Tehditler karmaşıklaştıkça, organizasyonlar iyi tanımlanmış güvenlik prosedürlerinden risk tabanlı güvenlik çerçevelerine geçmektedir. Bu çerçevelerden en sık kullanılanı da NIST tarafından yayınlanan güvenlik çerçevesidir.
NIST güvenlik çerçevesi (NIST CSF) ilk olarak 2014 yılında yayınlanmış ve kabul görmüştür. 2018 yılında tekrar gözden geçirilmiş ve güncellenerek V1.1 olarak yayınlanmıştır. Bu konuda daha detaylı bilgiye https://www.nist.gov/news-events/news/2018/04/nist-releases-version-11-its-popular-cybersecurity-framework adresinden erişilebilir.
Siber güvenliğin bilişim teknolojileri ilgi alanından üst yönetim ilgi alanına taşmaya başlamasından beri ISACA NIST’in güvenlik çerçevesi konusunda eğilmektedir. NIST CSF üstüne ISACA tarafından geliştirilen CSX siber güvenlik programları ve NIST CSF ve Cobit arasında bağlantı kurarak beraber kullanımları konusundaki yayınlar buna örnek gösterilebilir. NIST CSF kullanımı konusunda detaylı makaleye http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Implementing-the-NIST-Cybersecurity-Framework.aspx adresinden erişebilirsiniz.
COBİT 5
Türkiye’de COBIT uygulayan ve ve buna bağlı denetlenen pek çok organizasyon bulunmaktadır. COBIT 5 çerçevesi aşağıdaki 5 ilkeden oluşur:
- İlke 1: Paydaş ihtiyaçlarına cevap verme
- İlke 2: Organizasyonu uçtan uca kapsama
- İlke 3: Entegre çerçeve uygulaması
- İlke 4: Bütünsel bakış
- İlke 5: Yönetişimi yönetimden ayırma
Bu ilkelerden beşincisi, Yönetişim (Governance) ve Yönetimi (Management) disiplin olarak çok farklı olduğu, ayrı amaçları ve ayrı idare şekilleri olmasını şart koşar. Yönetişim, paydaş ihtiyaçlarına cevap verilip verilmediğinin takibini yaparken, yönetim belirlenen hedeflere yönelik planlama, uygulama ve izlemesini gerçekleştirir.
COBIT 5 çerçevesi bunlara ilaveten 7 alanda yol gösterir:
- İlkeler, politika ve çerçeveler
- Süreçler
- Organizasyonel yapılar
- Kültür, etik ve davranışlar
- Bilgi
- Servis, altyapı ve uygulamalar
- İnsan, beceri ve yetkinlikler
NIST CSF
NIST Siber güvenlik çerçevesi, organizasyonun bütününde risk tabanlı bir yapıyla siber güvenliği ele alır. Bu çerçevenin ana uygulama alanlarından biri kritik altyapıların güvenliğini sağlamaktır. Bu amaçla 7 aşama belirlenmiştir.
- Aşama 1- Önceliklendir ve Kapsam Belirle: Bu aşamada güvenliği arttırılacak altyapı bileşenleri belirler ve kapsamı netleştirilir.
- Aşama 2-Konumlanma (Orient): Belirlenen kapsama yönelik tehditler araştırılır.
- Aşama 3-Güncel Profil Oluştur: Mevcut durum envanteri ve siber güvenliğin durumu çıkartılır.
- Aşama 4-Risk Değerlendirme Yap: Mevcut duruma ait risk değerlendirmesi yapılır.
- Aşama 5-Hedef Profil Oluştur: Siber güvenlik alanında hedeflerinin oluşturulur.
- Aşama 6-Aralık Analizi Yap: Mevcut durum ile hedeflenen durum arasındaki farklar ve eksiklikler belirlenir.
- Aşama 7-Uygulama Planı Çıkar: Çıkartılan eksiklikleri kapatmak için uygulama planı çıkartılır.
Bu aşamalar incelendiğinde yukarıda belirtilen COBIT 5 ilkerleri ile yakından örtüştüğü görülebilir.
NIST CSF özünde aşağıdaki fonkisyonel parçalardan oluşur:
- Tanımla: Bu fonksiyon, organizasyondaki değerler, sistemler, veri ve becerilerin envanterini çıkartılmasını içerir. Varlık yönetimi, iş ortamı, yönetişim, risk değerlendirmesi ve risk yönetim stratejisini içerir.
- Koru: Bu fonksiyon tanımlanan değerler için uygun korumanın sağlanması için gerekenlerin uygulanmasını sağlar. Erişim kontrolü, farkındalık ve eğitim, veri güvenliği, bilgi güvenliği süreçleri, bakım ve korumayı içerir.
- Algıla: Bu fonksiyon oluşabilecek siber güvenlik vakalarının farkına varılması için gerekli aktiviteleri içerir.
- Cevapla: Algılanan siber güvenlik vakalarına karşı gerekli cevabın verilmesidir. Cevaplama planlaması, haberleşme, analiz, giderme ve iyileştirme gibi aktiviteleri içerir.
- Kurtar: Cevaplama sonrasında gerekebilecek sistemlerin tekrar devreye alınmasıdır. Ayrıca olaydan ders çıkarma ve iyileştirme aktivitelerini içerir.
Risk Yönetim yaklaşımı
COBIT 5 tarafında risk yönetimi, Risk optimizasyonu-EDM03 ve APO12 Risk Yönetimi risk süreçlerinin uygulanmasını içerir. Benzer şekilde NIST CSF tanımlı fonksiyonların her alt kategoride incelenmesini, oluşma olasılığını ve etkisini değerlendirir. Organizasyonlar değişik iş alanları için değişik risk profilleri ve buna bağlı risk değerlendirmesi yapmak isteyebilirler.
Risk değerlendirmesi tamamlandıktan sonra, kabul edilebilir risk seviyesi ve risk toleransı belirlenmiş olur. Risk toleransı, ilgili alanlarda belirli kontrollerin seçilmesine ve uygulanmasına yardımcı olur.
Yöntemlerin Uygulama Karşılaştırması
NIST CSF içerisinde kritik altyapıların korunması için verilen 7 aşamalı model ile COBIT 5 içerisinde verilen hedef katmanları (Goal Cascade) benzerlikler göstermektedir. Özet bir tablo aşağıda verilmiştir:
| NIST CSF | COBIT 5 |
| Aşama 1-Önceliklendir ve Kapsam Belirle | Aşama 1-Yönlendiriciler(Drivers) neler? |
| Aşama 2,3-Konumlanma ve Güncel Profil Oluştur | Aşama 2- Şimdi Neredeyiz? |
| Aşama 4,5-Risk Değerlendirme Yap ve Hedef Profil Oluştur | Aşama 3-Nerede olmak istiyoruz? |
| Aşama 6-Aralık Analizi Yap | Aşama 4-Ne yapılması gerekiyor? |
| Aşama 7-Uygulama Planı Çıkar | Aşama 5-Oraya nasıl varırız? |
| Yok | Aşama 6-Oraya vardık mı? |
| Yok | Aşama 7-Momenum’u nasıl devam ettiririz? |
Özetlemek gerekirse, COBIT 5 çerçevesi içerisinde uygulanacak süreçler, NIST CSF ile yakından uyumludur. Türkiye’de özellikle COBIT 5’i uygulayan organizasyonlar NIST CSF’i zorluk çekmeden uygulayabilir ve siber güvenlik alanında da bunun avantajlarından yararlanabilirler.
Murat Cudi Erentürk
ISACA CISA, BICSI DCDC