Editörler Prof. Dr. Şeref Sağıroğlu Prof. Dr. Mustafa Alkan Sağıroğlu / Alkan grafik
Yüklə 3,91 Mb. Pdf görüntüsü
|
- Bu səhifədəki naviqasiya:
- 12.4. Dış Denetim
- 12.5. Siber Güvenlik Olgunluk Modelleri
|
12.4. Dış Denetim
Organizasyonlar, denetimlerin tasarımının etkili olmasını sağlamak ve kontrollerin uygulanması gerektiği şekilde işlemek için öncelikle mali ve operasyonel kontrollerin bağımsız bir şekilde güvence altı- na alınması için dış denetçilerin hizmetlerine yönelik sözleşmeler yaparlar. Bu denetimler tipik olarak bir devlet dairesi veya düzen- leyici adına yapılır. Bazen de kurumun üst yönetimi bu şekilde bir S İ B E R G Ü V E N L İ K D E N E T İ M İ 367 hizmet alımına karar verebilmektedir. Ülkemizde dış denetim, SPK, BDDK ve AB programları mevzuatları kapsamında düzenlenmiştir. Siber güvenlik denetimlerini denetlemek, bir dış denetçinin uzman- lığından yararlanabilir ve kuruluş içinde bulunmayabilecek beceri kümelerine erişimi koruyabilir. Sızma testi, sunucu veya güvenlik duvarı yapılandırmalarını inceleme veya güvenlik bilgi olay yöneti- mi (SIEM) kural kümelerini gözden geçirme gibi özel analizler için gerekli teknik beceriler çoğunlukla iç denetim departmanında mev- cut olmayabilir ve harici yetenek yeteneklerinden yararlanabilir. 12.5. Siber Güvenlik Olgunluk Modelleri Diğer siber güvenlik kontrolleri değerlendirildiği ve yeni teknoloji, insan veya süreç kontrolleri uygulandığı için, mevcut durumu ana- liz etmek için bir siber güvenlik programı olgunluk modeli de uy- gulanabilir. Olgunluk modelleri COBIT-5 PAM modelinde olduğu gibi ISACA bünyesinde olan CMMI modelinde de mevcuttur. Siber güvenlik sürecinin olgunluk seviyesi bunlarla belirlenebilir. Farklı organizasyonlar ve çerçeveler, artan olgunluk seviyeleri için çeşitli isimlere sahiptir; bununla birlikte, çoğu, olgunluğun kanıtlanması için aşağıdakilerin bazı formlarına bağlıdır: var olmayan (seviye 0), gelişigüzel (seviye 1), tekrar edilebilir (seviye 2), tanımlı (seviye 3), yönetilen (seviye 4) ve optimize edilmiş (seviye 5). Bazı kurumların süreçleri olmayabilir, bazılarında süreç olsa da yapılandırılmamıştır. Başka yerde sorumluluklar ve hedefler sü- reçlerle uyumlu olmayabilir. Özellikle siber güvenliğe ve daha ge- niş bilgi güvenliği programına (örneğin, bilgi güvenliği yetkilisi [CISO]) sorumlu olan bir kişinin görevlendirilmesinden önce bir- çok programın başlatıldığı bilinen bir durumdur. Bilgi güvenliği başkan yardımcısı, bilgi güvenliği müdürü gibi görevlilerin olma- sı olgunluk ölçeğinin en üst seviyesinde, siber güvenlik kültürün önemli bir parçasıdır. Yönetici puan kartları mali ve operasyonel şirket performansına bağlı olan ölçütleri rapor eder ve siber güven- lik programında sürekli iyileşmeyi sağlamak için endüstri çerçeve- leri benimsenir. Raporlama ayrıca organizasyonda gerekli dikkat ve finansmanı elde etmek için yeterince yüksek bir düzeydedir. |