Cyber Essentials, kuruluşların kendilerini yaygın siber tehditlere karşı korumalarına yardımcı olan, Birleşik Krallık hükümeti tarafından desteklenen bir programdır. Ulusal Siber Güvenlik Merkezi tarafından yönetilen ve hem hükümet hem de özel sektör (NCSC) tarafından desteklenmektedir. Cyber Essentials ilk olarak 5 Haziran 2014’te tanıtıldı ve 1 Ekim 2014 itibarıyla hükümet, belirli türde hassas ve kişisel olarak tanımlanabilen bilgilerin işlenmesini gerektiren sözleşmeler için rekabet eden tüm sağlayıcıların sisteme göre sertifikalandırılmasını zorunlu kıldı. Bu tür sözleşmeler, belirli bir bilişim teknoloji ürünlerinin teslim edilmesini ve kişisel bilgilerin işlenmesini içerir. Diğer kuruluşlar için zorunlu değildir. Siber güvenlik konusunda tam uzmanlığa sahip işletmelere verilir.
Cyber Essentials Plus, Cyber Essentials ile aynı basit yaklaşımı izler ve benzer faydaları sunar. Ancak, önemli bir açıdan farklılık gösterir;
Cyber Essentials Plus sisteminizin teknik denetimini içerir, kontroller aynıdır, denetim sadece bunların yerinde ve düzgün yapılandırılmış olmasını sağlar. Denetim süreci standart sertifikasyona göre biraz daha fazla çaba gerektirir, ancak güvenliğinizin standartlara uygun olduğu konusunda netlik kazandırmaktadır. Cyber Essentials Plus, tüm iç güvenlik türlerini kapsadığından ve harici bir güvenlik açığı testini geçmeyi içerdiğinden, temel bilgilerin durumunu yönetmeye yönelik daha uygulamalı bir yaklaşım olarak oluşturulmuştur.
Cyber Essentials Sertifikası mı yoksa Cyber Essentials Plus Sertifikası almalısınız?
Hangi sertifikayı almak istemeniz organizasyonel ihtiyaçlarınıza bağlıdır. Kamu sektöründe çalışmak istiyorsanız ve merkezi hükümet sözleşmeleri (belediyeler vb) için teklif veriyorsanız, minimum olarak (Cyber Essentials) istenecektir.
Kuruluşunuzun siber güvenlikle uyumlu olduğunu, veri korumayı ciddiye aldığını ve aşağıdaki gibi hassas veriler tuttuğunuzu göstermek istiyorsanız Cyber Essentials Plus sertifikasını da almak isteyebilirsiniz.
- Cyber Essentials Plus ise bağımsız bir denetçi tarafından (şahsen ya da uzaktan) ziyaret edilme özelliğine sahiptir. Böylece güvenlik bilgilerinizin eksiksiz olduğu konusunda güven oluşturmanızı sağlamaktadır.
- Cyber Essentials Plus ile yüksek değerli müşterilerle çalışmak istiyorsanız çalıştığınız müşteriler ne kadar prestijli olursa güvenlik gereksinimlerinin de o kadar sıkı olacağı genel bir kuraldır.
- Cyber Essentials Plus, yüksek beklentileri olan potansiyel müşterilere veri koruma ve siber güvenliği ciddiye aldığınızı göstermenize yardımcı olur ayrıca rakiplerinizin önüne geçmenizi sağlar.
- Halkla doğrudan etkileşim halinde olan tüm işletmeler siber güvenliği en önemli öncelik haline getirmek zorundadır. İşletmeniz ister iletişim bilgileri ister finansal bilgiler veya kişisel verileri saklasa da bunları korumak, özen göstermek yükümlülüğünüzün bir parçasıdır. Cyber Essentials Plus’a yatırım yapmak yalnızca kuruluşunuzu daha iyi korumak için gereken önlemleri almanıza yardımcı olmakla kalmaz, aynı zamanda müşterilerinize güvenliği, kişisel verileri, ciddiye aldığınızı gösterir.
- Standartların üzerinde güvenlik gerektiren bir sektörde çalışıyorsanız siber saldırılar karşısında diğerlerine göre daha fazla risk altında olabilir veya daha iyi bir korumaya ihtiyaç duyabilirsiniz. Cyber Essentials Plus’ın sağladığı ekstra değerlendirme ve doğrulama, hedef alınma olasılığınız daha yüksekse kuruluşunuzun aleyhinedir. Siber suç maliyetlerinin 2025 yılına kadar 10,5 trilyon dolara ulaşması beklenen şaşırtıcı artışlardan biridir. (2024 yılı en iyi Siber Güvenlik İstatistiklerine https://www.cobalt.io/blog/cybersecurity-statistics-2024 adresinden ulaşabilirsiniz.)
- Özellikle yurt dışında devlet fonlarına erişmek veya ihalelere katılmak istiyorsanız Cyber Essentials Plus’a sahip olmalısınız, çünkü henüz tüm devlet fonları ve sözleşmeler için zorunlu olmasa da zorunlu olma yolunda ilerlemektedir. Benzer şekilde, birçok sağlık, sigorta ve savunma ihalesi başvuru sahiplerinin Cyber Essentials Plus olmasa da en azından standart sertifikaya sahip olmalarını zorunlu kılmaktadır. Hatta sözleşme bunu gerektirmese bile Cyber Essentials Plus’a yatırım yapmak için bir gerekçeleri mevcuttur.
ISO 27001 BGYS sertifikasının Cyber Essentials Plus sertifikası ile bağlantısı nedir?
Cyber Essentials ve Cyber Essentials Plus’ta olduğu gibi, ISO 27001 varlıklara daha fazla odaklanan, bilgi güvenliği riskini yönetmeye yönelik sistematik bir yaklaşım olan BGYS (Bilgi Güvenliği Yönetim Sistemi) için spesifikasyonlar sağlayan uluslararası bir standarttır. Cyber Essentials’tan çok daha ileri kapsayıcıdır lakin Cyber Essentials Plus ile birbirlerini tamamlamaktadır. Hangi akreditasyona başvuracağınıza karar vermek kuruluşunuzun ihtiyaçlarına bağlıdır.
Kurumunuzun Cyber Essentials Plus uyumluluğu konusunda nerede durduğuna dair net bir görüş sunarak, BT güvenliği başarısı elde etmek için benzersiz bir strateji oluşturmak üzere info@cfecert.co.uk adresinden bizlere ulaşabilirsiniz.
