EN
EN

Siber Esneklik ve BT Hizmet Yönetimi


Siber esneklik (cyber resillience) ve bilişim teknolojileri hizmet yönetimi (IT service management - ITSM) her ikisi de kurumunuz ve müşterileriniz için değer üreten bilgilerin nasıl yönetileceğiyle ilgilenir.  Siber esneklik, iş dünyasının ihtiyaç duyduğu verilerin gizliliği, bütünlüğü ve erişilebilirliğinin korunmasındaki risklerin yönetimi ile ilgilenir; ITSM ise bu verileri saklayan, işleyen ve yöneten BT sistem ve servislerinin yönetimiyle ilgilenir.  Bu iki alanın birbiriyle örtüşen birçok yanları var; ancak birçok kurum farklı insanları, süreçleri, teknolojileri ve yönetim birimlerini kullanarak bu iki alanı tamamıyla birbirinden ayrık bir şekilde yönetmeye çalışırlar.  Bu siber risklerin uygun bir şekilde yönetilmesini başarısızlığa uğratan verimsiz bir karar alma mekanizmasına yol açmaktadır.

Bu makale; kurumların BT servislerini yönetmek, siber saldırıları önlemek, önlenemeyen atakları saptamak ve düzeltmek gibi konularda daha verimli olabilmelerine yardımcı olmak için siber esneklik ve bilişim teknolojileri hizmet yönetimi sistemlerinin nasıl birlikte çalışabileceklerini anlatmaktadır.

Siber Esneklik Nedir?

Siber esneklik, işlerin yapılması için gerekli olan bilgiler üzerinde bir siber olayın yapabileceği darbeyi önleme, saptama ve düzeltme işlemlerinin bir bütünü olarak tanımlanmaktadır. Kamuoyuna duyurulan siber saldırıların her geçen gün artması siber esnekliğin birçok kurumda gündeme gelmesine neden olmaktadır. Burada esneklik kavramı, odak noktasının olayları sadece önleme yaklaşımından, önlenemeyen olayların tespiti ve düzeltilmesinin de aynı derecede önemli olduğu yaklaşımına dönüştüğünü ifade etmektedir. Siber esneklik tümüyle denge ile ilgilidir:

- Önleme, tespit ve düzeltme arasındaki denge… Koruma tedbirleri sürekli gerçekleştirilmesi gereken bir denetim faaliyeti olarak tanımlanır; önlenemeyen olayların ise hızlı bir şekilde saptanması ve yapacağı etkinin yönetilmesi ve normal duruma geri dönülmesi gibi düzeltici aksiyonların alınması gerekmektedir.
- İnsanlar, süreçler ve teknolojiler arasındaki denge… Teknoloji ne kadar iyi olsa da insanlar yanlış şeyler yaptıklarında bilgiler risk altında kalacaktır ve her ne kadar insanlar ve teknoloji amaca uygun olsa da zayıf süreçler/usuller yüksek maliyetli güvenlik ihlallerine ve can sıkıcı sonuçlara yol açabilmektedir.
- Risk ve fırsat arasında denge… Arttırılmış güvenlik iş süreçlerini korumaya yardımcı olur, ama aynı zamanda güvenlik kontrolleri fazladan uğraşıya yol açabilir ve agile yöntemler üzerindeki negatif bir etki yapabilir. Bu nedenle önemli kayıplara neden olacak yetersiz kontroller ile iş süreçlerini yavaşlatacak ve yeni fırsatları değerlendirme kabiliyetini sınırlayacak aşırı kontroller arasında bir denge sağlanmalıdır.

Bilgi teknolojileri hizmet yönetimi (Information Technology Service Management-ITSM) kısaca size ve müşterilerinize değer katan BT sistem ve servislerinin nasıl yönetileceğini belirler. ITSM süreçleri devamlı bir servis kalitesi sağlamaya ve müşteri beklentilerini belirlemeye yardımcı olur ve beklentilerin karşılandığını garanti etmek gibi işlevleri sunar. Önemli ITSM faaliyetleri:

