhangi bir karar almak için vazgeçilmez bir kaynaktır.
  • Uygunluk: Uygunluk, bizlere boşlukları doldurmak için gerekli tüm boşluk analizlerini ve önerilerini sağlar. Hem dış hem de iç düzenleyici çerçeve ile ilgilenir. Denetim bulguları da bu kapsamın bir parçasıdır.
  • Metrikler ve KPI: İzleme işleminin bir parçası olarak raporlama için gereken tüm performans ölçümlemelerini sağlar.

ISO 27001/2 standardı muhtemelen bir programın bütünlüğünü doğrulamak için iyi bir kaynaktır. Güvenlik programı gözden geçirme döngüsü ile ilgili standartların önerilerine daha yakından bakarsak, hepsi aşağıdaki siber güvenlik program yönetiminin dört temel bileşeni vurgulamaktadır:

  1. İyileştirmeleri planlama
  2. Kontrol noktalarının tanımlanması
  3. Sonuçları değerlendirmek için göstergeler veya metrikler
  4. Planlama amaçlı raporlama

Bir ISMS önceliklerin yönetiminde yinelemeli bir süreç oluşturması gerekmektedir. Program gözden geçirme döngüsü öncelikle yıllık planlar veya Bilgi Sistemleri iş planları geliştirildiğinde kullanılır. Öncelikle bize güvenlik programının durumu hakkında bilgi veren bir dizi raporumuz bulunmalıdır. Güvenlik durumu olarak adlandırılabilecek bu rapor kümesi, İzleme sürecinde ve Geri Bildirim’in bir parçası olarak üretilen aşağıdaki öğelerden oluşmaktadır:

  1. Riskler hakkında rapor ve her şeyden önce risk analizi sonucunda gerekli olan tedavilerin özellikleri bu raporda bulunmalıdır.
  2. Kontrollerin olgunluğu hakkında rapor. Bu rapor istenen ve mevcut durum arasındaki boşlukları, gerekli ve acil iyileştirmeleri vurgulamalıdır.
  3. Projelerin durumu ve özellikle dönem için planlanan tamamlanma derecesi hakkında rapor.

Risk raporu bize, önemli riskleri azaltmak için hangi tedavilerin planlanması gerektiğini söyleyecektir. Kontrol olgunluğu raporu, risk azaltma için gerekli tedavilerle ilgili olarak kontrollerdeki iyileştirmelere öncelik vermemizi sağlayacaktır. Son olarak, proje durum raporu, yeni durum, stratejik değişiklikler ve gelecek dönem için diğer zorunluluklara dayalı olarak belirli projelere devam edip etmemeye veya önceliklendirmemize karar vermemize yardımcı olacaktır. Sınırlı kaynaklar nedeniyle, belirli projeleri yeniden önceliklendirmek nadir değildir, ancak bu proje portföyüne aşina olan yönetim veya planlama komitesi tarafından yapılmalıdır. Bu raporları hazırlama sorumluluğu CISO ve ekibine aittir. Bu raporda “Yap – Do” işleminden kaynaklanan metrikler veya KPI’lar, özellikle aşağıdakiler kullanılarak üretilir:

  • Olaylar ve eğilimler
  • Kontrol noktası olgunluklarının değerlendirilmesi
  • Denetim bulguları
  • Yasal ve düzenleyici çerçeve ile uyum boşluğu
  • Proje ilerleme göstergeleri

İzleme sürecinde stratejinin gözden geçirilmesi yukarı yönlü olarak yapılmalıdır. Proje durum raporları, bir sonraki dönem için stratejik yönelimler veya gözden geçirilmiş bir strateji ile desteklenmelidir. Stratejiyi gözden geçirme sorumluluğu, bu görev için özel olarak oluşturulmuş bir komitede olmakla birlikte, yönetim kurulu veya yetki verilen bir komitenin yönetim organı tarafından onaylanması ile ilgilidir. Cari yıl için belirlenen hedefler ile gerçekte ulaşılan hedefler arasındaki fark Karar sürecinde belirlenir. Bu boşluk analizine ve stratejide ortaya konan yeni ihtiyaçlara dayanarak yeni bir plan (veya yeni hedefler) hazırlanmalıdır. Bu planın hazırlanma sorumluluğu yönetim veya bir komiteye ait olabilir. Bu yeni planın sponsorluğu, tüm paydaşlar tarafından kabul edilmek üzere sağlanmalıdır.
Güvenlik yönetişimi için güvenlik departmanlarının kurumsal varlıkları korumak için bir plan oluşturması gerekmektedir. Planın üretilmesi süreci nihai sonuç kadar önemlidir, çünkü iç ve dış paydaşların riski azaltmanın ve güvenlik stratejisinin uygulanmasının karar vericileri içeren bir süreçten kaynaklandığının bilmesi gerekir. Karar verme adımlarını içeren resmileştirilmiş bir süreç aracılığıyla, hedeflerin belirlenmesinden başarılarına kadar üst yönetimin güvenlik çabalarını izlemelerini sağlar.