Bir denetçi olarak gittiğiniz kurumda gerçekleştirdiğiniz dış denetimde, BGYS süreçlerinde çok sayıda bilgi güvenliği ihlali yaşandığını, bunlar kayıt altına alındığını, ilgili personele farkındalık eğitimleri verildiğini ancak ihlal durumlarının sonrasında da devam ettiğine dair izler gördünüz. Böyle bir durumda hata nerede olabilir ? Kurum neyi gözden kaçırarak ihlallerin devam etmesine neden oluyordur ?

Denetim, bir organizasyonun belirli standartlara, yönetmeliklere veya prosedürlere uygunluğunu değerlendirmek ve doğrulamak için yapılan bir inceleme ve değerlendirme sürecidir. Denetimler, organizasyonların faaliyetlerini daha şeffaf ve etkin bir şekilde yönetmelerine yardımcı olmak için gerçekleştirilir. Bu bağlamda ISO 27001 standardı, bilgi güvenliği yönetim sistemlerini belirlemek ve sürdürmek için bir çerçeve sağlar. Kurumlar bilgi güvenliğini sağlamak için kendilerine ISO 27001 standardını referans alır. Bu standarda uyumluluk konusunun kontrolü için denetimler gerçekleştirilir.

BGYS Denetimleri Nasıl Gerçekleştirilir ?

ISO 27001 denetimi, kuruluşun bilgi güvenliği yönetim sisteminin (BGYS), ISO/IEC 27001:2022 yönergelerinde tanımlandığı şekilde en güncel bilgi güvenliği en iyi uygulamalarıyla uyumlu olmasını sağlayan bir inceleme sürecidir. BGYS temellerin temelde iç ve dış denetim olarak iki şekilde gerçekleştirilir. Bu iki yaklaşıma ek olarak tedarikçi denetimleri de sürece dahil edilebilir.

• İç Denetim (Internal Audit): Bu denetimler, organizasyon içindeki bağımsız bir denetim biriminden veya dış kaynaklardan gelen iç denetçiler tarafından gerçekleştirilir. İç denetimler, organizasyon içindeki süreçleri ve sistemleri değerlendirerek, iyileştirme fırsatlarını ve uyumsuzlukları belirlemeyi amaçlar.
• Dış Denetim (External Audit): Bu denetimler, genellikle bağımsız dış denetim firmaları veya belirli bir standarda uygunluğu kontrol etmek için yetkilendirilmiş dış denetçiler tarafından yapılır. Dış denetimler, genellikle organizasyonun belirli bir standarda uygunluğunu değerlendirmek için yapılır.
• Tedarikçi Denetimi (Supplier Audit): Bu denetimlerde kurumlar, tedarikçi tarafından gelebilecek ihlal durumlarının önüne geçebilmek için tedarikçisini denetleyebilir. BGYS denetimleri kurumların ihlal olayları yaşanmaması için oldukça değer katan süreçlerdir. Bu süreçleri doğru ve etkin yönetmek birçok siber saldırının, bilgi güvenliği ihlallerinin önüne geçmek anlamına gelir. ISO 27001 standardında denetimlerin etkinliği ve verimliliğini hedefleyen bazı bölümler bulunmaktadır. ISO 27001 standardını kullanan kuruluşlar, BGYS’lerinde (Bilgi Güvenliği Yönetim Sistemi) sürekli iyileştirmeler sağlamalıdır. Standardın 9. Bölümü özellikle ölçümlerle ilgilidir. Ölçeceğiniz süreçleri ve kontrolleri tanımlayacağınızı ve ölçümleri nasıl, ne zaman ve kimin yapması gerektiğini açıklayacağınızı söylüyor. Ayrıca ölçüm sonuçlarını kimin değerlendireceğine ve bunun nasıl yapılacağına da siz karar vereceksiniz. Sonucun “yeterince iyi” olup olmadığına karar vermeniz gerekir. Bu, çoğu şirket için mantıklıdır ancak ISO 27001, hangi KPI’ları (Temel Performans Göstergeleri) ölçmenin anlamlı olduğu veya bunun nasıl yapılacağı konusunda herhangi bir rehberlik sunmaz. Kontrollerinizin işe yarayıp yaramadığını ölçmek için dahili denetimlerde bazı detaylara yoğunlaşabilirsiniz. Örneğin spam filtreniz tarafından ne kadar spam yakalandığı, anti-virüsünüz tarafından kaç virüs yakalandığı, izinsiz giriş tespit sisteminiz tarafından tespit edilen saldırıların sayısı gibi ortak kontrol ölçümlerini kullanabilirsiniz veya güvenlik duvarı, çalışma süresi/kesinti süresi ve diğer niceliksel ölçümler. Süreçleri ölçtüğünüzde, hedeflere göre iyileştirmeleri ölçer veya bunları önceki dönemlerle karşılaştırırsınız. Ölçütler, kararlaştırılan süre içinde gerçekleştirilen güvenlik görevlerinin yüzdesi, kendi cihazını getir kurallarını veya en son güvenlik politikası güncellemesini bir ay içinde kabul eden çalışan sayısı veya sapmaları düzeltmek için kullanılan ortalama süre olabilir. Bununla birlikte kök neden analizini doğru incelemeniz gerekir. Yazının en başında sorduğumuz soruya bakmak gerekirse, bir kurumda süregelen ihlal olaylarının kök nedeni çalışanın yetersiz bilgi güvenliği farkındalığı olmayabilir.Belki de süreçlerin tanımlanmasında düzeltilmesi gereken detaylar vardır. İşbu nedenle yaygın bir davranış olan, ihlal olayları sonrası çalışanlara eğitim verilmesi doğru olmayabilir.

