Güncellenen ISO 27001 standardı neden her işletmenin güvenliği için önemlidir?


Vatandaş geliştiricilerin becerilerini artırarak ve ölçeklendirerek başarılı bir şekilde yenilik yapmayı ve verimliliğe nasıl ulaşılacağını öğrenmek için Low-Code/No-Code Summit’teki isteğe bağlı oturumlara göz atın. İzle şimdi.


4 Ağustos 2022 sabahı Birleşik Krallık Ulusal Sağlık Hizmeti (NHS) tedarikçisi Advanced, büyük bir siber saldırıya uğradı. NHS 111 (NHS’nin 7/24 hizmet veren sağlık yardım hattı) ve acil tedavi merkezleri dahil olmak üzere kilit hizmetler devre dışı bırakıldı ve yaygın kesintilere neden oldu. Bu saldırı, standartlaştırılmış bir dizi kontrol olmadan neler olabileceğini acımasızca hatırlattı. Kuruluşlar kendilerini korumak için ISO 27001’e bakmalıdır.

ISO 27001, uluslararası geçerliliği olan bir Bilgi Güvenliği Yönetim Sistemi standardıdır. İlk olarak 2005 yılında işletmelerin siber saldırılar, veri sızıntıları ve hırsızlık gibi riskleri yönetmek için sağlam bir bilgi güvenliği çerçevesi uygulamasına ve sürdürmesine yardımcı olmak için yayınlandı. 25 Ekim 2022 itibarıyla birkaç önemli şekilde güncellendi.

Standart, yönetim sistemini tanımlayan bir dizi maddeden (madde 4 ila 10) ve bir dizi kontrol tanımlayan Ek A’dan oluşur. Maddeler risk yönetimi, kapsam ve bilgi güvenliği politikasını içerirken, Ek A’nın kontrolleri yama yönetimi, antivirüs ve erişim kontrolünü içerir. Tüm kontrollerin zorunlu olmadığını belirtmekte fayda var; işletmeler kendilerine en uygun olanı kullanmayı seçebilirler.

ISO 27001 neden güncelleniyor?

Standardın en son güncellenmesinden bu yana dokuz yıl geçti ve bu süre zarfında teknoloji dünyası büyük ölçüde değişti. Yeni teknolojiler sektöre hakim olacak şekilde büyüdü ve bu kesinlikle siber güvenlik ortamına damgasını vurdu.

Etkinlik

Akıllı Güvenlik Zirvesi

Yapay zeka ve makine öğreniminin siber güvenlikteki kritik rolünü ve sektöre özel vaka incelemelerini 8 Aralık’ta öğrenin. Ücretsiz geçişiniz için bugün kaydolun.

Şimdi üye Ol

Bu değişiklikler göz önünde bulundurularak standart, siber ve bilgi güvenliğinin bugünkü durumunu yansıtacak şekilde gözden geçirildi ve revize edildi. Halihazırda ISO 27002’nin (Ek A kontrollerinin uygulanmasına ilişkin kılavuz) güncellendiğini gördük. Kontrol sayısı, daha önce var olan birkaç kontrolü birleştiren ve 11 yeni kontrol ekleyen bir süreç olan 114’ten 93’e düşürüldü.

Yeni kontrollerin çoğu, standardı modern teknolojiyle uyumlu hale getirmek için tasarlandı. Örneğin artık bulut teknolojisi için yeni bir kontrol var. Kontroller 2013’te ilk oluşturulduğunda, bulut hâlâ ortaya çıkıyordu. Bugün, bulut teknolojisi, teknoloji sektöründe baskın bir güçtür. Böylece yeni kontroller, standardın güncelleştirilmesine yardımcı olur.

Ekim ayında, ISO 27001 güncellendi ve ISO 27002’nin yeni sürümüyle uyumlu hale getirildi. İşletmeler artık güncellenmiş 2022 kontrollerine uyum sağlayabilir ve 2013’teki artık güncelliğini yitirmiş olan liste yerine bu yeni standardı karşıladıklarını onaylayabilirler.

ISO 27001 sertifikası işletmenize nasıl fayda sağlayabilir?

ISO 27001’i uygulamak, şirketlere en başından fayda sağlayan bir dizi bilgi güvenliği avantajı sağlar.

ISO 27001 sertifikasını almak için zaman harcayan şirketler, müşterileri tarafından bilgi güvenliğini ciddiye alan kuruluşlar olarak tanınacaktır. Müşterilerinin ihtiyaçlarına odaklanan şirketler, kullanıcılarının zihnindeki genel güvensizlik hissini gidermek istemelidir.

Ayrıca, birçok şirketin şu anda üstlendiği, giderek daha titiz hale gelen durum tespiti süreçlerinin bir parçası olarak, ISO 27001 zorunlu hale geliyor. Bu nedenle, kuruluşlar ticari olarak kaçırmamak için inisiyatifi erken almaktan fayda sağlayacaktır.

Siber savunma söz konusu olduğunda, önleme her zaman tedaviden daha iyidir. Saldırılar, hem itibar hem de mali açıdan bir kuruluş için neredeyse her zaman maliyetli olan bozulma anlamına gelir. Bu nedenle, ISO 27001’i kuruluşların uzun vadede tasarruf etmesi için doğru adımların önceden atıldığı bir siber sigorta biçimi olarak görebiliriz.

