ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi (BGYS) nedir?

“ISO 27001:2013 BGYS Baş Tetkikçi Eğitimi ile Bilişim Sektörüne Bilgi Güvenliği Alanında Farkındalığı Yüksek Denetim Uzmanları Kazandırılacak”

 Değerli Okurlar,

 Bu ay Üç Soru Üç Cevap köşemiz için son zamanlarda gündemde olan bir eğitim programını ele aldık.

Nedir bu eğitim programı? ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi (BGYS) Baş Tetkikçi Eğitimi (IRCA Onaylı). Özellikle bireylere ve kurumlara katkısını merak ettiğim bu eğitim programını sizler için uzmanlarına sordum.  TBD Yönetim Kurulu Üyesi ve ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi Baş Denetçisi Ahmet Tosunoğlu ve BGYS Baş Denetçisi ve eğitmeni Alper Öztürk sorularımızı yanıtladı.

 Arzu Kılıç: Günümüzde bilgi güvenliğinin öne çıkmasının sebebi nedir?

 Ahmet Tosunoğlu: Bilgi ve iletişim teknolojilerinde meydana gelen yenilikler şirketleri derinden etkilemekte. İş hayatındaki bu değişim giyilebilir teknolojiler, robot teknolojisi, enerji çözümleri, sağlıktaki teknolojik gelişmeler, blockchain, internetin nesneleri, yapay zeka, sanal gerçeklik, mobil teknoloji, büyük veri, bulut bilişim gibi teknolojik yenilikler kurumlarda dijital dönüşüm yaşanmasına neden olmakta.

20 Yıl Sonra Bir Kişinin Yaklaşık 5.000 Cihaza Bağlı Olacağı Düşünülmekte…

Diğer taraftan dünyanın en kalabalık yeri ÇİN değil, 1.6 Milyar kayıtlı kullanıcısı ile Facebook olmuştur. Türkiye’de 46 milyon kişi, dünyada ise yaklaşık 3.4 milyar kişi aktif internet kullanıcısı. Ayrıca 2020 yılında 26 milyar nesnenin internette olacağı öngörülmekte. Buna ilave olarak 20 yıl sonra bir kişinin yaklaşık 5.000 cihaza bağlı olacağı düşünülmekte.

Teknolojik yeniliklerin kurumlarda meydana getirdiği dijital dönüşüm ve dünya nüfusunun büyük bir bölümünün internette aktif olduğu düşünüldüğünde siber dünyada bilgi güvenliği; kurumların iç ve dış etkenlerden korunması ve iş sürekliğinin sağlanması için önemli faktörlerden birisi olarak karşımıza çıkmakta. Dolayısıyla bugün ve gelecekte kurumların siber saldırılara karşı rutin bir çalışma içinde olması kaçınılmaz. Bu nedenle kurumlar siber saldırılara karşı en üst seviyede bilgi güvenliği tedbirlerini almak ve deyim yerindeyse askeri bir duruş sergilemeleri gerekecek.

A.K. : Siber saldırılara karşı hangi tedbirleri alarak kurumlarımızı daha güvenli hale getirebiliriz?

A.T. : Günümüzde gittikçe artan güvenlik tehditlerine karşı yalnızca yazılım ve donanım gibi fiziksel tedbirler almak yeterli değil. Bilgi güvenliği bir disiplin çerçevesinde ele alınmalı, kullanıcıların eğitilmesi ve sosyal mühendislik gibi daha farklı proaktif yaklaşımlar gösterilmeli.

Kurumlar fiziksel tedbirleri hayata geçirmek için sektörde bilgi güvenliği ile ilgili “best practice” uygulamaları araştırabilir ve en uygun çözümü şirketlerine uygulayabilirler. Bunun için kurumlar uygulama, network ve sistem bileşenlerinden oluşan bilgi varlıkları için ihtiyaçları ölçüsünde siber güvenlik yatırımları gerçekleştirmelidir. Ayrıca sızma testleri, kritik sistemler için felaketten kurtarma tatbikatı, yazım güvenliği kod analizi, beyaz şapkalı hacker gibi hizmetleri rutin faaliyet olarak gerçekleştirebilirler.

