EN
EN

Regülasyon Analizi ve Teknik Analiz Neden Birlikte Yapılmalı?


Kurumlar var olan bilgi sistemlerini daha iyi hale getirmek, iş sürekliliğini analiz etmek, felaket kurtarma senaryolarını denemek, zafiyet ve yapılandırma eksiliklerini tespit etmek için belli periyotlarda teknik analizler yapmaktadır/yapmalıdır. Kurumun büyümesi, ihtiyaçlarının değişmesi/gelişmesi, kurumun hizmet kapsamını arttırması gibi nedenlerden dolayı var olan BT sistemine yeni varlıklar ve süreçler girmektedir. Buda sistemin teknik analiz ihtiyacı duyduğu nedenlerdendir.

Gerçekleştirilen bu teknik analizler kurum içinden olabileceği gibi hizmet alım yoluyla da gerçekleştirilebilmektedir.  Yapılan bu teknik analizlerin bir regülasyon, kanun, standart, çerçeve rehber vb. kapsamında yapılması gerekmektedir. Bu kurumlara aşağıda verildiği gibi bir dizi fayda sağlamaktadır. 

Regülasyon Uyumluluk Skoru Sunar

Regülasyonlar eşliğinde teknik analiz yapmak bir regülasyona yüzde kaç oranında uyduğunuzu tespit etmenizi sağlar. Buda size ilgili regülasyonda skor bilgisi. Örneğin kurumunuzu ISO 27001 standartlarına göre analiz etmek size bu standarda ne kadar uyumlu olduğunuzu gösterir.

Teknik Eksikliklerin Tespiti

Kurumların bilgi sistemlerinde var olan/olabilecek zafiyetler, yapılandırma eksiklikleri, yanlış yapılandırmalar, ihtiyaca uygunluk eksikliği vb. tespit edilir. Örneğin ağ ve sistemde var olan eksiklikler, uygulamalarda bulunan eksiklikler, altyapıda bulunan eksiklikler vb.

Açık Alan Kalmaz

Kurumun BT sistemini analiz etmek için yapacağı çalışmaları herhangi bir regülasyon kapsamında yapmaması, sistemde analiz edilmesi gereken bazı konuların atlanmasına neden olabilir. Ulusal ve yerel regülasyon, kanun, standart, çerçeve rehber vb. birçok kurum ve sistem incelenerek geniş araştırmalar sonucu oluşturulmuştur. Bu şekilde minimumdan maksimuma bir kurumda olabilecek kontrolleri içermektedirler. Bu nedenle bir regülasyona bağlı kalarak analiz yapmak sistemin uçtan uca analizi yapmanızı sağlayacaktır.

Zafiyet veya Yapılandırma Eksikliğinin Değeri/Büyüklüğü Anlaşılır

Ulusal olarak bilgi sitemlerinde var olan zafiyetler ve eksiklikler için belirli değerler atanmaktadır. Örneğin CVE değeri, OWASP top 10, TSE zafiyet değer sistemi örnek verilebilir. Regülasyonlar bu puan/değer sistemini baz almaktadır.  Bu şekilde kurumun bir siber olay yaşamadığı için önemsemediği zafiyetin aslında büyük bir etkisinin olduğu anlaşılır. Risk değerlendirmesi ve iyileştirme önceliklendirme buna göre yapılır.

Denetimlerin Sağlıklı Geçmesini Sağlar

Denetimlerde yapılan mülakatlarda elde edilen bulgulara kanıt sunulmasını sağlar. Örnek senaryoda firewallda yapılan bir yapılandırma ayarının uygunluğu sorgulandığında evet cevabı alındığını düşünelim. Mülakata ek olarak teknik analizin yapıldığında yapılandırma ayarının uygun yapıldığının görülmesi cevabın teyidini; teknik analizin uygun yapılmadığının görülmesi iyileştirme çalışmalarının tespitini sağlar.

Best Practice Uygunluk Analizi Sağlar

Regülasyonlar oluşturulurken en iyi pratikler göz önünde bulundurulur. Regülasyon ve teknik analizin beraber yapılması bilgi sistemlerinin en iyi pratiklere ne kadar yakın olduğunuzu görmenizi sağlar. Analiz sonucundaki önerileri en iyi pratiklere uygun yapmanız için yol gösterici olur.

Uyum Yol Haritası Sağlar

Regülasyonlar hangi sistemde neler yapılması gerektiğini belirtir. Bu kapsamda yapılan teknik analiz sonucunda nasıl bir yol izlemeniz gerektiği gösterir.

Teknik Ekip ve Uyumluluk Ekibinin İş Yükünün Azalmasını Sağlar

Çoğu kurum ve kuruluşların uyumlu olması gereken regülasyon bulunmaktadır. Kurumlarda bu uyumluluğun takibi için uyum ekipleri (kalite birimi, bilgi güvenliği ve iş sürekliliği birimi vb.) bulunmaktadır. Uyum ekipleri teknik ve idari uyumluluğu analiz etmek için belli iç denetimler/kontroller yapmaktadır. Bundan ayrı olarak giriş bölümünde yazdığımız nedenlerden dolayı teknik birimler analizler yapmaktadır. Yapılan bu iki farklı çalışma fazladan efor harcanmasına neden olmaktadır. Yapılan teknik analizleri regülasyonlar ışığında yapmak bu eforun düşmesini sağlayacaktır.

Yazar: Nazlıcan Hatice Tanın/Denetim Hizmetleri ve Teknolojileri Kıdemli Uzman