COVID-19 yaşadığımız en evrensel sorun olsada, iş sürekliliği kayıpları sürekli karşımıza çıkmıştır.
Yakın geçmişte Türkiye’de e-ticaret sitelerindeki kişisel olarak tanımlanabilir veri kayıpları ve düzenlenen cezaları oldukça sık duyduk. İngiltere’deki TSB ve ABD, Meksika ve Hindistan’daki bankalar da dahil olmak üzere dünya çapında başka yüksek profilli ihlal vakaları da vardı.
Bir risk olarak siber suç kavramı, Bilgi Güvenliği Yönetim Sistemi ISO 27001’in uygulanması gibi önlemler dahil olmak üzere kuruluşları korumak için kullanılmaktadır. Veri gizliliği sorunlarını ele almak için GDPR, KVKK ve diğer ulusal yasalar da yayınlandı.
ISO, veri gizliliği mevzuatının ek ihtiyaçlarını karşılamak ve ISO 27001’i genişletmek için yakın zamanda ISO 27701, ISO 27017 ve ISO 27018’in yayınlayarak konunun önemini bir kez daha gündeme getirdi. Yakın zamanda bu konuyla ilgili bir webinar düzenledik, kaydedilmiş sürümü buradan izleyebilirsiniz: Bulut Hizmetlerinde Bilgi Güvenliği ve Kişisel Verilerin Korunması
Burada listelediğim örnekler, her zamankinden daha karmaşık siber suç ve dijital saldırı yöntemlerinin başlamasıyla yaklaşık son 5 yılda büyüyen bir risk faktörleri modelini göstermektedir. Bazı durumlarda, kuruluşların kontrol etme veya yanıt verme yeteneği, eski bilgi çerçevelerinin ve varlıklarının sürekli kullanımıyla azalır.
Özellikle bazı kuruluşlar bunu son zamanlarda hissettiler ve personellerinin uzaktan çalışma modeli altında büyük maliyetli varlıklar satın alarak temel iş süreçlerinde kesinti olmadan iş sürekliliği prensibine uyum sağlamak zorunda kaldılar.
COVID-19 – PANDEMİ SÜRECİ
Dünya nüfusunun çoğu evden çalışıyor; tersine, siber tehdit şimdi her zamankinden daha büyük.
Suç unsurları, saldırı örneklerini artırmak için bu fırsatı değerlendirdi ve saldırı modellerini yeni çalışma biçimine uyacak şekilde değiştirdi. Salgın önleme uygulama kurulmasından bu yana meydana gelen phishing, smishing ve spoofing saldırılarındaki büyük artışa bakmak yeterlidir.
Uzaktan çalışma modelleri, etkili bir acil müdahale mekanizmasıdır, . örneğin VPN kullanımı, önceden beklenen normların çok üzerindedir ve kullanılamama durumları önemli ölçüde artmıştır.
BGYS’nizde oluşturulanlar gibi politika ve girişimler hakkında iletişim kurmak ve farkındalık sağlamak hiç bu kadar önemli olmamıştı. Tek bir ertelenmiş güvenlik yaması veya yetkisiz yazılım indirmenin çok geniş kapsamlı sonuçları olabilir. Bu sorunlar bir risk olarak ele alınmalı ve ISO 27001 kapsamındaki Ek A kontrolleri kullanılarak derhal tedavi değerlendirmesi yapılmalıdır.
Herhangi bir düzenleyici/yönetişim gerekliliğine verilen standart yanıt, beklemek ve görmek ve hatta hiçbir şey yapmamak olabilir. Bununla birlikte, pandemi birçok kuruluşu hazırlıksız yanıt vermeye zorladı. Operasyonel direnç önlemlerinin mümkün olan en kısa sürede dikkate alınması ve uygulanması hayati önem taşımaktadır. Geçici düzeltmelerin ve geçici çözümlerin kullanımı sürdürülebilir değildir ve başarısızlığa neden olabilir.
Harekete geç
Tüm kuruluşlar artık sağlam kriz ve olay yönetimi, iş sürekliliği ve felaket kurtarma planları oluşturmaya çalışmalı ve uygun olduklarının doğrulanmasını sağlamalıdır. Tedarik zincirini ele alma ve sürekliliğini sağlamaya yönelik bir plan da sonraki iyi bir adım olarak kabul edilir. Ayrıca, güvenlik politikalarının tüm çalışanlara ve üçüncü şahıslara iletilmesi ve anlaşılması konusunda farkındalığın sağlanması, risklerin kontrol edildiğine dair güvence sağlayacaktır.
Normalde mevcut seçeneklerden farklı olarak ek güvenlik önlemlerini de gözden geçirilmelisiniz. Bunlar, çok faktörlü kimlik doğrulamayı, ağlar ve etki alanları arasında erişimin ayrılmasını, kimlik avı farkındalık girişimlerini veya tüm kurumsal varlıklar için merkezi güvenlik kontrollerinin sağlanmasını içerebilir.
Tüm kuruluşlar, idari işlevlere sahip hesaplarda izleme faaliyetini artırmayı düşünmeli ve kapasite izleme önlemlerini artırmalı ve yedekleme/arıza koruma mekanizmalarının etkili olmasını sağlamalıdır.
Ne yapmalıyım?
Operasyonel esneklik ve iş sürekliliği son derece önemlidir ve bu abartılamaz. Tüm kuruluşların, dayanıklılık stratejilerinin, özellikle iş açısından kritik işlevler ve süreçler olmak üzere tüm faaliyetlere entegre edilmesini sağlamaları gerekir. Tıpkı devletlerin krize ve öngörülemeyenlere yanıt verecek mekanizmalara sahip olması gibi, zorluklarla mücadele etmek isteyen her kuruluş da aynı şeyi yapmalıdır.
İş sürekliliğini sağlama süreci, bir Yönetim Sistemi standardı olan ISO 22301:2019 ile kolaylık sağlamaktadır. Bu standartta ayrıntılı olarak İş Etki Analizi ve Risk Değerlendirme süreçleri yürütme gerekliliği yer almaktadır. Bu, tüm olası kesinti senaryolarının belirlenmesine yardımcı olacak ve hangi düzeyde müdahale ve kurtarma yeteneklerinin gerekli olduğunu gösterecektir. Yürürlükte olan bir yönetim sisteminiz veya iş sürekliliğini belirtmeyen bir yönetim sisteminiz yoksa, ISO 22301: 2019’un uygulanmasını düşünebilirsiniz.
ISO 27001 kullanan işlevsel bir BGYS’niz varsa, muhtemelen Ek A’dan bazı kontroller uygulayabilirsiniz. Alınan derslerin gözden geçirilmesini ve sağlandığından emin olmak için mevcut uzaktan çalışma modelinde gerçekleştirilen tüm faaliyetleri kaydetmeniz ve gözden geçirmeniz önemlidir.
Kuruluşunuz kişisel olarak tanımlanabilir bilgileri işliyorsa, ulusal mevzuata, KVKK ve GDPR’a uygunluğun sağlanması hayati önem taşır, bu nedenle ISO 27001: 2013 BGYS’nizi ISO 27701: 2019 uygulaması yoluyla veri gizliliği uyumluluğunu içerecek şekilde genişletmek düşünülmelidir.
Elbette daha fazla bilgi veya sertifika için fiyat teklifi almak isterseniz, lütfen bizimle iletişime geçin.