Bilgi Güvenliği İhlali Sonrasında Kök Neden Analiz Süreci

Yaşanan bilgi güvenliği ihlalinin tekrar etmemesi için bazı adımların atılması gerekir. Bu adımları dokuz başlıkta sıralamak mümkündür. Bu adımlar etkin bir şekilde uygulandığında bilgi güvenliği ihlal olayının tekrar etme riski minimize edilmiş olacaktır.

1- Olayın Belirlenmesi ve Belgeleme: İlk adım, yaşanan ihlalin doğru bir şekilde belirlenmesi ve belgelenmesidir. Bu, ihlalin türü, tespit edildiği tarih ve saat, etkilenen sistemler veya veriler gibi detayları içerir. Olası tüm veriler objektif bir şekilde toplanır ve kayıt altına alınır.

2-Hızlı Yanıt ve İzolasyon: İhlal olayının tespiti sonrasında, hızlı bir yanıt ve etkilenen sistemlerin izolasyonu önemlidir. Bu, saldırının yayılmasını engellemek ve daha fazla zararın önüne geçmek için gereklidir. Özellikle IT yapısında gerçekleşen bir ihlal olayı sonrası bu olayın sistemdeki diğer bileşenlerin de etkilenmemesi için hızlı bir şekilde izole edilmesi gerekir.

3- Ekip Oluşturma: İhlal sonrasında, bir kök neden analizi ekibi oluşturulmalıdır. Bu ekip, olayı detaylı bir şekilde incelemek, etkilerini değerlendirmek ve kök nedenleri belirlemekle sorumlu olacaktır. Ekip farklı uzmanlık alanlarındaki kişilerden oluşması doğru olacaktır. Bir ihlal olayı yaşandığında burada bilgisi alınması gereken kişi kapı güvenliğinden veritabanı uzmanına kadar farklı alanlardan ilgili kişiler olabilir.

4-İhlalin Geniş Kapsamının Belirlenmesi: Ekip, ihlalin ne kadar geniş bir kapsama sahip olduğunu belirlemek için çalışmalıdır. Bu, etkilenen sistemler, veriler, kullanıcılar ve süreçleri içerir. Bazen bir ihlal olayının etki değeri ve yayılma alanı çok geniş ve yüksek olabilir. Öncelikli olarak ihlal olayından hangi birimler, sistemlerin ne ölçüde etkilendiğini belirlemek gerekir.

5-Forensik İnceleme: İhlalin teknik yönlerini incelemeli ve saldırının nasıl gerçekleştiğini, hangi güvenlik kontrollerinin başarısız olduğunu belirlemelidir. Bu aşama, izlerin ve kanıtların toplandığı bir forensik inceleme içerir. Bu aşamada log inceleme, görüntü kayıt analizleri, sistemdeki anormal olaylar analiz edilir ve teknik analizler gerçekleştirilir.

6-Güvenlik Kontrolleri Gözden Geçirme: İhlalin nasıl gerçekleştiğini anlamak için mevcut güvenlik kontrolleri gözden geçirilmelidir. Kontrollerin etkinliği değerlendirilmeli ve eksiklikler belirlenmelidir. Kontrol uygulanmış mı, uygulandıysa etkinliği nedir bu başlıklara yoğunlaşılmalıdır.

7-Kök Neden Analizi Araçlarını Kullanma: 5N/1K analizi, Ishikawa diagramları, Balık kılçığı veya diğer kök neden analizi araçları kullanılarak, ihlalin temel nedenleri belirlenmelidir. Bu aşama, olayın neden gerçekleştiğini anlamak için önemlidir. Sürecin belki de en önemli aşaması budur denebilir. Çünkü yaşanan olayın kök neden analizi yanlış yada yetersiz yapılırsa ihlal olayının tekrar etme olasılığı oldukça yüksektir. Doğru tedavi için doğru teşhis şarttır.

8-Önleyici ve Düzeltici Eylem Planı Oluşturma: Kök nedenler belirlendikten sonra, önleyici ve düzeltici eylem planları oluşturulmalıdır. Bu planlar, benzer ihlallerin tekrarını önlemek ve güvenlik süreçlerini iyileştirmek için adımları içermelidir.

9-Raporlama ve İyileştirme: Analiz sonuçları bir rapor halinde sunulmalı ve bu rapor, yönetimle ve ilgili paydaşlarla paylaşılmalıdır. Ayrıca, süreçlerin ve kontrollerin iyileştirilmesine yönelik öneriler içermelidir. Bu aşamada ilgili paydaşlar, sürecin gelişmesinde hangi birimin/sürecin ne yaşadığını daha net anlayabilir. Resmin büyüğünü görme açısından raporlama ve iyileştirme aşaması önemlidir.