• Wed. Dec 7th, 2022

Güncellenen ISO 27001 standardı niçin her işletmenin güvenliği için önemlidir?

Byadmin

Nov 24, 2022

Yurttaş geliştiricilerin becerilerini artırarak ve ölçeklendirerek başarıya ulaşmış bir halde yenilik yapmayı ve verimliliğe iyi mi ulaşılacağını öğrenmek için Low-Code/No-Code Summit’teki isteğe bağlı oturumlara göz atın. İzle şimdi.


4 Ağustos 2022 sabahı Birleşik Krallık Ulusal Sıhhat Hizmeti (NHS) tedarikçisi Advanced, büyük bir siber saldırıya uğradı. NHS 111 (NHS’nin 7/24 hizmet veren sıhhat yardım hattı) ve acil tedavi merkezleri dahil olmak suretiyle kilit hizmetler dönem dışı bırakıldı ve yaygın kesintilere niçin oldu. Bu hücum, standartlaştırılmış bir takım denetim olmadan neler olabileceğini acımasızca hatırlattı. Kuruluşlar kendilerini korumak için ISO 27001’e bakmalıdır.

ISO 27001, internasyonal geçerliliği olan bir Data Güvenliği Yönetim Sistemi standardıdır. İlk olarak 2005 senesinde işletmelerin siber saldırılar, veri sızıntıları ve hırsızlık şeklinde riskleri yönetmek için sağlam bir informasyon güvenliği çerçevesi uygulamasına ve sürdürmesine destek olmak için gösterildi. 25 Ekim 2022 itibarıyla birkaç mühim şekilde güncellendi.

Standart, yönetim sistemini tanımlayan bir takım maddeden (madde 4 ila 10) ve bir takım denetim tanımlayan Ek A’dan oluşur. Maddeler risk yönetimi, kapsam ve informasyon güvenliği politikasını içerirken, Ek A’nın kontrolleri yama yönetimi, antivirüs ve erişim kontrolünü ihtiva eder. Tüm kontrollerin mecburi olmadığını belirtmekte yarar var; işletmeler kendilerine en uygun olanı kullanmayı seçebilirler.

ISO 27001 niçin güncelleniyor?

Standardın son olarak güncellenmesinden bu yana dokuz yıl geçti ve bu süre zarfında teknoloji dünyası büyük seviyede değişti. Yeni teknolojiler sektöre hakim olacak şekilde büyüdü ve bu kesinlikle siber güvenlik ortamına damgasını vurdu.

Etkinlik

Akıllı Güvenlik Zirvesi

Suni zeka ve makine öğreniminin siber güvenlikteki eleştiri rolünü ve sektöre hususi olay incelemelerini 8 Aralık’ta öğrenin. Parasız geçişiniz için bugün kaydolun.

Şimdi üye Ol

Bu değişimler göz önünde bulundurularak standart, siber ve informasyon güvenliğinin bugünkü durumunu yansıtacak şekilde gözden geçirildi ve revize edildi. Halihazırda ISO 27002’nin (Ek A kontrollerinin uygulanmasına ilişkin kılavuz) güncellendiğini gördük. Denetim sayısı, daha ilkin mevcud birkaç kontrolü birleştiren ve 11 yeni denetim ekleyen bir süreç olan 114’ten 93’e düşürüldü.

Yeni kontrollerin bir çok, standardı çağıl teknolojiyle uyumlu hale getirmek için tasarlandı. Mesela artık bulut teknolojisi için yeni bir denetim var. Kontroller 2013’te ilk oluşturulduğunda, bulut hâlâ ortaya çıkıyordu. Bugün, bulut teknolojisi, teknoloji sektöründe baskın bir güçtür. Böylece yeni kontroller, standardın güncelleştirilmesine destek sağlar.

Ekim ayında, ISO 27001 güncellendi ve ISO 27002’nin yeni sürümüyle uyumlu hale getirildi. İşletmeler artık güncellenmiş 2022 kontrollerine uyum sağlayabilir ve 2013’teki artık güncelliğini yitirmiş olan sıralama yerine bu yeni standardı karşıladıklarını onaylayabilirler.

ISO 27001 sertifikası işletmenize iyi mi yarar sağlayabilir?

ISO 27001’i uygulamak, şirketlere en başından yarar elde eden bir takım informasyon güvenliği pozitif yanları sağlar.

ISO 27001 sertifikasını almak için süre harcayan firmalar, müşterileri tarafınca informasyon güvenliğini ciddiye alan kuruluşlar olarak tanınacaktır. Müşterilerinin gereksinimlerine odaklanan firmalar, kullanıcılarının zihnindeki genel güvensizlik hissini gidermek istemelidir.

Ek olarak, birçok firmanın şu anda üstlendiği, giderek daha titiz hale gelen durum tespiti süreçlerinin bir parçası olarak, ISO 27001 mecburi hale geliyor. Bundan dolayı, kuruluşlar ticari olarak kaçırmamak için inisiyatifi erken almaktan yarar elde edecektir.

Siber müdafa söz mevzusu olduğunda, önleme daima tedaviden daha iyidir. Saldırılar, hem saygınlık hem de mali açıdan bir müessese için neredeyse daima maliyetli olan bozulma anlamına gelir. Bundan dolayı, ISO 27001’i kuruluşların uzun solukta tutum etmesi için doğru adımların öncesinden atılmış olduğu bir siber sigorta biçimi olarak görebiliriz.