- Müşteri talep ve sorunlarını yönetmek ve çözmek için bir müşteri çözüm masası uygulamak
- BT sistem ve servislerine yapılacak değişiklikleri planlamak ve uygulamak
- Beklentileri belirlemek/yönetmek ve bu beklentilerin karşılandığını garanti etmek için BT planlarını yürütmek adına müşterilerle hizmet düzeylerini görüşmek ve anlaşmaya varmak
- Kapasite, erişilebilirlik, güvenlik ve servis sürekliliği gibi önemli konularda müşteri beklentilerini karşılamak için proaktif planlama yapmak
- BT hizmetlerini sunmak için gerekli görülen yetenekleri, bilgileri ve yetkinlikleri daha da geliştirmek
- Müşterilerin gelecekteki gereksinimlerini anlamak ve bunları karşılamak için müşterilerle çalışmak
- Yeni veya değişikliklerden geçirilmiş BT hizmetlerini dizayn eden ve geliştiren projeler işletmek
- BT sistem ve servislerinin ödemelerini gerçekleştirmek için gerekli olan bütçeyi planlamak ve yönetmek
- BT’nin iş süreçlerine değer katmak için nasıl kullanıldığını ölçmek, raporlamak ve sürekli iyileştirmek

Siber Esneklik ve ITSM Arasında Örtüşen Alanlar

Siber esneklik ve ITSM arasında bütüncül bir bakış açısıyla değerlendirilmesi gereken birçok nokta varken bağımsız süreçler olarak yönetilmeleri sorunlara yol açmaktadır. Ancak iki yaklaşım arasındaki örtüşen alanları dikkate alarak planlana bir yönetim süreci verimliliği ve etkinliği arttırmaktadır. Kritik kesişim alanlarına örnekler:

Yönetim: Siber esneklikte yasal ve düzenleyici gereklilikleri, iş zorunlulukları ve teknolojik şartları da kapsayan iş dünyasının beklentilerini karşılayacak siber kontrollerin gerçekleştirildiğini ve tüm paydaşların ihtiyaçlarının sağlandığını garanti etmek adına etkili bir yönetim süreci sunmaktır. ITSM’de ise etkili yönetim, paydaşların ihtiyaçlarını karşılamak üzere hizmetlerin planlandığının, tasarlandığının ve yönetildiğinin kontrollerini sağlamak için kurallar ve politikalar belirlemeye yardımcı olur.  Hedeflerin, rollerin ve sorumlulukların kurumun menfaatlerine göre ayarlandığını ve ona göre çalıştığını sağlamak için kurumun siber esneklik ve ITSM yönetimini bir arada götürmesi gerekmektedir.

İş sürekliliği yönetimi: Birçok kurumda BT servisleri için süreklilik yönetimi ile iş süreklilik yönetimi birbiriyle koordineli çalışacak yerde ayrı süreçler olarak işletilmektedir. İş sürekliliği yönetimi, problemler baş gösterdiği anlarda bile kritik iş süreçlerinin kesintiye uğramadan çalışmasına devam etmesini sağlamak için süreklilik planlamasında yer alanların birbiriyle sorunsuz olarak çalışmasını amaçlar. Siber esneklikte etkili iş sürekliliği yönetimi, kritik güvenlik olaylarını tespit ederek etkilerini azaltmaya ve iş süreçlerinin kesintiye uğramamasına yardımcı olur. ITSM ise bilişim sistemlerinin korunması ve müşteri beklentilerini sağlayacak şekilde BT hizmetlerinin sunulmasını planlayarak BT süreklilik yönetimi için bağlam ve gereksinimleri sağlar.

Erişilebilirlik yönetimi: Siber esneklikte erişilebilirlik yönetimi, bilgiye ihtiyaç duyulduğu anda ulaşılabilir olduğunu sağlama, DDoS ve cryptolocker gibi siber risklere karşı önlem alma gibi kritik süreçleri planlamaya yardımcı olur. ITSM, kararlaştırılan servis erişilebilirliği hedeflerinin sağlanması ve hizmet erişilebilirliğinin ölçülüp raporlanması gibi planları uygulamaya yardımcı olur. ITSM ve siber esneklik aynı bilginin erişilebilirliği üzerinde kontroller yaptıkları için problemlerin ve süreç tekrarlarının önlenmesi adına birlikte çalışmaları daha uygun olacaktır.

