Bilgi Güvenliği Olgunluk ve Siber Risk Değerlendirmesi
Bilgi Güvenliği Olgunluk ve Siber Risk Değerlendirmesi Hizmetimiz
Kurumların bilgi güvenliğini artırmayı ve siber güvenlik risklerini minimize etmeyi hedefleyen BİLGİ GÜVENLİĞİ OLGUNLUK VE SİBER RİSK DEĞERLEMDİRMESİ hizmetimiz; ISO-27001, COBIT, NIST-CSF ve TISAX gibi uluslararası kabul görmüş yönetim çerçevelerini temel alan bir metodoloji üzerine kurgulanmıştır ve özet olarak; bilgi güvenliğinin bahsi geçen yönetim çerçeveleri kapsamında olgunluk denetimini, kişisel veri süreç ve uygulamalarının yeterliliklerinin belirlenmesini ve internete açık dijital varlıkların bulunduğu dış saldırı yüzeyinin güvenlik zafiyetleri açısından analiz edilmesini içermektedir. Bu katmanlı değerlendirme sayesinde, kurumların bilgi güvenliği kapsamlı (360 derece) bir şekilde analiz edilerek, mevcut düzeylerinin ve siber güvenlik risklerinin belirlenmesi sağlanmaktadır.
Bu hizmet; kurumunuzun potansiyel tehditlere karşı savunma yeteneklerinizi görmeniz ve test etmeniz, bilgi güvenliği seviyenizin uluslararası standartlara göre olgunluk düzeyini belirlemeniz, siber riskleri belirleme ve yönetme yetkinliğinizi geliştirmeniz ve nihai olarak bilgi güvenliğinizi iyileştirmenizi yönelik olarak yapılması gereken çalışmaların yol haritasını oluşturmanız açısından katkı sunmaktadır.
Bir kurumda bilgi güvenliğini sağlamak için sadece uyum çalışmalarının gerçekleştirmiş olması (örneğin KVKK) ve gereklerinin yerine getirilerek sertifikaların alınması (örneğin ISO-27001) yeterli olmamaktadır. Yani uyumlu olunması, aynı zamanda güvenli de olunduğunu garanti etmemektedir. Bu nedenle, ilişkili tüm yönleriyle dikkate alınan bir güvenlik değerlendirmesi gerçekleştirmek için bu alanda geliştirilmiş uluslararası standartların birbirini tamamlayacak şekilde kullanılması ve mevcut ortamlarda çalıştırılacak güvenlik tarama uygulamaları ile elde edilen verilerle desteklenmesi, güvenliğin bütünselliği açısında büyük önem taşımaktadır.
Bu Hizmete Neden İhtiyaç Var?
Dijitalleşmenin hızlanmasıyla birlikte, siber güvenlik tehditleri de giderek daha karmaşık ve gelişmiş hale gelmekte ve bu durum bilgi güvenliği risklerinin de artmasına neden olmaktadır. Diğer yandan bilginin gittikçe değerlenmesi ve artan rekabet sonucu “bilgi hırsızlığı”, kurumlar için ciddi bir risk haline gelmiştir. Bu tehditlere karşı korunmak için kurumların bilgi güvenliği durumlarını ve risklerini düzeni olarak değerlendirmeleri ve bu alanda ortaya çıkabilecek olumsuz etkilerden korunmak için gerekli önlemleri almaları gerekmektedir.
Paydaşların / Tedarikçilerin Değerlendirilmesi ve Denetlenmesi
Günümüzde kurumlarının yalnızca kendilerini korumaları yeterli olmamaktadır. Özellikle son yıllarda büyük firmalara yapılan siber saldırıların eski klasik yöntemlerin dışında, 3. taraflara (paydaşlara) sızılmak suretiyle gerçekleştiği görülmektedir. Bu nedenle birlikte çalışılan ve/veya iletişim halinde bulunulan 3. tarafların da içinde yer aldığı dijital ekosistemin korunması, bilgi güvenliğinin bütünselliği açısından gereklilik haline dönüşmüştür. Burada 3.taraflara örnek olarak; OEM’ler, bayiler, irtibat ve satış ofisleri, hukuk ve sigorta firmaları, reklam ajansları, pazarlama firmaları, hukuk büroları, BT hizmet sağlayıcıları, bilgisayar ve mobil yazılımları geliştiren firmalar vb. sayılabilir.