Bir de eğitim meselesi var. Çoğu zaman, bir organizasyonun en zayıf noktası ve dolayısıyla en oldukca hedeflenen noktası kullanıcıdır. Güvenliği ihlal edilmiş kullanıcı kimlik detayları, veri ihlallerine ve güvenliği ihlal edilmiş hizmetlere yol açabilir. Kullanıcılar karşılaştıkları tehditlerin doğasının daha çok bilincinde olsalardı, kimlik bilgilerinin ele geçirilme olasılığı mühim seviyede azalırdı. ISO 27001, kullanıcıları karşılaştıkları riskler mevzusunda eğitmek için net ve inandırıcı adımlar sunar.

Sonunda, bir işletmenin ISO 27001 uygulamasını seçmesine yol açan şey ne olursa olsun, bundan en iyi şekilde yararlanmanın anahtarı, süreçlerini ve prosedürlerini günlük faaliyetlerine yerleştirmektir.

ISO 27001 sertifikasının zorluğunun üstesinden gelmek

Birçok şirket, erişim kontrolü, yedekleme prosedürleri ve eğitim dahil olmak suretiyle ISO 27001’den birçok kontrolü esasen uygulamıştır. Netice olarak, ilk bakışta müesseselerinde daha yüksek bir siber güvenlik standardına ulaşmış şeklinde görünebilirler. Bununla beraber, eksiklikleri devam eden şey, kuruluşun informasyon güvenliğini fiilen yönetecek, bunun iş hedefleriyle uyumlu olmasını, devamlı bir iyileştirme döngüsüne bağlı olmasını ve olağan iş faaliyetlerinin bir parçası olmasını sağlayacak kapsamlı bir yönetim sistemidir.

ISO 27001’in yararları teknoloji endüstrisindeki birçok şahıs için aşikar olsa da, belgelendirmenin önündeki engelleri aşmak kolay olmaktan uzaktır. ISO 27001 sertifikası arayan kuruluşları zorlayan en büyük sorunlardan ikisini çözmek için atılacak bazı adımlar şunlardır:

  • Kaynaklar — süre, para ve insan gücü: İşletmeler kendilerine şunu soracaklar: Fazladan bütçeyi iyi mi bulabiliriz ve çalışanlarımızın sınırı olan zamanını altı ila dokuz ay sürebilecek bir projeye iyi mi ayırabiliriz? Buradaki anahtar, işletmenizdeki sektör uzmanlarına güvenmektir. Onlar her gün standardı uygulayacak kişilerdir ve direksiyona geçmeleri gerekir.
  • Kurum içi informasyon eksikliği: Standardı uygulama mevzusunda öncesinden deneyimi olmayan işletmeler standardı iyi mi doğru anlayabilir? Bu durumda, üçüncü taraf uzmanlığı getirmenizi tavsiye ederiz. Harici uzmanlar bunların hepsini daha ilkin yapmış oldu: Hataları çoktan yaptılar ve onlardan ders çıkardılar, doğrusu direkt neyin işe yaradığını uygulamaya odaklanarak kuruluşunuza gelebilirler. Uzun solukta, daha kısa sürede sertifikasyon elde edeceğinden, en başından doğru bir halde almak daha uygun maliyetli bir stratejidir.

Başarı göstermiş bir geleceğe doğru sonraki adımlar

İşletmeniz için tüm bu tarz şeyleri gerçeğe dönüştürmek göz ürkütücü görünse de, doğru plan uygulandığında, işletmeler ISO 27001 sertifikasının sunmuş olduğu her şeyden hızla yararlanabilir.

Ek olarak, bu Ekim ayının, işletmelerin standardın yeni sürümü için sertifika alması için son nokta olmadığını kabul etmek de önemlidir. İşletmelerin belgelendirme kurumlarının belgelendirme sunmaya hazır hale gelmesi için birkaç ayları olacak ve arkasından, yeni standardın yayınlanmasından sonrasında ISO 27001:2013 tamamen kullanımdan kaldırılmadan ilkin muhtemelen iki senelik bir geçiş süreci olacaktır.

Netice olarak, uygulama zorluklarla beraber gelse de, ISO 27001 uyumluluğunun günümüzün hiper-bağlantılı dünyasında güvenilir ve güvenli ortaklar olarak itibarlarını çoğaltmak isteyen işletmeler için paha biçilmez bulunduğunu anımsamak oldukca önemlidir.

Nicky Whiting, Defense.com’da danışmanlık direktörüdür..

DataDecisionMakers

VentureBeat topluluğuna hoş geldiniz!

DataDecisionMakers, veri işini meydana getiren teknik kişiler de dahil olmak suretiyle uzmanların verilerle ilgili içgörüleri ve yenilikleri paylaşabileceği yerdir.

En yeni fikirler ve güncel bilgiler, en iyi uygulamalar ile veri ve veri teknolojisinin geleceği hakkında okumak istiyorsanız DataDecisionMakers’ta bizlere katılın.

Kendi makalenizle katkıda bulunmayı bile düşünebilirsiniz!

DataDecisionMakers’dan Daha Fazlasını Okuyun