Editörler Prof. Dr. Şeref Sağıroğlu Prof. Dr. Mustafa Alkan Sağıroğlu / Alkan grafik
Yüklə 3,91 Mb. Pdf görüntüsü
|
- Bu səhifədəki naviqasiya:
- 12.6. Düzeltici Eylem Planları
- 12.7. Değerlendirmeler
|
12.6. Düzeltici Eylem Planları
Yönetim kontrolleri, risk yönetimi süreçleri veya iç denetim yoluyla oluşturulan değerlendirmeler, uygulama boşluğunu veya çözüm- lenme ihtiyacı olan öğeleri belirleyecektir. Bu siber güvenlik açıkları taslak raporlar aracılığıyla bilinir ve kabul edildiğinde, eylemlerin makul bir zaman dilimi içinde (kuruluşa veya ilgili birime bağlı ola- rak 10-30 gün) ve işletme sahiplerinin kabul ettiği düzeltici eylem planlarında formüle edilmesi gerekir. Eylem planları denetçilerin çözümleme ve önerilerine karşın yönetimin bütçe ve İK olanaklarını göz önünde bulundurarak ortaya koymayı düşündüğü aksiyonları detaylı olarak içermelidir. Yoksa afaki şekilde ölçülmesi zor veya hallederiz gibi bir yaklaşımla ilerleme kaydedilmesi çok zordur. Or- ganizasyon, güvenlik duruşunun boşluk alanlarına dikkatsizlikten dolayı zayıflamadığından emin olmak için üzerinde anlaşılan faa- liyetleri, kilometre taşlarını ve teslim tarihlerini izlemelidir. Süreç (veya işletme) sahipleri, belirtilen yeni güvenlik açıklarının düzel- tilmesi veya tüm olayların 24 ila 72 saat içinde raporlanması için 90 gün gibi devam eden süreçler için zaman çerçevesi üzerinde anlaş- D R . A H M E T E F E 370 malıdır. Denetçiler de sonraki gözden geçirmelerinde bu hususları göz önünde bulundurmalıdırlar. 12.7. Değerlendirmeler Yaklaşık on yıl kadar önce, çoğu kuruluş mobil, bulut ve sosyal medyaya hitap etmiyordu. Geçtiğimiz on yıl içinde bu platformlar- daki bir patlamanın yaşandığı ve şimdi neredeyse herkesin en az bir sosyal medya hesabı ve cebinde bir telefon olduğu kolaylıkla söylenebilmektedir. Nesnelerin İnterneti (IoT), büyük veri analizleri ve yapay zeka satın aldığımız ürünlerde gelişmelere ve değişiklik- lere neden oluyor. Tehdit istihbaratı kurumlar aracılığıyla paylaşı- lıyor. Bazen de kişisel veriler ve analizler satılabiliyor. Fidye yazı- lımları, hedefe yönelik saldırılar, mızrak avcılığı ve artan rekabet olanakları, tehdit ortamını ve savunmamızı düzenli olarak yeniden değerlendirmemize neden oluyor. Bunlarla ilgili kapsamlı risk de- ğerlendirmesi bir amaç değil, bir araçtır [7]. Siber güvenlik olayları yeni saldırı senaryoları için gözden geçirilmeli ve önleme, tespit ve müdahale eylemleri belirlenmeli ve risk değerlendirmesine getiril- melidir. Çünkü yenilikçi teknoloji ve getirdiği kolaylık ve tehditler akıl almaz ölçüde hızla gelişmektedir. Bir kuruluşun bilgi varlıklarını korumadaki başarısızlık, ticari faali- yetler, finansal durum ve piyasadaki itibar üzerinde yıkıcı bir etkiye sahip olabilir. Saldırganın hedefinin çekiciliğini azaltmak ve saldırı masraflarını artırmak için siber güvenlik kontrollerine uygun ya- tırım yapılması gerekmektedir. Bilgi Güvenliği için COBIT 5, ISO/ IEC 27001 ve NIST Cybersecurity Framework gibi çoklu çerçeveler, NIST SP 800-53 kontrolleri ile birlikte, siber güvenlik kontrollerinin yönetimini sağlamak için birleştirilebilecek süreçler sağlar. Aynı de- recede önemli olan, siber güvenlik kontrollerinin bilgi varlıklarını korumak ve etkin bir şekilde çalışmak için iyi bir şekilde tasarlandı- ğından emin olmak için yönetim, risk yönetimi ve iç denetimin çok katmanlı gözden geçirme savunmalarıdır. Bu gözden geçirme sü- reçleri olmaksızın, kuruluşun kontrol faaliyetlerine bağımlı olması etkinliğin bir alandaki kontrolüne bağlı olduğu için siber güvenlik kontrollerinin yönetimini feda eder. Yönetim gözden geçirmeleri, risk yönetimi süreçleri, iç denetimler ve siber güvenlik kontrollerini yürütmekten sorumlu iş operasyonları birbirini tamamlayıcı nite- liktedir. Siber güvenlik kontrollerinin denetlenmesi, iyileştirme fır- S İ B E R G Ü V E N L İ K D E N E T İ M İ 371 satları için içeriden bir öngörü sağlar ve siber güvenlik programının olgunluğunu artırmak için kuruluş tarafından benimsenmelidir. Yüklə 3,91 Mb. Dostları ilə paylaş:
|