Özellikle güvenlik yatırımlarını yeterli düzeyde yapmayan veya bu konuya gerekli önemi vermeyen 3. taraf firmalar, hizmet alan kurumu olumsuz yönde etkileyecek bilgi güvenliği tehditlerine ve zafiyetlerine neden olabilmektedir.
“Bir zincir, en zayıf halkası kadar güçlüdür” gerçeğinden hareketle ve bütüncül bir güvenlik yaklaşımı doğrultusunda; kurumların bu hizmeti kendileri için kullanmalarının yanı sıra, iletişim halinde oldukları 3. taraf firmaları da bu değerlendirmeye/denetime tabi tutmaları, kendilerini güvenlik tehditlerine ve bunların olumsuz etkilerine karşı koruyarak daha güvenli hale getirmeleri için gereklidir.
Hizmetin Aşamaları
Hizmetimiz temel olarak aşağıdaki aşamalardan oluşur:
KVKK Uyumluluk Değerlendirmesi
Kişisel verilerle ilgili olarak kurumda kullanılan süreçlerin ve pratik uygulamaların, “Kişisel Verilerin Korunması Kanunu”na ve ilgili uyum rehberine uygunluğu konusunda denetleme gerçekleştirilir.
Bilgi Güvenliği Olgunluk/Yeterlilik Değerlendirmesi
Bilgi güvenliği politikaları, prosedürleri, süreçleri ve altyapı değerlendirilmek amacıyla denetleme çalışmaları yürütülür.
Siber Risklerin Belirlenmesi ve Değerlendirilmesi
Kurumun internet üzerindeki dijital ayak izi belirlenerek saldırı yüzeyi tanımlanır. Yapılan taramalar ile dış ortama açık tüm dijital varlıklar tespit edilir ve bunlarla ilgili tüm siber güvenlik zafiyetleri belirlenir. Ayrıca kurumun siber güvenlik risk puanı hesaplanır.
Sonuçların Raporlanması
Çalışmalar sırasında elde edilen tüm bulgular aşağıda yer alan kapsamlı değerlendirme raporları ile sunulur.
Kullanılan Metodoloji
1-Denetim Süreci:
Hizmetimizde Teknik, İdari, Sosyal ve Hukuki olmak üzere çok boyutlu bir değerlendirme modeli uygularız.
Bilgi güvenliği olgunluk ve siber risk değerlendirmesi hizmetimizde, bu alandaki en yaygın uluslararası standartlar ve yönetim çerçeveleri (KVKK, ISO27001, COBIT, NIST-CSF, TISAX) temel alınarak geliştirdiğimiz metodolojiyi kullanırız. Bu metodoloji ile değerlendirdiğimiz kurumların bilgi güvenliği olgunluk seviyesini ve siber risklerini kapsamlı (360 derece), eksiksiz ve doğru bir şekilde belirleriz.
Metodolojimizi DENETİM SÜRECİ ve TARAMA SÜRECİ olmak üzere iki temel aşama uygularız:
Bilgi güvenliği olgunluk seviyesini belirlemede kullanılan metodoloji aşağıda verilen standartlar üzerine kurulmuş bir yapıdır:
Kişisel Verilerin Korunması
Bu alanda yürürlükte olan kanun ve “Kişisel Verileri Koruma Kurumu (KVKK)” nun yayınladığı uyum rehberine uygun olarak oluşturulan soru seti kullanılarak, kanıtlara dayalı denetim ve değerlendirme yapılır.