Olay müdahale: Siber esneklik için güvenlik olay yönetimi, gerçekleşen siber saldırıların hızlı ve sağlıklı bir şekilde etkisizleştirilmesi için çok önemli bir düzeltici kontrol olarak tanımlanmaktadır. ITSM için ise olay yönetimi, müşterilere destek sağlamak ve BT sorunları baş gösterdiğinde hızlı bir şekilde servislerin yeniden çalışabilir hale getirilmesi gibi işlevleri sunduğu için başlıca yatırım alanlarından biri olarak tanımlanmaktadır. Tüm siber olayların iyi bir şekilde yönetildiğini ve iş süreçlerinin uğrayabileceği kesinti risklerinin minimal seviyeye indirildiğini garantilemek adına siber esneklik ve ITSM süreçleri birlikte yürütülmelidir. ITSM olay yönetimi tüm olayların yönetimi için bir platform sunabilir, ancak saldırının karantinaya alındığı ve oluşan alarmın en iyi şekilde derecelendirilip yükseltildiğini kontrol noktasında siber esneklik süreçlerinden gelecek verilere ihtiyaç duymaktadır.

Tüm bu örneklerde görüldüğü gibi ITSM ve siber esnekliğin ayrı süreçler halinde yönetilmesi kaynakların boşa harcanması, düzenlemeleri uygulamada problemler gibi sorunların yanı sıra itibar, müşteri memnuniyeti ve finansal büyümeyi kötü etki yönde etkileyecek siber saldırıların gerçekleşmesine de yol açabilir.

Bilgi Yönetimi için Yaşam Döngüsü Yaklaşımı

Siber esneklik ve ITSM mimarileri tasarlanırken yayınlanmış olan en iyi planlar ve standartları göz önünde bulundurmak yerine her şeye sıfırdan başlanması hem büyük bir çaba isteyecek hem de yapılan hatalardan ders çıkartılarak en iyi şekilde düzenlenmiş olan uygulamaların sağlayacağı verim karşılanmamış olacaktır. Bu nedenle diğer insanların bu amaca hizmet için dizayn ettiği en iyi yönergelerden oluşan bir platformu uygulamaya almak daha iyi bir seçim olacaktır.

ITSM için en yaygın olarak kullanılan platform olan ITIL®, BT servisleri yönetimi için yaşam döngüsü yaklaşımını esas almaktadır. ITIL yaşam döngüsü, RESILIA™: Cyber Resilience Best Practice için temel oluşturan beş safha tanımlamaktadır: Hizmet stratejisi, hizmet dizaynı, hizmet geçiş süreci, hizmet operasyonu ve devamlı hizmet iyileştirme…  Aynı yaşam döngüsü hizmet yönetimi ve siber esneklik arasındaki sinerjiyi ve işbirliğini yakalamak amacıyla siber esneklik yönetimi içinde uygulanabilir.

- Siber esneklik stratejisi: Kurumun bilgi varlıklarını korumak için yapılanların kurumun ve paydaşlarının ihtiyaçları ile en iyi şekilde örtüştüğünü ve kurumsal hedeflerin gerçekleştirilmesi için gerekli olan taktiklerin sağlandığını garantiler.
- Siber esneklik dizaynı: Yönetim sistemlerinin ve kontrollerinin belirlenen stratejiye hizmet ettiğini, risklerin doğru bir şekilde değerlendirildiğini ve kontrollerin getireceği faydalar ile maliyetleri ve olumsuz etkileri arasında bir denge sağlanacak şekilde uygulandığını garantilemeye çalışır. Dizayn safhası uygulanmadığında bazı riskler yetersiz kontrollerle denetlenirken bazı risklerin ise aşırı kontrolü gibi denge açısından istikrarsız bir durum ortaya çıkabilmektedir.
- Siber esneklik geçiş süreci: Geçiş süreci dizayn safhasının operasyon safhasına evrilmesini ve buna bağlı risklerin yönetimini belirlemede önemli bir role sahiptir. Aynı zamanda iş ve BT süreçlerindeki değişikliklerin kurumun siber esneklik ihtiyaçlarına destek verecek şekilde yönetilmesini sağlar. Geçiş süreci uygulanmadığı takdirde dizayn etabının doğru bir şekilde uygulanması zorlaşacak, bunu sonucunda risk artacak, yapılan değişiklikler anlaşılması ve yönetilmesi zor yeni riskleri ortaya çıkaracaktır.
- Siber esneklik operasyonu: Bu safha kontrollerin risk üzerindeki etkisinin görüldüğü bir aşamadır. Bu evrede önlenme ihtimali olan risklerin önlenmesi sağlanır,   önlenemeyen riskler ise tespit edilip düzeltilmeye çalışılır. Operasyon aşaması olmasa saldırıların tespit edilememesi, yanlış düzeltme politikalarının uygulanması ve bunun sonucunda aslında karantinaya alınması mümkün olan atakların iş sürekliliğini kesintiye uğratması gibi tehlikelerle karşılaşılabilir.
- Siber esneklik sürekli iyileştirme: Bu safha sürekli değişen bilişim dünyasında siber esnekliğin gereken korunmayı sağlamaya devam ettiğini kontrol eden kurum içi politikaları ve bağlamları tanımlar. Bu aşama uygulanmadığı takdirde sürekli değişiklik gösteren tehditlerin, zafiyetlerin ve iş ihtiyaçları gereği şekilde anlaşılmayacak ve risk de zamanla artacaktır.

