Bu vaka çalışması, Avrupa merkezli bir B2B SaaS sağlayıcısının, ek çabayı ve günlük çalışmalardaki aksaklıkları en aza indirirken ISO/IEC 27001 beklentilerini karşılamak üzere Bilgi Güvenliği Yönetim Sistemini nasıl yapılandırdığını göstermektedir.
Şirket profili: Kurumsal müşterilere hizmet veren Avrupa B2B SaaS sağlayıcısı
Şirket, Avrupa ve Kuzey Amerika genelindeki kuruluşlar tarafından kullanılan bir B2B hizmet olarak yazılım platformu geliştirir ve işletir. Çözüm, temel operasyonel iş akışlarını destekler ve müşteri sistemleriyle entegre olur; kullanım verilerini ve sınırlı kişisel verileri işler.
Kuruluş, dağıtık bir düzende çalışan mühendislik, ürün ve müşteriyle yüz yüze ekipler dâhil olmak üzere yaklaşık 70 kişiyi istihdam etmektedir. Yıllık gelir, orta ölçekli ve kurumsal müşterilerle yapılan uzun vadeli sözleşmelerin etkisiyle yaklaşık 8-12 milyon ABD doları olarak tahmin edilmektedir. Müşteri tabanı geliştikçe, resmî bilgi güvenliği güvencesi satış ve yenileme süreçlerinde bir gereklilik hâline gelmiştir.
İş bağlamı: Kurumsal müşteri gereksinimleri ISO/IEC 27001’i yönlendirdi
ISO/IEC 27001 belgelendirmesini hedefleme kararı, kurumsal müşteri beklentileri tarafından yönlendirilmiştir. Güvenlik anketleri, tedarikçi değerlendirmeleri ve sözleşme müzakereleri, yapılandırılmış ve sürdürülen bir Bilgi Güvenliği Yönetim Sistemi’nin kanıtını gerektirmiştir.
Girişime dâhil olan temel paydaşlar şunları içermiştir:
- Kurumsal müşteriler – belgelenmiş kontroller, risk yönetimi ve güvenilir denetim kanıtı bekleyen;
- Kurucu ve CEO – yönetişim, sözleşmesel taahhütler ve güven için hesap verebilir olan;
- CTO – teknik kontroller, sistem güvenliği ve operasyonel süreklilikten sorumlu olan.
Birkaç zorluk erken aşamada görünür hâle gelmiştir:
- Güvenlik bilgilerinin araçlara dağılmış olması – politikalar, gözden geçirmeler ve kanıtlar birden fazla konumda saklanmıştır;
- Sınırlı genel görünüm – riskleri, kontrolleri, varlıkları ve olayları birlikte görebilecek tek bir yerin olmaması;
- Süreç aşırı yüklenmesi riski – ISO hazırlığının, net bir iç fayda olmaksızın ek iş yükü yaratabileceğine dair endişe;
- Sınırlı BGYS deneyimi – güçlü teknik beceriler, ancak resmî güvenlik yönetişimi konusunda az uygulama.
Uygulama: ISO/IEC 27001’i devam eden yönetime entegre et
Nihai yaklaşımı tanımlamadan önce şirket, ISO/IEC 27001 belgelendirmesi için yaygın olarak kullanılan çeşitli yerleşik GRC platformlarını gözden geçirdi. Bu araçlar, belgelendirme iş akışlarını yönetmek için uygun olarak değerlendirildi; ancak şirketin mevcut yönetim uygulamalarıyla daha az uyumlu bulundu.
Aynı zamanda şirket, stratejik planı ve iç yürütme önceliklerini izlemek için hâlihazırda BSC Designer kullanıyordu. Bu mevcut yapının bilgi güvenliği yönetimini kapsayacak şekilde genişletilmesi, ISO/IEC 27001’in zaten yerleşik olan yönetişim ve gözden geçirme döngülerine gömülmesini sağlayan mantıklı bir adım olarak görüldü.
Teknik düzeyde bu, şu şekilde hayata geçirildi:
- Politika dokümantasyonu – iç politikalar ve prosedürler, güvenli bir çevrimiçi dosya depolama ortamında birleştirildi;
- BGYS yönetişimi – kapsam, roller, gözden geçirme sıklığı ve iyileştirme aksiyonları özel bir BGYS Skor kartı içinde sürdürüldü; paydaşlar ve onların stratejik niyetleri ise mevcut bir paydaş skor kartı üzerinden ilişkilendirildi;
- Güvenlik kontrolleri – kontroller, benzersiz kimlikler, sahipler, gözden geçirme sıklığı ve her gözden geçirmeye eklenen kanıtlarla birlikte göstergeler olarak modellendi;
- Risk yönetimi – riskler, BSC Designer’ın yerleşik risk işlevselliği kullanılarak takip edildi; bu sayede olasılık ve etkinin ayrı ayrı değerlendirilmesi ile doğal ve artık risk seviyeleri, işleme aksiyonları, kabul durumu ve sorumlu sahiplerin yönetilmesi mümkün oldu;
- Varlıklar ve tedarikçiler – varlıklar ve üçüncü taraflar, sınıflandırma, kritiklik ve gözden geçirme gereksinimlerini yansıtan özel alanlarla genişletilmiş skor kartları kullanılarak dokümante edildi;
- Olaylar ve bulgular – güvenlik olayları, ramak kala olayları ve denetim bulguları kaydedildi ve düzeltici aksiyonlar aracılığıyla çözüme kadar takip edildi.
Müşterinin beklentisi, canlı ve stratejiyle uyumlu güvenlik kontrollerine sahip olmaktı:
“Yalnızca denetçiler için var olan güvenlik dokümantasyonu istemiyoruz. Eğer onu kendimiz gözden geçirip güncelleyemiyor ve açıklayamıyorsak, bizim için faydalı değildir.”
Bu beklenti, BGYS’nin nasıl kurulduğunu ve kullanıldığını şekillendirdi. Örneğin, ISO/IEC 27001 için tanımlanan kontroller, denetim kapsamı dışındaki risk değerlendirmesi ve yönetim skor kartları için de girdi olarak yeniden kullanıldı; böylece operasyonel ve stratejik kararları destekledi.
Uygulama sırasında dile getirilen pratik bir endişe, yaygın bir denetim riskini vurguladı:
“En büyük riskimiz, denetçiler istediğinde kanıtları farklı konumlar arasında kaybetmek.”
Bunu ele almak için kanıt, her bir kontrol gözden geçirmesine doğrudan yüklendi ve kontrolün güncelleme tarihiyle ilişkilendirildi. Her kanıt öğesine, yükleyen kişi tarafından kanıtın neden ilgili olduğuna ve neyi gösterdiğine dair bağlam sağlayan kısa açıklayıcı yorumlar eklendi.
Erişim hakları, denetçilere belirli bir süre için ilgili skor kartlarına yalnızca okuma erişimi verilebilecek şekilde yapılandırıldı. Değişiklik yapma hakları ise her zaman yetkili rollerle sınırlandırıldı; böylece BGYS içeriğinin istemeden veya hesap verebilirlik olmaksızın değiştirilmesi engellendi.
Platform içindeki tüm değişiklikler, merkezi bir denetim izi içinde otomatik olarak kaydedildi. Aynı denetim izi, tek tek kontroller, riskler veya olaylar gibi belirli öğelerin değişiklik geçmişini gösterecek şekilde filtrelenebildi; bu da denetçilerin ve yönetimin, ayrı sürüm geçmişleri tutmadan her bir öğenin zaman içinde nasıl evrildiğini gözden geçirmesine olanak sağladı.
Sonuçlar: Merkezi ISMS, Güvenilir Kanıt, Azaltılmış Denetim Sürtünmesi
Uygulamanın ardından şirket, hem denetim hazırlığını hem de iç netliği iyileştiren çeşitli somut sonuçlar gözlemledi.
- Merkezi ISMS genel görünümü – riskler, kontroller, varlıklar, tedarikçiler ve olaylar tek bir yerde görünür hâle geldi;
- Tutarlı kanıt yönetimi – kanıtlar, ilgili kontrollerle birlikte gözden geçirildi ve saklandı;
- Açık hesap verebilirlik – tüm temel ISMS unsurlarına sahipler atandı;
- Daha düşük denetim eforu – denetim verileri manuel raporlama olmadan hazırlandı;
- Daha güçlü müşteri görüşmeleri – kurumsal güvenlik sorularına verilen yanıtlar daha net ve daha tutarlı hâle geldi.
Şirket ayrıca aşağıdakiler dâhil olmak üzere çeşitli üst düzey ISMS göstergelerini takip etti:
- Kontrol gözden geçirme tamamlanma oranı – tanımlanan zaman aralığında gözden geçirilen kontroller;
- Açık olaylar ve bulgular – çözümlenmemiş sorunların sayısı ve yaşı;
- Risk kabul durumu – onay veya iyileştirme bekleyen riskler;
- Tedarikçi inceleme kapsamı – planlandığı şekilde tamamlanan üçüncü taraf incelemeleri.
ISO 27001 Daha Az Çabayla Nasıl Uygulanabilir?
ISO 27001 belgelendirmesi önemli bir çaba gerektirir; ancak doğru şekilde uygulandığında (1) gerçek bir değer itici unsuru hâline gelebilir ve (2) daha az çabayla uygulanabilir:
- ISO hazırlığını mevcut yönetim sistemlerinin bir parçası hâline getirin – paralel süreçler oluşturmak yerine yerleşik yapıları yeniden kullanın;
- Kanıtları kontrollere yakın tutun – bağlamı ve gerekçeyi her bir gözden geçirme ile birlikte saklayın;
- Tam izlenebilirlikle erişim kontrolü uygulayın – bütünlükten ödün vermeden şeffaflığa imkân tanıyın;
- BSC Designer gibi yapılandırılmış bir platform kullanın – zaman içinde netliği, hesap verebilirliği ve denetime hazırlığı korumak için.
BSC Designer, özünde Kurumsal Karne bulunan strateji yürütme yazılımıdır. Kuruluşların hedefleri, KPI’ları, girişimleri, riskleri ve strateji haritalarını tek bir yerde hizalayarak stratejik planları bağlantılı bir strateji mimarisine dönüştürmesine yardımcı olur. Strateji uygulama sistemimiz, stratejiyi nasıl hayata geçireceğinizi açıklar ve strateji yürütme çalıştayı şablonu, ekiplerin bunu iç strateji oturumlarında uygulamasına yardımcı olur.