Bilgi Güvenliği Olgunluk/Yeterlilik Belirleme
Aşağıda belirtilen standart ve yönetim sistemleri referans alınarak oluşturulmuş soru setleri kullanılarak, kanıtlara dayalı denetim ve değerlendirme yapılır:
ISO-27001
BGYS-Bilgi Güvenliği Yönetim Sistemi (ISMS-Information Security Management System), organizasyonların bilgi varlıklarını korumak ve bilgi güvenliğini etkin bir şekilde yönetmek için bir çerçeve sağlamak amacıyla oluşturulmuş uluslararası bir standarttır. Bilgi varlıklarının gizliliğini, bütünlüğünü ve kullanılabilirliğini korumak için bir oluşturulan ISO-27001, tüm sektörlerden ve boyutlardan kuruluşlar için geçerlidir.
COBIT
Bilgi ve İlgili Teknolojiler İçin Kontrol Hedefleri (Control Objectives for Information and Related Technologies), bilgi güvenliği ve bilgi sistemlerinin yönetilmesi için çerçeve ve rehberlik sağlayan kurumsal düzenleme ve yönetim sistemidir. COBIT, kuruluşların bilgi teknolojilerini etkili, verimli ve güvenli bir şekilde yönetmelerine, denetlemelerine ve kontrol etmelerine yardımcı olmak için tasarlanmıştır.
NIST CSF
Amerika Birleşik Devletleri Ulusal Standartlar ve Teknoloji Enstitüsü-Siber Güvenlik Çerçevesi (National Institute of Standards and Technology-Cybersecurity Framework), ABD Ticaret Bakanlığı tarafından oluşturulan; bilgi güvenliği risklerini değerlendirmek, güvenlik önlemlerini geliştirmek ve siber güvenliği iyileştirmek için oluşturulmuş bir kılavuz ve çerçevedir.
TISAX
Otomotiv sektörünün tedarik zinciri içindeki firmaların siber güvenlik uygulamalarını değerlendirmek ve doğrulamak için geliştirilmiş bir çerçevedir. Açılımı, “Trusted Information Security Assessment Exchange” olan TISAX, ISO-27001 bilgi güvenliği yönetim sistemi standardının temelini kullanmakla birlikte, otomotiv endüstrisinin özel ihtiyaçlarını karşılamak için; veri gizliliği ve bütünlüğü, erişim kontrolü, fiziksel güvenlik, iletişim güvenliği, süreklilik planlaması gibi konularda ek gereksinimlere sahiptir.
KVKK Uygunluk Değerlendirmesi
5 kategoride (Cezai, Hukuki, Teknik, Fiziki Alan ve İdari) hazırlanmış olan değerlendirme soruları yardımıyla, bizzat denetçiler tarafından ve kanıtlara dayalı olarak gerçekleştirilmektedir.
Bilgi Güvenliği Olgunluk Değerlendirmesi
14 kategoride (Politikalar, Organizasyon, İnsan Kaynakları, Varlıklar, Erişim Kontrolleri, Fiziksel Ortamlar, Tedarikçiler, vb.) hazırlanmış değerlendirme soruları yardımıyla, bizzat denetçiler tarafından ve kanıtlara dayalı olarak gerçekleştirilmektedir.
Denetimler sonucunda kurumun kişisel verilerin korunması ve bilgi güvenliği alanlarındaki durumu ve olgunluk seviyesi tespit edilir. Bununla birlikte, iyileştirme sağlamak amacıyla yapılması geren düzenlemeler/çalışmalar belirlenerek sunulur.
2-TARAMA SÜRECİ
Siber güvenlik zafiyetlerinin ve risklerinin belirlenmesi, firmamızın geliştirmiş olduğu ve dış saldırı yüzeyi analizi yapan yeni nesil güvenlik platformumuz SURFACEMON kullanılarak gerçekleştirilmektedir.
Bulut hizmeti olarak tasarlanan ve herhangi bir yazılım kurulumuna ihtiyaç duymayan SURFACEMON’un çalışmaya başlaması için kuruma ilişkin internet alan adının tanımlanması yeterli olmaktadır. Sonrasında SURFACEMON, kuruma ilişkin tüm dijital varlıkları keşfederek aşağıdaki başlıklar kapsamında detaylı bilgiler toplamaktadır:
• İnternet alan adları
• Web siteleri
• Kullanılan web teknolojileri
• Açık servisler ve port’lar
• IP adresleri
• Sunucular, veri tabanları, ağ cihazları ve uygulamalar
• Bulut tabanlı sistemler ve depolama sistemleri
• SSL sertifikaları
• Tehdit istihbaratı
• Marka istihbaratı
• Zafiyetler ve tehditler
• Parola sızıntıları
Taramalar sonucu elde edilen bilgilerin değerlendirilmesi sonrasında kurumun dış atak yüzeyinde bulunan dijital varlıklarına ilişkin olarak belirlenen güvenlik zafiyetleri ve tehditler doğrultusunda siber riskler ortaya çıkarılmış olur.
HİZMETİMİZİN KAZANIMLARI:
- Bilgi güvenliği yatırımlarını optimize eder.
- Bilgi güvenliği uyumluluk gerekliliklerini karşılar.
- Siber güvenlik risklerini yönetmeye ve azaltmaya yardımcı olur.
- Kurumsal itibar ve güven kayıplarının önüne geçilmesini sağlar.
- Rekabet avantajının korunmasını sağlar.
- Mali kayıpları önlemeye yardımcı olur.
- İş sürekliliğini sağlamaya yardımcı olur.
- Kurumun tehditlerle başa çıkma yeteneğini geliştirir.
- Kurumun siber saldırılara karşı daha dayanaklı/dirençli olmasını sağlar.
- Kurumun tabi olduğu veri koruma ve siber güvenlik düzenlemelerine uyum sağlanmasına yardımcı olur.
- Bilgi güvenliğinizi önemseyen bir organizasyon olarak, müşterilerinize ve iş ortaklarınıza daha güvenilir bir iş ortağı olduğunuzu kanıtlamanıza yardımcı olur.
- Bilgi güvenliği konusundaki olgunluğunuzu ve risk yönetiminizi vurgulamak, organizasyonunuzu rakiplerinizin önünde tutmanıza yardımcı olabilir.
- Organizasyonunuzun en değerli bilgi varlıklarını koruma ve güvence altına alma konusundaki yeteneğinizi artırır.
- Bilgi güvenliği olgunluğu ve siber risk değerlendirmesi sonuçları, stratejik kararlarınızı daha doğru bilgiyle desteklemenize olanak tanır.
Neden Bizimle Çalışmalısınız?
- Kapsamlı Değerlendirme: Hizmetimiz, kurumun kişisel verilerin korunması konusundaki uyumunu, bilgi güvenliği olgunluk/yeterlilik düzeyini ve siber risklerini belirlemek için çok katmanlı ve kapsamlı (360 derece) bilgi toplama, denetleme ve değerlendirme süreçlerini içermektedir.
- Uzman Ekibimiz: Alanında uluslararası sertifikalara sahip kıdemli danışmanlarımız, bilgi güvenliği konusundaki yetkinlik ve deneyimleriyle size en kaliteli hizmeti sunarlar.
- Teknoloji İnovasyonu: Kendimizin geliştirdiği yeni nesil güvenlik analiz platformu SURFACEMON, en son teknolojiyi kullanarak, dış saldırı yüzeyinde bulunan varlıklarınızın tamamını keşfeder ve bunlara ilişkin güvenlik zafiyetlerini belirler.
- Özelleştirilmiş Çözümler: Her organizasyon farklıdır, bu nedenle hizmetlerimizin sizin ortamlarınıza, ihtiyaçlarınıza ve taleplerinize göre özelleştirilmesi mümkündür.
- Emsali Olmayan Yöntem: Bu hizmetimiz, bilgi güvenliği alanında kabul görmüş uluslararası standartlar harmanlanarak oluşturduğumuz metodoloji ve kendi geliştirdiğimiz siber güvenlik tarama platformu kullanılarak sunulmaktadır. Uyguladığımız yöntem, bilgi güvenliğini tüm boyutlarıyla ele alan, bütünsel (360 derece) değerlendirme yapmamıza olanak tanıyan ve halen benzeri olmayan bir uygulamadır.
Daha fazla bilgi almak ve bilgi güvenliği stratejinizi güçlendirmek için bizimle iletişime geçin.