Uyum Sürecinde CISO Yaklaşımları

Bir sohbette değerli bir abim ile görüşürken iş hayatımızdaki yasal regülasyonlar ve iyi pratikleri şöyle özetlemiştim:

• Yasal Regülasyonlar birinci ve en önemli değerlerimiz, yani bizim kutsal kitaplarımız. Gerekeni söyler, detay vermez.
• İyi pratikler (NIST, Cobit, ISO, ISF vb.) bizim kılavuzlarımız yani hadislerimiz. Yol/yordam gösterir, detayları bazen vardır.
• İyi uygulamalar/Sektör pratikleri bizim sünnetlerimiz. Biliriz ve kendimizce şekillendiririz.

İşte böyle bakınca, direkt şunu diyebiliriz. Yasal Regülasyona uyum mutlak esastır.
Peki bu mutlak uyumu nasıl sağlarız, bakış açımız/yaklaşımımız nasıl olmalı?

Yasal/Regülatif uyum gereksinimlerini Bilgi Güvenliği açısından baktığımızda, bu gereklilikler Bilgi güvenliğinin şeffaflığını ve hesap verebilirliğini artırması amaçlanmaktadır. Güncel siber tehditler arttıkça uyumluluk çerçevelerinin sayısı ve bunların içerdiği güvenlik kontrolleri, politikaları ve etkinliklerinin özgünlüğü de artıyor. BDDK yönetmeliğinin gelişimi, Dijital Ofis, KVKK, SPK vb.

Güvenliğin tanrıları, CISO’lar ve ekipleri için bu durum, güvenlik uzmanlığının yanı sıra güçlü organizasyon ve iletişim becerileri gerektiren, zaman alıcı ve riskli bir süreç olduğu anlamına gelir. Yani işlerimizde sadece Güvenlik sistemleri/teknoloji/süreçleri değil, ekipler arası iletişim, sağlam dokümantasyon, doğru anlatım ve ifade süreci, denetim bakışı ile süreci değerlendirme, yap işlet devret değil, planla-uygula-kontrol et-önlem al PUKO döngüsünde tam uyum gerektirir.
Uyumluluğu “gerekli bir zorunluluktan” çıkartıp Bilgi Riski değerlendirmenize, bütçe kazanmanıza ve destek almanıza, müşteri ve hissedar güvenini artırmanıza yardımcı olacak stratejik bir araca dönüştürmeyi denediniz mi?

CISO’ların Bilgi güvenliği uyumluluğuna bakış açısı, şirketlerin büyüklüğüne, coğrafyasına, sektörüne, veri hassasiyetine ve program olgunluk düzeyine bağlı olarak büyük ölçüde değişebiliyor. Örneğin, Amerika Birleşik Devletleri’nde halka açık bir şirketseniz, birden fazla düzenlemeye uymanın yanı sıra risk değerlendirmelerini ve düzeltici eylem planlarını sürdürmekten başka seçeneğiniz olmayacaktır.
Geçmiş deneyimlerimden birini aktarmak isterim. Hollanda nın Bilgi Güvenliğindeki gelişimi ve yaklaşımını duymuşsunuzdur. Ben de yaklaşık 10 yıl kadar önce Turuncu şirketlerden birinde Bilgi Güvenliği ve GRC üzerine çalışıyordum. 10 yıl önce yaptığım projeler, aldığım eğitimler, işlerim, bakış açısı ve geçirdiğim Hollanda denetimleri öyle bir seviyedeydi ki, tüm samimiyetimle söylüyorum, sonrasındaki tüm çalıştığım şirketlerde orada yaptıklarımın %35 i bile benim parlamama yetti. Ve maalesef, bir daha hiçbir şekilde o seviyede bir süreç yönetemedim.

Peki neden?

Çünkü Hollanda da DNB (merkez bankası) var. Bizim BBDK gibi görebilirsiniz. Burada 10 yıl kadar önce belirlenen yasal regülasyonlar öyle seviyedeydi ki, ………… (karşılaştırma yapmayayım 😀)
Ve elbette, yaklaşım…
Yasal regülasyonlar, yani kanunlara şirketler öyle bağlı ve adanmış yaklaşıyorlar ki, doğal bir yaşam dengesi gibi görünüyor. Bizdeki gibi, yatırım 100K, ceza 10K nasıl olsa bir durum değil…
Hal böyle olunca, şirketin en tepesinden en altına kadar gereklilik neyse mutlak bir uyum var. (Kültür de var.)

Not: Elbette, onların da kötü yanı bir cümleyi doğru anladıklarından emin olmak için 2 ay üzerine tartışmaktan ilerleyememeleri. Allahtan sonradan Agile/Scrum/Kanban gibi süreçleri buldular da biraz hız geldi. Oysa bir de kervan hep yolda dizilir.

Gündeme geri dönelim.

Özetle, regülasyonlar güzel bir öğretmen ve yol gösterici oluyor. Elbette her sektörü kapsayacak kadar geniş/kapsayıcı değiller. Bazen ucu açık kalıyor.
İşte bu noktada, bu kategorilerden birine girmeseniz bile, ISO27001 sertifikası almak veya siber güvenlik sigortasına başvurmak gibi bir hedefiniz var ise NIST CSF ve ISO gibi geniş siber güvenlik uyumluluk çerçeveleri, sizin için izlenecek modeller ve sonuçların iletilmesine yönelik yapılar sağlar.

Bununla birlikte, “security does not equal compliance” “Güvenlik uyum anlamına gelmez” CISO’lar arasında sıklıkla duyulan bir mantradır. Elbette uyumlu olmanız güvende olduğunuz anlamına gelmez. Son derece olgun siber güvenlik kuruluşları, uyumluluğu minimum düzeyde değerlendirebilir ve kuruluşlarını korumak için gerekli bileşenlerin çok ötesine geçebilir.

CISO, uyumluluk gereksinimlerini karşılamak için siber güvenlik yatırımları ve uygulamaları önerebilir ancak nihai karar verici değildir. Bu nedenle, bir CISO’nun temel sorumluluklarından biri uyumsuzluk riskini iletmek ve hangi girişimlere öncelik verileceği konusunda diğer şirket liderleriyle birlikte çalışmaktır. Bu bağlamda risk, yalnızca teknik riski değil aynı zamanda iş riskini de içerir. “havuç ve sopa” metaforu gibi; Denetim ve uyumluluk, tarihsel olarak sizi bir şeyler yapmaya zorlayan sopa olmuştur, ancak bunu yapmanızı sağlamak, işin değerle uyumlu olduğu anlamına gelmez. Bu konuda bir seçim hakkına sahip olduklarını hissetmelerini sağlamak için havuç bileşeninin olması gerekiyor.
Bir kuruluşun ayrıcalık yönetimine yönelik en iyi güvenlik uygulamalarını tam olarak karşılamadığını varsayalım. Uyumsuzluk, düzenleyici para cezaları ve hissedar davalarıyla sonuçlansa da, altta yatan güvenlik açıkları, kesinti, fidye yazılımı ödemeleri ve gelir kaybı da dahil olmak üzere işletme üzerinde daha da büyük bir etkiye neden olabilir. Öte yandan uyumluluk gereksinimlerinin karşılanması, daha hızlı satışlar, daha güçlü ortaklıklar veya daha düşük siber sigorta oranları gibi iş değerleri sağlayabilir.
Kapsamlı bir risk yönetimi programının bir parçası olarak, yönetim kurulları ve üst düzey liderlik, uyumsuzluğun potansiyel maliyetlerine karşı uyumu sağlamanın maliyet ve faydalarını tartmalıdır. Bazı durumlarda belirli bir risk düzeyinin kabul edilebilir olduğuna karar verebilir ve ek koruma önlemleri uygulamamayı tercih edebilirler. Diğer durumlarda ikiye katlanabilirler.
Bazı CISO’lar, siber güvenlik programlarına dahil edilecek teknikler ve süreçler için bir metodoloji olarak uyumluluk çerçevelerini kullanır. Temel olarak, program önceliklerini bildirirler ve oluşturmaya çalıştıkları programla uyumlu, mutlaka sahip olunması gereken çözümler için bir yol haritası oluştururlar.
CISO’lar uyumluluk teknesinde tek başına yer almıyor. Değişen uyumluluk gerekliliklerini anlamak ve bunların nasıl ele alınacağına karar vermek için hukuk ekipleri, DPO ve denetim veya risk komiteleriyle ortaklıklar kurmaları gerekir.
Bazen bu dahili ortaklar, güvenlik ekiplerinin daha güçlü kontroller uygulamasını gerektirir ancak onlar da ara verebilirler.
Uyumluluk ekipleri, güvenlik mühendislerinin ve analistlerin yapacak zamanı veya kaynağı olmayan birçok şeyi yapar. Kontrollerin beklendiği gibi çalışıp çalışmadığını tekrar kontrol ederek güvenliği sorumlu tutuyorlar. İster manuel güvenlik anketleri yoluyla ister teknoloji entegrasyonları aracılığıyla kanıt toplamak anlamına gelse de, uyumluluğu göstermek için güvenlik ekipleri, düzenleyiciler ve denetçiler arasında aracı olarak hareket ederler.

Sonuç olarak, CISO sadece teknoloji değil bir iş insanı olarak akışı da yönetir ve insan/teknoloji/süreç birleşenlerini bir orkestra şefi gibi doğru yol/yöntemler ile yürütmelidir. Yasal regülasyonların desteği, iyi pratiklerin sunduğu rehberlik ve kendi vizyonu ile ekibinin gücü ile güvenlik bilgi sistemlerini inşa edip, destekleyeceklerdir.