Bir de eğitim meselesi var. Genellikle, bir organizasyonun en zayıf noktası ve dolayısıyla en çok hedeflenen noktası kullanıcıdır. Güvenliği ihlal edilmiş kullanıcı kimlik bilgileri, veri ihlallerine ve güvenliği ihlal edilmiş hizmetlere yol açabilir. Kullanıcılar karşılaştıkları tehditlerin doğasının daha fazla farkında olsalardı, kimlik bilgilerinin ele geçirilme olasılığı önemli ölçüde azalırdı. ISO 27001, kullanıcıları karşılaştıkları riskler konusunda eğitmek için net ve inandırıcı adımlar sunar.

Nihayetinde, bir işletmenin ISO 27001 uygulamasını seçmesine neden olan şey ne olursa olsun, bundan en iyi şekilde yararlanmanın anahtarı, süreçlerini ve prosedürlerini günlük faaliyetlerine yerleştirmektir.

ISO 27001 sertifikasının zorluğunun üstesinden gelmek

Birçok şirket, erişim kontrolü, yedekleme prosedürleri ve eğitim dahil olmak üzere ISO 27001’den birçok kontrolü zaten uygulamıştır. Sonuç olarak, ilk bakışta kuruluşlarında daha yüksek bir siber güvenlik standardına ulaşmış gibi görünebilirler. Bununla birlikte, eksiklikleri devam eden şey, kuruluşun bilgi güvenliğini fiilen yönetecek, bunun iş hedefleriyle uyumlu olmasını, sürekli bir iyileştirme döngüsüne bağlı olmasını ve olağan iş faaliyetlerinin bir parçası olmasını sağlayacak kapsamlı bir yönetim sistemidir.

ISO 27001’in faydaları teknoloji endüstrisindeki birçok kişi için aşikar olsa da, belgelendirmenin önündeki engelleri aşmak kolay olmaktan uzaktır. ISO 27001 sertifikası arayan kuruluşları zorlayan en büyük sorunlardan ikisini çözmek için atılacak bazı adımlar şunlardır:

  • Kaynaklar — zaman, para ve insan gücü: İşletmeler kendilerine şunu soracaklar: Ekstra bütçeyi nasıl bulabiliriz ve çalışanlarımızın sınırlı zamanını altı ila dokuz ay sürebilecek bir projeye nasıl ayırabiliriz? Buradaki anahtar, işletmenizdeki sektör uzmanlarına güvenmektir. Onlar her gün standardı uygulayacak kişilerdir ve direksiyona geçmeleri gerekir.
  • Kurum içi bilgi eksikliği: Standardı uygulama konusunda önceden deneyimi olmayan işletmeler standardı nasıl doğru anlayabilir? Bu durumda, üçüncü taraf uzmanlığı getirmenizi tavsiye ederiz. Harici uzmanlar tüm bunları daha önce yaptı: Hataları çoktan yaptılar ve onlardan ders aldılar, yani doğrudan neyin işe yaradığını uygulamaya odaklanarak kuruluşunuza gelebilirler. Uzun vadede, daha kısa sürede sertifikasyon elde edeceğinden, en başından doğru bir şekilde almak daha uygun maliyetli bir stratejidir.

Başarılı bir geleceğe doğru sonraki adımlar

İşletmeniz için tüm bunları gerçeğe dönüştürmek göz korkutucu görünse de, doğru plan uygulandığında, işletmeler ISO 27001 sertifikasının sunduğu her şeyden hızla yararlanabilir.

Ayrıca, bu Ekim ayının, işletmelerin standardın yeni sürümü için sertifika alması için son nokta olmadığını kabul etmek de önemlidir. İşletmelerin belgelendirme kuruluşlarının belgelendirme sunmaya hazır hale gelmesi için birkaç ayları olacak ve ardından, yeni standardın yayınlanmasından sonra ISO 27001:2013 tamamen kullanımdan kaldırılmadan önce muhtemelen iki yıllık bir geçiş dönemi olacaktır.

Sonuç olarak, uygulama zorluklarla birlikte gelse de, ISO 27001 uyumluluğunun günümüzün hiper-bağlantılı dünyasında güvenilir ve güvenli ortaklar olarak itibarlarını artırmak isteyen işletmeler için paha biçilmez olduğunu hatırlamak çok önemlidir.

Nicky Whiting, Defense.com’da danışmanlık direktörüdür..

DataDecisionMakers

VentureBeat topluluğuna hoş geldiniz!

DataDecisionMakers, veri işini yapan teknik kişiler de dahil olmak üzere uzmanların verilerle ilgili içgörüleri ve yenilikleri paylaşabileceği yerdir.

En yeni fikirler ve güncel bilgiler, en iyi uygulamalar ile veri ve veri teknolojisinin geleceği hakkında okumak istiyorsanız DataDecisionMakers’ta bize katılın.

Kendi makalenizle katkıda bulunmayı bile düşünebilirsiniz!

DataDecisionMakers’dan Daha Fazlasını Okuyun


Kaynak : https://venturebeat.com/security/why-the-updated-iso-27001-standard-matters-to-every-business-security/

Yorum yapın

SMM Panel PDF Kitap indir