Tüm bu safhalarda ITSM ve siber esneklik metodolojilerinin karşılıklı olarak birbirini destekleyecek ve birlikte çalışmalarını sağlayacak çeşitli yöntemler bulunmaktadır. ITIL bu noktada gerekli süreçleri tanımlamada büyük bir öneme sahiptir. Örneğin;  ITIL siber olayları tespit etmek, nasıl bir yapıya sahip olduğunu ayrıca yapacağı etkiyi anlamak ve iyi bir şekilde yönetilmesi için gereken aksiyonları almak gibi aşamalardan oluşan olay yönetim sürecini tanımlar. Siber esneklik, düzeltici aksiyonların alınması adına saldırıların tespitine yardımcı olan birçok saptayıcı kontrolü tanımlar.

ITSM olay yönetimi sürecinin siber esnekliği desteklediği noktalar:

- Siber esneklik olaylarının saptanması ve ilgili personele bildirimi için bir yapı sunmak
- Siber esneklik için çok kritik olabilecek olayları tespit etmek için varlıkları izlemek
- İnsanlar, süreçler veya teknolojilerin davranışlarındaki bir saldırı işareti olarak değerlendirilebilecek olağandışı desenleri tespit etmek

Siber esnekliğin ITSM olay yönetimi sistemini desteklediği noktalar:

- Olağandışı aktivitelerin algılanabildiğini garantiye almak için tespit edici kontrolleri tasarlamak
- Olağandışı aktiviteleri tespit etmek için izlenecek eşik değerlerini tanımlamak
- Siber esneklik olaylarını izlemek ve raporlamak için araçları seçmek ve konfigürasyonlarını yapmak

Ekipler Kimlerden Oluşmalı?

ITSM genelde operasyonel bir konu olarak görülmekte ve BT yapılanması içinde dahili bir servis birimi olarak yönetilmektedir. Siber esneklik ise bilgiyi koruma adına neler yapılması gerektiğiyle ilgili herkesi yönlendiren ve ayrı olarak çalışan bilgi güvenliği ekibi tarafından yönetilmektedir. Farklı amaçlara sahip oldukları ve kurumun farklı birimlerine raporlama yaptıkları için bu iki ekip arasında etkileşim zorlaşabilir. Bazı küçük kurumlarda ise siber esneklik veya ITSM farkındalığının gelişmediği, herhangi bir özel sorumluluk için bir ekibin veya kişinin atanmadığı ve sadece işe devam etmeye odaklanıldığı görülebilir. Bu öncelikli sorunlara odaklanmaktan çok daha az hayati öneme sahip şeylere zaman harcanmasına neden olmaktadır. Bunun yanı sıra siber esnekliğin sadece atanmış bazı personelin sorumluluğunda olmadığı vurgulanmakta, kurumdaki herkesin parolaları güvenli yönetme ve oltalama saldırılarına karşı bilinçli olmak gibi konularda duyarlı davranarak bilgi varlıklarını korumaya katkı sağlaması beklenmektedir. Ayrıca BT ile işi olan herkesin aktivitelerini doğru bir şekilde loglamak ve yetkisiz bir şekilde BT sistemlerinde değişiklikler yapmamak gibi konularda görevlerini yerine getirerek ITSM ile ilgili sorumluluk alması gerekmektedir.

