Yakın zaman önce TÜV AUSTRIA, Kaspersky Security Network (KSN) altyapısını ISO/IEC 27001:2013 standardıyla kötü amaçlı ve şüpheli yazılımların dağıtımı açısından uyumlu tutumak için uyguladığımız bilgi güvenliği yönetimi sistemini doğruladı. TÜV aynı zamanda Kaspersky Lab Distributed File System (KLDFS) içerisinde bu dosyaların güvenli biçimde depolanacağını ve güvenle erişilebileceğini de onayladı.
ISO/IEC 27001:2013 sertifikasının neyle ilgili olduğuna bakalım.
ISO 27001 nedir?
ISO 27001, bilgi güvenliği yönetimi sistemlerinin yaratımı, bakımı ve geliştirilmesine yönelik gerekliliklere sahip uluslararası bir standarttır. Özünde, bilgileri korumak ve müşterileri verilerinin korunmasını güvence altına almak için güvenlik yönetimi önlemlerinin en iyi örneklerinin bir araya toplanmış halidir.
Sertifikayı vermek için bağımsız bir oluşum (bizim örneğimizde TÜV AUSTRIA), temel amaçları siber güvenlik sağlayan işlemlerin en iyi örneklerle uyumlu olup olmadığını kontrol etmek olan denetimciler gönderir. Denetim sırasında İK, BT, Ar-Ge ve Güvenlik de dahil olmak üzere çeşitli departmanlardaki süreci inceleyip kapsamlı bir rapor hazırlarlar. Ardından, bağımsız uzmanlar, denetçilerin tarafsızlığını analiz eder. Son olarak, bağımsız kuruluş bir sertifika verir. Bize verilen sertifika, bilgi güvenliği yönetimi sistemimizin en iyi örneklerle uyumlu olduğunu doğrulamaktadır.
Sertifikalı olmak ne anlama gelir?
Müşterilerimiz öncelikle, kötü amaçlı ve şüpheli nesneler için otomatik ve uzmanlarımız tarafından manuel olarak mümkün olan en iyi güvenlik seviyesini sağlayıp sağlamadığımızla ilgileniyor. Her antivirüs şirketi için her şeyin merkezinde bu konu var. Bu sebeple, Kaspersky Security Network altyapısını ve güvenli depolama alanı olan Kaspersky Lab Distributed File System’ı kullanarak kötü amaçlı ve şüpheli dosyaların sevkiyatı ile ilgili sertifikayı almak istedik. Ancak denetçiler yalnızca bu alanı incelemiyorlardı. Şirketteki pek çok hizmet, benzer şekilde düzenlenmişti.
Herhangi bir işlemin güvenliğini birçok faktör aynı anda etkiler; bilgi güvenliği yönetimi sistemleri ise bu faktörleri belirlemeye ve zamanında önlem almaya yardımcı olabilir. Siber güvenlik alanında pek çok soru kritik önemde kabul edilebilir. Bilgi sistemlerine ve kritik bilgilere kimlerin erişimi var? İş süreçleri nasıl ilerliyor? Çalışanlar, belgelerle ve bilgi sistemleriyle ne şekilde iş yapıyorlar? Bir çalışan işten çıktığında güvenlik ekibi erişim haklarını geri çekme konusunu nasıl ele alıyor? Çalışanlar olası siber tehditler ve bunlara karşı korunmanın yolları konusunda ne kadar bilinçli? Yöneticiler, kritik operasyonlar yürüten bilgisayarlarla nasıl çalışıyor?
Koruma sistemi aynı zamanda yeni tehdit türlerini ve bunlara karşı alınacak aksiyonları da değerlendiriyor. Örneğin, makine öğrenimi algoritmaları dahil yeni teknolojilerin kullanımının olası risklerine karşı atılacak adımlar, ATP saldırılarına karşı koruma, vb.
Denetçiler yukarıdakileri de göz önünde bulundurarak çeşitli departmanlardan çalışanlarla konuştu ve veri korumasının teknik ve işe alım, işten çıkarma ve eğitim gibi organizasyonel taraflarını analiz etti. BT servisinin kurumsal ağa nasıl bakım uyguladığını incelediler ve veri merkezlerimizi ziyaret ettiler.
Tüm bunlara ek olarak çalışanların işlerini nasıl yaptığını da gözlemlediler; basılı belgeleri veya çıkarılabilir cihazları ofiste ortada bırakıp bırakmadıklarını, masalarından uzaklaşırken bilgisayarlarını kilitleyip kilitlemediklerini, monitörlerinin ve kontrol panellerinin neyi görüntülediğini ve çalışırken ne tür programlar kullandıklarını kontrol ettiler. Diğer bir deyişle, bilgi güvenliği yönetimi sistemi süreçlerini doğrulamaya özel olarak dikkat ederken, tüm şirketi ilgilendiren şu pratikleri de analiz ettiler: Yönetimin güvenlik analizi, risk yönetimi, vaka yönetimi, düzeltmeye yönelik eylemler, denetimler, çalışanların siber güvenlik bilincine sahip olmalarını sağlama ve iş devamlılığını sürdürme.
Sırada ne var?
Artık endişeli müşteriler, bağımsız uzmanların görüşlerini temsil eden sertifikayı inceleyebilir. Çözümlerimizin çoğunda sertifikalı hizmetler yer aldığı için, özellikle kurumsal bir şirket bir güvenlik sağlayıcısı seçerken ISO 27001 sertifikasıyla ilgili sorular sık sık gündeme geliyor.
Fakat süreç bununla da sınırlı değil. Her üç yılda bir sertifikamızı yeniliyoruz. Bu da sertifika için daha fazla denetim anlamına geliyor. Ayrıca denetçiler her yıl yerinde incelemede de bulunuyorlar.
Sertifika hakkında ayrıntılı bilgiyi https://www.kaspersky.com/about/iso-27001 adresinde bulabilirsiniz.