Bilgi Güvenliği Konusunda Bilinçli ve Farkındalığın Yüksek Olması Çok Önemli

Bilgi güvenliğinde fiziksel güvenlik kadar kurum çalışanlarının bilgi güvenliği konusunda bilinçli ve farkındalığının yüksek olması çok önemli bir husustur. Siber güvenlik açıkları çoğu zaman önemsiz gibi görülen bilinçsiz kullanıcı hareketlerinden meydana gelmekte. Bu nedenle kullanıcılar tarafından düzenli yedek alınmalı ve güvenli şekilde bilgiler saklanmalı, güçlü şifrelerle başkalarının erişimi zorlaştırılmalı, USB bellek gibi kaybolacak cihazlar üzerinde kritik veri taşınmamalı, güvenliğinden emin olunmayan uygulamalar mobil cihazlara yüklenmemeli, e-postaların kaynağı teyit edilmeli ve fırsat e-postalarına karşı tetikte olunmalı, parola ve kimlik gibi kişiye özel bilgiler kesinlikle başkalarıyla paylaşılmamalı, sosyal medyada paylaşılan bilgilere dikkat edilmeli, telefonda hassas bilgiler verilmemeli, dosya paylaşımı için güvenli yollar tercih edilmeli, temiz masa-temiz ekran prensibi uygulanmalı, başkalarının verdiği USB cihazlar emin olunmadan bilgisayarlara takılmamalı, şüpheli bir durum hissedildiğinde acilen bilgi güvenliği sorumlusuna bilgi verilmeli. Bu önemsiz ve küçük görülen hususların şirketlerin hayatlarını kurtardıkları unutulmamalı.

A.K. : Bilgi Güvenliği ile ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı arasındaki ilişkiyi nasıl açıklarsınız?

 ISO 27001 Bilgi Güvenliği Yönetim Sistemi’nin Önemi

A.T. : ISO 27001 Bilgi Güvenliği Yönetim Sistemi’nin temelleri 1990 yılına kadar dayanmakta. Standart ilk olarak 1990 yılında İngiltere’de bazı sanayi kuruluşların talepleriyle BS7799 olarak ortaya çıkmış ve günümüze kadar farklı isimler alarak gelişimini sürdürmüştür. ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı hem fiziksel güvenlik hem de kurum çalışanlarının bilinçli olması için bilgi güvenliğine profesyonel bir bakış acısı kazandırmak amacıyla dünyaca kabul görmüş bir standart olmuştur. ISO 27001 Bilgi Güvenliği Yönetim Sistemi’nin kurum içerisinde uygulanması bilgi güvenliğinin kurum kültürü olarak kabul görmesinde en etkili yöntem olacaktır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi sayesinde yapılacak iç ve dış tetkikler kurumunun bilgi güvenliği konusunda olgunluk seviyesini her geçen yıl daha üst seviyeye taşıyacaktır.

Arzu Kılıç : ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi (BGYS) nedir?

Alper Öztürk : ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi (BGYS) gereksinimlerini tanımlayan tek uluslararası denetlenebilir standarttır. Bu standart, bir Bilgi Güvenliği Yönetim Sistemi’ni (BGYS); kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için bir model oluşturmak ve gereksinimleri belirtmek amacıyla hazırlanmıştır.

Güvenlik ihlallerinin etkilerini proaktif şekilde kısıtlayarak, riskin azaltılması ve iş sürekliliğinin sağlanması amacıyla kurulan Bilgi Güvenliği Yönetim Sistemi (BGYS); kurumun hassas ve kritik değer taşıyan verilerinin sistematik bir şekilde yönetilmesini sağlayan, yasal, fiziksel ve teknik kontrolleri içeren bir dizi politika ve prosedürlerden oluşur.

TBD’den ISO 27001:2013 BGYS Baş Tetkikçi Eğitimi 

A.K. : Ağustos ayı içerisinde TBD tarafından ISO 27001:2013 BGYS Baş Tetkikçi Eğitimi yapılacak. Katılımcılar bu eğitimden neler öğrenecekler ve hangi konularda farkındalıkları oluşacak?

A.Ö. : Bu eğitimin içeriğine uygun katılımcı profili IRCA onaylı BGYS Baş denetçisi olarak kariyerine devam etmek isteyen denetçiler, danışmanlar, eğitmenler olabileceği gibi, kurumlarında Bilgi Güvenliği Yönetim Sistemi’ni kurmak isteyen ya da kurmuş ve etkinliğini denetlemek, geliştirmek isteyen IT Yöneticileri, sistem yöneticileri, BGYS ekip üyeleri, bilgi güvenliği uzmanları, ağ yöneticileri, veritabanı yöneticileri, risk yöneticileri, iç denetçiler gibi çok farklı alandan bu konuda uzmanlaşmak isteyen katılımcılardan oluşabilir.

Bu katılımcılar eğitim sonunda ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi Standardının detaylarıyla birlikte Bilgi Güvenliği Temel Kavramları, Güvenlik Tehditleri, bu risklerin nasıl yönetilebileceği ve uygun güvenlik kontrollerinin seçimi hakkında bilgi sahibi olacaklardır. Bunun sonucunda bilgi güvenliği konusunda farkındalıkları artacak, olası tehditleri tespit, riskleri analiz etme ve yönetme konusunda yetkinlikleri gelişecek. Katılımcılar ayrıca ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi Denetimi, Türleri, Aşamaları ve Kapsamı hakkında bilgi edinecek; bir denetim planı nasıl yapılır, nasıl raporlanır, uygunsuzluk ve düzeltici önleyici faaliyet raporları nasıl doldurulur, örnek denetim uygulamaları ile birlikte örnek liste, rapor ve plan örnek çalışmalarıyla uygulamalı olarak öğrenecekler. Bu sayede ISO 27001:2013 BGYS standardını ve bu standarda uygun şekilde bir denetimin nasıl yapılacağını, nasıl planlanıp, yürütüleceğini sadece teorik olarak değil, örnekler ve çalışmalarla uygulamalı şekilde öğrenmiş olacaklar.

A.K. : Son olarak bu eğitimin bilişim sektörüne katkısı nedir?

A.Ö. : Gelişen teknolojiler sonucunda bilgiye erişimin giderek kolaylaşmasıyla birlikte, bilginin güvenliğinin sağlanması daha zorlaşmıştır. Artan risklere yönelik, daha ciddi ve daha çeşitli önlemlerin alınması gereklilik haline gelmiştir. Ancak teknik imkânlarla gerçekleştirilen bilgi güvenliği sınırlıdır. Bu sebeple personeli, politikaları, süreçleri, prosedürleri de kapsayan sistematik bir süreç yaklaşımı benimsenmeli.

 ISO 27001:2013 BGYS Baş Tetkikçi Eğitimi ile Sektöre Bilgi Güvenliği Alanında Farkındalığı Yüksek Denetim Uzmanları Kazandırılacak

Kurumlar, birlikte iş yaptıkları taraflara karşı kendi üstlerine düşen sorumlulukları yerine getirerek, ortak asgari düzeyde bir bilgi güvenliğini sağladıklarını ispat etmek ihtiyacı duymaktadırlar. Bu gereksinimden yola çıkılarak oluşturulmuş olan ISO 27001:2013; Bilgi Güvenliği Yönetimi Sistemi (BGYS) gereksinimlerini tanımlayan tek uluslararası denetlenebilir standarttır. Hatta mevcut durumda giderek artan güvenlik ihtiyacı ile ISO 27001:2013 belgesi Türkiye’de bir çok sektör ve kurum için yasal zorunluluk haline gelmiştir. Bu gereksinimlerden yola çıkarak hazırlanan bu eğitim ile bilişim sektörüne; bilgi güvenliği alanında farkındalığı daha yüksek, kurumlarda BGYS’yi süreç bazlı denetim metoduyla geliştirebilecek ve ISO 27001:2013 standardına uygun denetimler planlayıp, yönetebilecek yetkinlikte denetim uzmanları kazandırılması sağlanacak. Dolayısıyla bu artan bilinç ve uzmanların da katkısıyla Türkiye’de giderek yoğunlaşan siber saldırılara karşı sistematik yaklaşımlarla bilgi güvenliğini sağlayan, etkin Bilgi Güvenliği Yönetim Sistemi’ne sahip kurum sayısında da artış sağlanacak.