Bazı kurumlar ise BT servislerinin operasyonu ve geliştirilmesiyle ilgili tüm aşamalarda etkili olan DevOps yaklaşımını benimsemektedir. DevOps siber esneklik ve sundukları diğer çözümler konusunda sorumluluk alabilirler ancak yine de siber esnekliğin yönetimi veya birçok farklı çözümde kullanılacak siber esneklik kontrollerinin tasarlanması konusunda etkili bir yönetime ihtiyaç duyulmaktadır. Özetle DevOps ekipler arası etkileşime katkı sağlamak, siber esneklik ve ITSM’nin dizayn, geçiş süreci, operasyon ve iyileştirme döngü safhalarında birlikte iyi bir şekilde çalışabileceğini göstermek gibi konularda yardımcı olabilir, ancak siber esnekliğin yönetimi ve dizaynı gibi konularda kapsayıcı bir yaklaşım ihtiyacını ortadan kaldıramamaktadır.

Aynı Amaca Hizmet için Çalışma – Collaboration

Bazı kurumlar siber esneklik ve ITSM personeli arasında işbirliğini esas alan bir yapıyı benimsemektedir. Ancak sadece birlikte çalışmanın ötesinde paylaşılan ortak hedefleri başarmanın esasına dayanan aynı amaca hizmet(collaboration) daha etkili bir yaklaşım olarak kabul edilmektedir. Aynı amaca hizmet yaklaşımı bir ekip içerisinde uygulanacağı gibi diğer ekipler, sağlayıcılar ve diğer ortaklara kadar genişletilerek kapsam altında olan herkesin hedeflenen amaçları gerçekleştirmek için sorumluluk almalarını sağlar.  ITSM ve siber esneklik için uygulanacak aynı amaca hizmet yaklaşımı geleneksel güvenlik servislerinin ötesine geçecek araçlar ve süreçler dizayn etmeye ve kurumların sahip olduğu bilgiden alınabilecek en iyi verimi almalarını sağlamaya yardımcı olacaktır. Bu noktada süreçlerin bir birimin ihtiyaçlarından çok kurumsal ihtiyaçlara odaklanması, her bir bireyin işin küçük bir kısmını oluşturan parçalarından çok kurumsal hedeflere yapacağı katkının ölçülmesi, her bir aracın bir ekibe veya sürece sunduğu işlevler yerine işbirliğine sunduğu işlevin değerlendirilmesi önem kazanmaktadır.

Siber Esneklik ve ITSM Entegrasyonu için 5 Öneri

1. Siber esneklik ve ITSM için en iyi uygulamaları sunan kaynakları araştırmak işe sıfırdan başlamaktan daha fazla avantaj sunmaktadır. Uygulama ve standartlar ile ilgili bazı kaynaklar:

- AXELOS tarafından Haziran 2015’te yayınlanan siber esneklik yönetimi sistemi RESILIA yaşam döngüsü yaklaşımını esas almaktadır.
- ISO/IEC 27001 bilgi güvenliği yönetimi sistemi için uluslararası bir standart olarak tanımlanmaktadır. Bu standart; kurumların güvenlik düzenlemelerinin tehditler, zafiyetler ve iş etkileri gibi hassas güvenlik konularında yaşanan değişimlere ayak uydurabilecek şekilde ayarlandığının kontrol edilmesini sağlar.
- NIST Framework for Improving Critical Infrastructure Cyber Security risk temelli güvenlik metodolojisini tanımlar. NIST her ne kadar kritik altyapıları koruma konusuna odaklı olsa da sunduğu rehberlik birçok kurumda her türlü bilgi varlığının güvenliği için kullanılmaktadır.
- ITIL ise ITSM için en iyi uygulamaları içeren bir platform olarak tanımlanmaktadır. Kurumun ihtiyaçlarına uyacak olan kısımlarının seçilip kuruma özel koşullar hesaba katılarak uygulanabilecek bir yapıya sahiptir.
- ISO/IEC 20000 bilişim teknolojileri servislerinin yönetimiyle ilgili uluslararası bir standarttır.

