1. Siber Güvenlik Stratejisi ve Hedefleri
İyi bir siber güvenlik yönetişim programı oluşturmak için kuruluş, risk yönetimi politikalarını, stratejisini ve hedeflerini açıkça tanımlamalıdır. Üst düzey liderlik, kuruluşun tercih edilen durumu için strateji ve hedefleri tanımlamadan önce mevcut risk yönetimi yaklaşımlarını değerlendirmelidir. Strateji, kuruluşun genel risk yönetimi yaklaşımını sürdürmesi ve iyileştirmesi için yol haritasını oluşturan üst düzey bir belge olmalıdır. Strateji ve hedefler kesinleştiğinde, kuruluş düzeyinde bir politika uygulanmalı ve kuruluş genelinde dağıtılmalıdır.
Etkili bir siber güvenlik stratejisi geliştirmenin temel bileşenleri şunları içerir:
• siber güvenlik riskinin kritik iş operasyonlarınızla nasıl ilişkili olduğunu anlamak
• organizasyon için stratejik hedefler geliştirmek
• kapsamı tanımlama
• Siber güvenlik ihtiyaçlarını belirlemek ve hedefler geliştirmek
• temel performans göstergelerinin (KPI'lar) oluşturulması
• kaynak ihtiyaçlarının belirlenmesi
• risk iştahının belirlenmesi
• sürekli izleme altyapısının kurulması
2. Standartlaştırılmış Süreçler
Birçok kuruluş, günlük görevlerin tamamlanmasını sağlamak için süreçlere ve personele sahiptir. Bununla birlikte, belirli görevlerin yönetimi - eğer yönetiliyorlarsa - her zaman olabileceği kadar etkili bir şekilde yapılmaz. Tekrarlanabilir onaylı, standartlaştırılmış süreçler olmadan kuruluşlar verimlilik, kalite veya tutarlılığı sağlayamazlar . Tutarlılık, kuruluş genelinde risklere yönelik ortak bir anlayış ve yönetim yaklaşımı sağlamak için kritik öneme sahiptir. T
Tekrarlanabilir süreçlerin oluşturulması program için önemli bir faktördür . Kısacası, geçici ve tutarsız bir siber güvenlik yönetişim programı sonunda eksikliklere yol açacaktır. Etkisiz bir siber güvenlik yönetişim programı, artan güvenlik ihlallerine, uzlaşmalara ve saldırılara yol açacaktır.
3. Uygulama ve Hesap Verebilirlik
Gereksinimleri uygulamak için süreçler mevcut olmalıdır. Aksi takdirde siber güvenlik programı tutarsız hale gelecek, gereksinimler göz ardı edilecek ve başarısızlık ortaya çıkacaktır. Program sorumlulukları olanlar, hesap verebilirlik ve siber güvenlik yönetişiminin eksik olduğunu algıladıklarında veya gözlemlediklerinde, standartlaştırılmış süreçler oluşturmaya karşı olan kendi iş yapma yöntemlerini bulacaklardır . Siber güvenlik yönetişimi ölçülebilir ve uygulanabilir olmalı ve tüm personel seviyelerinde uyumluluk için hesap verebilirlik olmalıdır.
bu Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Risk Yönetimi Çerçevesi (RMF) risk yönetimine kademeli bir yaklaşım önerir ve sistem geliştirme yaşam döngüsü (SDLC) boyunca bilgi sistemlerine güvenlik ve gizlilik yeteneklerinin geliştirilmesini teşvik eder . Bu yaklaşım, güvenlik ve gizlilik duruşlarına ilişkin durumsal farkındalığı sürdürmek için bu sistemleri sürekli olarak izleyerek gerçekleştirilebilir. Kurumsal operasyonlara ve varlıklara, bireylere ve diğer kuruluşlara yönelik risklerin kabulüne ilişkin kararları kolaylaştırmak için üst düzey liderlere ve yöneticilere de bilgi sağlanmalıdır .
4. Kıdemli Liderlik Gözetim
Siber güvenlik yönetişimi kurumsal bir endişe olduğundan, sürecin hedeflerine ulaşmasını sağlamak için siber güvenlik programının odak noktası ve yönü yukarıdan gelmelidir. Üst düzey liderlik, siber güvenlik yönetimini güçlü bir "en tepede ton" yaklaşımıyla desteklemediği sürece, kuruluşun risk yönetimi çabaları büyük olasılıkla başarısız olacaktır. Üst düzey liderlik, programın yaşam döngüsü boyunca meşgul kalmalıdır. Bu katılım, tüm kuruluşun yalnızca üst düzey liderliğin siber güvenlik yönetimine olan bağlılığını anlamasını değil, aynı zamanda bunu yüksek bir standartta uygulamasını sağlamaya yardımcı olur. ISO 27001 , bölüm beş, etkili bir siber güvenlik yönetişim programı oluşturmayla ilgili bir liderlik ilkeleri listesine sahiptir:
• bilgi güvenliği politikasının ve bilgi güvenliği hedeflerinin oluşturulmasını ve kuruluşun stratejik yönü ile uyumlu olmasını sağlamak
• bilgi güvenliği yönetim sistemi gereksinimlerinin kuruluşun süreçlerine entegre edilmesini sağlamak
• bilgi güvenliği yönetim sistemi için ihtiyaç duyulan kaynakların mevcut olmasını sağlamak
• Etkin bilgi güvenliği yönetiminin önemini iletmek ve bilgi güvenliği yönetim sistemi gereksinimlerine uymak
• bilgi güvenliği yönetim sisteminin amaçlanan sonuçlara ulaşmasını sağlamak
• Bilgi güvenliği yönetim sisteminin etkinliğine katkıda bulunmak için personeli yönlendirmek ve desteklemek
• sürekli iyileştirmeleri teşvik etmek
Üst yönetim, aşağıdakileri sağlayan bir siber güvenlik politikası oluşturacaktır:
• organizasyonun amacına uygun
• bilgi güvenliği hedeflerini veya bilgi güvenliği hedeflerini belirlemek için çerçeveyi içerir
• bilgi güvenliği ile ilgili geçerli gereksinimleri karşılama taahhüdünü içerir
• bilgi güvenliği yönetim sisteminin sürekli iyileştirilmesine yönelik bir taahhüdü içerir
• belgelenmiş bilgi olarak mevcuttur
• kuruluş içinde iletilir ve uygun olduğu şekilde ilgili taraflara sunulur.
5. Kaynaklar
hedefleriyle orantılı olarak temel siber güvenlik yönetişimi ve uyumluluk ihtiyaçlarını karşılamak için yeterli kaynakların mevcut olduğundan emin olmalıdır . Finansman, risk seviyeleri için yeterli bilgi ve bilgi sistemlerini güvence altına almak için en yüksek önceliklere tahsis edilmelidir. Kaynak sağlama aynı zamanda kalifiye personel ve onların eğitimi için tahsis edilmiş fonları da içermelidir. Ayrıca kaynaklar , KPI'ları yeterli şekilde ölçmek ve tekrarlanabilir süreçleri sürdürmek için yeterli araçların satın alınmasına izin vermelidir.
Politikanın Ötesinde
Siber güvenlik yönetişimi için gümüş kurşun yoktur. Üst düzey liderlikle başlar, ancak nihayetinde herkes bir rol oynar. Bu arada gözden geçirin Risk yönetimi ve siber güvenlik yönetişimi hakkında daha fazla bilgi için CERT - RMM , NIST Özel Yayını 800-37 ve ISO/IEC 27001 . Kapsamlı olmamakla birlikte, bu kaynaklar bir siber güvenlik yönetişim programını anlamak ve oluşturmak için iyi bir başlangıçtır.
Kaynak : https://www.linkedin.com/pulse/siber-g%25C3%25BCvenlik-y%25C3%25B6netimi-be%25C5%259F-temel-zorluk-ibrahim-aslanbakan/?trackingId=uOmAVGGcQTeTKzHoSp99YQ%3D%3D