2. Yönetim sisteminin tüm bir hizmet yaşam döngüsünü kapsaması ve uygun bir yönetim planının hazırlanması büyük önem taşır. BT yönetimi konusunda bir uluslararası standart olan ISO 38500 ve bilgi güvenliği yönetimi konusunda uluslararası standart ISO/IEC 27014 bu sürecin etkin bir şekilde gerçekleştirilmesine yardımcı olabilir.

İyileştirme safhası ise gereken önemin verilmediği bir diğer aşamadır. İyileştirme safhasının sürekli tekrarlayan bir süreç halini almasının neden kritik öneme sahip olduğunu ve kontrollerin neden her zaman her şartta verimli olmaya devam edemeyebileceğini gösteren bazı etmenler:

- İzlemek ve karşılık vermek zorunda olunan yeni tehditler ve zafiyetler
- Rekabet baskısı, yeni müşteriler ve sözleşmeler, yeni alımlar ve iş fırsatları gibi nedenlerden dolayı sürekli değişen iş ihtiyaçları
- Aynı verimliliği sağlamak için yeni, güncellenmiş veya tamamıyla yeniden dizayn edilmiş kontrollere ihtiyaç duyan yeni altyapılar, yeni uygulamalar ve yeni servisler nedeniyle sürekli değişen teknoloji ortamı

Sürekli iyileştirme insanların yanı sıra araçları ve süreçleri de kapsayan bir safhadır, bu safhada yardım alınabilecek rehberlerden biri ITSM için ITIL ve siber esneklik için RESILIA platformlarıdır.

3. Hem siber esnekliği hem de ITSM’yi destekleyen entegre süreçler dizayn etmek için bazı servisler:

- Olay yönetimi: ITSM olay yönetimi herhangi bir servis kesintisinin yapacağı etkiyi en aza indirerek normal hizmetlerin kullanıcı için yeniden sağlanması gibi işlevleri sunar. Siber esneklik olay yönetimi ise olayları tespit ve etkisizleştirme, araştırma ve kurtarma gibi adımları kapsayan denetleyici kontrolleri sağlar. Dijital delillerin korunması veya alınan aksiyonların kaydı gibi işlemler çeşitli süreçler için de destek sunar.
- Süreklilik yönetimi: İş sürekliliği ve BT servis sürekliliği yönetimi hem ITSM hem de siber esneklik için gereksinim duyulan bir süreçlerdir, bu süreçler ikisi için de aynı süreklilik planı olmalıdır.
- Değişim yönetimi: ITSM değişim yönetimi, uygulanacak değişimin herhangi bir yan etkisinden iş süreçlerini korumaya çalışırken iş süreçlerinin gereksinim duyduğu değişim oranlarını belirlemeye yardımcı olur. Siber esneklik değişim yönetimi ise değişiklikler uygulandığında yeni zafiyetlerin oluşmasına izin vermemek adına daha çok koruma faaliyetlerine odaklanır.
- Varlık yönetimi: ITSM varlık yönetimi yapılandırma yönetiminin bir parçası olarak uygulanır, ayrıca BT servislerinin gerektiği yerde ve zamanda erişilebilir olduğunu destekleyen varlıkların konfigürasyonu hakkında bilgi sağlamak gibi işlevleri vardır. Siber esneklik varlık yönetimi ise korunması gerekli varlıkları tanımlamaya yardımcı olur.

Tüm bu servislerin planlanmasında ITSM ve siber esnekliğin entegre bir şekilde dizayn edilmesinin önemi vurgulanmaktadır.

4. Siber esneklik ve ITSM planlaması için müşterilerin ihtiyaçlarına odaklanmış uçtan uca entegre ölçümlerin yapılması çalışanların da sürece verimli bir şekilde dahil olmasına yardımcı olacaktır. Bunun için müşteri odaklı hedefler belirlenmeli sonra da bunları destekleyen metriklerin sağlanması garanti edilmeye çalışılmalıdır.

5. ITSM ve siber esneklik ekipleri arasında aynı amaca hizmet yaklaşımı uygulamaya alınmalıdır. Aynı amaca hizmet (collaboration), farklı amaçlar için birlikte çalışmak olarak tanımlanan iş birliği yapma (cooperation) yönteminden daha etkili bir çalışma metodudur.

Kaynak:

RESILIA®






İlgili İçerikler: