TOPIC:

Bilgi Güvenliği Yönetim Sistemlerinde (BGYS) ölçüm, ISO 27001 standardı tarafından talep edilen, ancak nasıl gerçekleştirileceği yeterince açıklanmayan bir konudur. Bu konuda araştırma yapıldığında bulunan dokümanlardan biri NIST tarafından yayınlanan “Bilgi Güvenliği için Performans Ölçüm Rehberi”dir [1]. Ayrıca 2009 yılı Aralık ayında uzun zamandan beri beklenen ISO 27004 standardı [2] yayınlanarak “Bilgi Güvenliğinde Ölçüm” konusunda rehberlik sağlayacak ciddi bir adım atılmıştır. Farklı kurum ve kuruluşlar tarafından yayınlanmış rehber ve makaleler de mevcuttur [3,4]. Bu rehberlerde kurumların kanunlardan ve sözleşmelerden kaynaklanan ölçüm yükümlülüklerini yerine getirmelerine yardımcı olacak çeşitli yöntemler tanımlanmıştır.

Bu makalede tanımlanan ölçüm yöntemi ise adı geçen dokümanlardan bağımsız olarak geliştirilmiş, ölçümü bilgi güvenliği süreçlerine entegre etmek isteyen kurumlara yardımcı olmak için tasarlanmış pratik bir yöntemdir.

Tasarlanan ölçüm sürecini açıklamadan önce BGYS çalıştırma çabası içinde olan kurumlarda bulunmasını beklediğimiz rolleri tanımlayalım:

Bilgi Güvenliği Yöneticisi: Kurum yöneticisi adına bilgi güvenliği sürecinin çalışmasını gözeten, bilgi güvenliği kapsamında gereken kararları –gerektiğinde istişarelerde bulunarak- alan kurum çalışanı.

Bilgi Güvenliği Sorumlusu: Kurumda bilgi güvenliği sürecinin çalışmasına ilişkin günlük işleri yapan / yaptıran kurum çalışanı.

Bilgi Sistemi Yöneticisi: Kurumun elektronik bilgi sistemlerinin idamesini sağlayan, kurumsal bilgi güvenliği politikalarını bilgi sistemlerine uygulayan kurum çalışanı.

Bilgi Güvenliği Koordinasyon Grubu: Başkanlığını Bilgi Güvenliği Yöneticisinin yaptığı, bilgi güvenliği sürecinin çalışmasını gözeten ve bilgi güvenliği kapsamında gereken kararları alan, kurumun tüm birimlerinden temsilcilerin katılmasıyla oluşturulan çalışma grubu.

Bilgi Güvenliği Yürütme Grubu: Başkanlığını Bilgi Güvenliği Sorumlusunun yaptığı, kurumda bilgi güvenliği sürecinin çalışmasına ilişkin günlük işleri yapan, bilgi sistemi yöneticisi veya yöneticilerini ve Bilgi Güvenliği Sorumlusuna yardımcı olacak idari personeli içeren çalışma grubu.

Ayrıca kurumda düzenli aralıklarla Bilgi Güvenliği Yöneticisinin ve Bilgi Güvenliği Yürütme Grubunun bir araya geldiği BGYS değerlendirme toplantılarının yapıldığı ve toplantı kapsamında kurumda gerçekleşen bilgi güvenliği olaylarının değerlendirildiği varsayılmaktadır.

BGYS Standardında belirtilen ölçüm gereksinimi
Bilgi güvenliği ölçümü ile ilgili olarak ISO 27001 standardında belirtilen gereksinimleri hatırlayalım:

4.2.2. BGYS’nin gerçekleştirilmesi ve işletilmesi
d. Alınan tedbirlerin etkinliğinin nasıl ölçüleceğini ve bu ölçümlerin tedbirlerin etkinliğini değerlendirmek için nasıl kullanılacağını tanımlayın.
4.2.3 BGYS’nin izlenmesi ve gözden geçirilmesi
c. Güvenlik gereksinimlerinin karşılandığından emin olmak için tedbirlerin etkinliğini ölçün.
4.3 Dokümantasyon gereksinimleri
g) Bilgi güvenliği süreçlerinin etkin planlama, işletme ve kontrolünü güvence altına almak için kuruma gereken prosedürler ve tedbirlerin etkinliğinin nasıl ölçüleceğine ilişkin tanımlar.
Bilgi güvenliği ölçümüne ilişkin genel yaklaşım
ISO 27001 standardı göz önünde bulundurulduğunda, tedbirlerin çeşitli bilgi güvenliği risklerinin azaltılması için alındığı hatırlanacaktır. Bu durumda, standardın 4.2.3 bölümünde bahsedilen “tedbirlerin etkinliği”nin, gerçekleşen bilgi güvenliği riskleri aracılığı ile algılanması gerekir. Dolayısı ile bilgi güvenliği ölçümünün, kurumun ortadan kaldırmaya çalıştığı risklerin gerçekleşme sıklığını ölçmekle koşut olduğunu söyleyebiliriz. Şöyle ki:

Tedbirler devreye girdikten sonra bir bilgi güvenliği riskinin daha nadir gerçekleşmeye başlaması bu riski azaltmak için uygulanan tedbirlerin etkili olduğunu gösterir.

Tedbirler devreye girdikten sonra bir bilgi güvenliği riskinin aynı oranda gerçekleşmeye devam etmesi veya artması ise bu riski azaltmak için uygulanan tedbirlerin etkili olmadığını gösterir. Bu durumda düzeltici faaliyetlerin tanımlanması ve uygulanması gerekecektir.

Bu makalede, kurum tarafından “izlenmesi”, “sayılması”, dolayısı ile “ölçülmesi” gereken olayların, Risk Gösterge Paneli başlıklı bir dokümanda tanımlanması önerilmektedir. Bu dokümanın hazırlanması için ön şart, kurumun risk analizini tamamlamış ve Risk Tedavi Planı’nı yapmış olmasıdır.

Risk Gösterge Paneli, Risk Tedavi Planı’ndan türetilmeli ve yıllık BGYS döngüsü [5] içerisinde yılda en az bir kez Risk Tedavi Planı ile birlikte güncellenmelidir.

Risk Gösterge Paneli’nin hazırlanması, ölçümlerin yapılması ve ölçüm sonuçlarının değerlendirilmesi ile ilgili yaklaşım izleyen bölümlerde açıklanmaktadır.

Risk Gösterge Paneli’nin hazırlanması ve güncellenmesi
BGYS ölçümünün temelini oluşturulacak olan Risk Gösterge Paneli (RGP) dokümanı, izlenmesi gereken olayları, ya da farklı kelimelerle, ölçülecek parametreleri tanımlar.

RGP’nin hazırlanması sırasında aşağıdaki dokümanlar kullanılır:

Risk Gösterge Paneli şablonu
Risk Tedavi Planı
RGP, Bilgi Güvenliği Yürütme Grubu tarafından aşağıda belirtilen adımlar uyarınca hazırlanır:

Risk Tedavi Planı’nın ikinci kolonu (Riskler) RGP’nin ikinci kolonuna kopyalanır.
RGP’de yer alan her risk için, riskin gerçekleşmesine ilişkin algılama yöntemi tanımlanır. Gerçekleştiği zaman riskin kimin tarafından algılanacağı da (Kullanıcılar /Sistem Yöneticileri /Kurum Yönetimi /İç Tetkikçi ve benzeri) belirlenir. Bu personel, “Algılayıcı personel” olarak adlandırılır.
RGP’de yer alan her risk için, risk gerçekleştiğinde kime haber verileceği (Birim Yöneticileri /Sistem Yöneticileri /Kurum Yönetimi vb.) tanımlanır. Bu personel, “Toplayıcı personel” olarak adlandırılır. Bir riskin tedavisinden sorumlu personelin bu riskle ilgili gidişatı izlemeye devam etmesi bekleneceğinden “Toplayıcı Personel” olarak atanması uygun olacaktır.
Aşağıda bilgi güvenliği standartlarında [6] yer alan bilgi güvenliği risklerinden bazılarını içeren farazi bir Risk Tedavi Planı ve bundan türetilmiş bir Risk Gösterge Paneli yer almaktadır:

olcum_makalesi_tablo_1.png

Tablo 1 - Risk Tedavi Planı
olcum_makalesi_tablo_2.png

Tablo 2 - Risk Gösterge Paneli

Bilgi Güvenliği Ölçümlerinin Gerçekleştirilmesi
1. Tamamlanan RGP, algılama sorumluluğuna sahip personele iletilir.
2. “Algılayıcı personel”, RGP’de yer alan risklerin gerçekleşmesi halinde, durumu “Toplayıcı personel”e bildirmekle yükümlü olduğu konusunda bilgilendirilir.
3. Toplayıcı personel, toplama sorumluluğu bulunan her bir risk için şablonu Tablo-3 Risk Ölçüm Tablosu’nda yer alan dokümandan oluşturur ve dökümünü alır. Böylece Toplayıcı personeller Risk Gösterge Panelinde yer alan risk sayısı kadar Risk Ölçüm Tablosu oluşturmuş olur. Risk Ölçüm Tabloları, yeni RGP hazırlanıncaya kadar kullanılır. Önceki yıla ait Risk Ölçüm Tabloları, yeni RGP’nin hazırlanması ile birlikte Bilgi Güvenliği Yöneticisine teslim edilir.
4. Risk gerçekleştiği zaman “Algılayıcı personel” “Toplayıcı personel”i olaydan haberdar eder. Bunun için E-posta, telefon veya bu iş için tasarlanmış bir form kullanılabilir.
5. “Toplayıcı personel” bildirilen olayı bu risk için açılmış Risk Ölçüm Tablosu’na kaydeder.
6. “Toplayıcı Personel” olayla ilgili olarak Bilgi Güvenliği Yöneticisini anında haberdar etme veya bir sonraki periyodik BGYS değerlendirme toplantısına kadar bekleme seçeneklerinden birini kullanabilir.
7. RGP’de yer alan bir risk oluştuğunda bildirmeyen veya bildirilen riski kaydetmeyen personel hakkında disiplin süreci çalıştırılır.

olcum_makalesi_tablo_3.png

Tablo 3 - Risk Ölçüm Tablosu (bir numaralı risk için hazırlanmış)

Bilgi Güvenliği Ölçümlerinin Toplanması ve Değerlendirilmesi
1. Bilgi Güvenliği Sorumlusu, her periyodik BGYS değerlendirme toplantısından önce Risk Ölçüm Tablolarında yer alan bilgileri “Toplayıcı personel”lerden alır ve aldığı bilgileri kullanarak Tablo-4 Kısa Dönem Risk Ölçüm Sonuçları tablosunu hazırlar. Tabloda bir önceki periyodik BGYS değerlendirme toplantısından sonra gerçekleşen risklere ilişkin veriler yer almaktadır.
2. Kısa Dönem Risk Ölçüm Sonuçları tablosu periyodik BGYS değerlendirme toplantısında Bilgi Güvenliği Yöneticisi’nin dikkatine sunulur.
3. Düzeltici faaliyet gerçekleştirme ihtiyacı olup olmadığı Bilgi Güvenliği Yöneticisi ve Bilgi Güvenliği Yürütme Grubu tarafından değerlendirilir ve karara bağlanır. Bilgi Güvenliği Yöneticisi, ihtiyaç hissettiği takdirde düzeltici faaliyet hakkında kurum yöneticisinin veya Koordinasyon Grubunun görüşüne başvurabilir.
4. Gerekli görüldüğü takdirde düzeltici faaliyetin gerçekleştirilmesi ve takibi kurumsal prosedür kapsamında gerçekleştirilir. (Düzeltici-önleyici faaliyetlerin kurumsal prosedür uyarınca gerçekleştirilmesi ISO 27001 standardının 8.2 ve 8.3 başlıklarında yer alan bir gereksinimdir).

olcum_makalesi_tablo_4.png

Tablo 4 - Kısa Dönem Risk Ölçüm Sonuçları

Risk Tabanlı Bilgi Güvenliği Ölçüm Süreci
Ölçüm sürecinin düzenli olarak çalıştırılması için bu makalenin bölümlerini teşkil eden
A. Risk Gösterge Paneli’nin hazırlanması ve güncellenmesi (3. Bölüm),
B. Bilgi Güvenliği Ölçümlerinin Gerçekleştirilmesi (4. Bölüm),
C. Bilgi Güvenliği Ölçümlerinin Toplanması ve Değerlendirilmesi (5. Bölüm)
adımlarının gerçekleştirilmesi gerekir.
Kurumun tedavi edilmesi gereken yeni risklerle karşı karşıya kalması durumunda Risk Tedavi Planı’nın ve Risk Gösterge Paneli’nin yenilenmesi gerekir. Bu durumla karşılaşılmaması halinde ise ölçüm süreci B ve C aktivitelerinin ardışık olarak gerçekleştirilmesi ile sürdürülebilir (Şekil 1 – Bilgi Güvenliği Ölçüm Süreci).

olcum_makalesi_-_sekil_1.png
Şekil 1 – Bilgi Güvenliği Ölçüm Süreci

Ölçüm sürecinde yer alan dokümanlar göz önünde bulundurulduğunda (Şekil 2), sürecin merkezinde Risk Gösterge Paneli’nin bulunduğu görülmektedir. Sürecin başarı ile çalıştırılması için Risk Gösterge Panelinin kuruma özel riskleri içerecek şekilde güncellenmesinin yanı sıra bilgi güvenliği ölçümünün kurumsal kültür olarak benimsenmesi de büyük önem arz etmektedir.

olcum_makalesi_-_sekil_2.png

Şekil 2 – Bilgi Güvenliği Ölçümünde Kullanılan Şablon ve Dokümanlar

Uygulamada Karşılaşılabilecek Problemler
Bu makalede kullanılan farazi RGP gözden geçirildiğinde 2, 4, 5, 8 ve 10 numaralı risklerin kurum çalışanlarının kendi hatalarından kaynaklandığı görülmektedir. 2, 4 ve 8 numaralı risklerde personelin kendi hatasını bilgi güvenliği yönetimine bildirmesi gerekmektedir. Ancak personelin böyle bir durumda zarara uğrayabileceğini düşünmesi halinde bu bildirim gerçekleşmeyecektir.
5 ve 10 numaralı risklerde ise bir personelin yaptığı hatanın diğer bir personel tarafından yönetime bildirilmesi gerektiği görülmektedir. Dilimizde “ispiyonculuk” vb. şekillerde adlandırılan bu eylem ise toplumsal kültürümüzle bağdaşmamaktadır.

Bu risklerin ölçülebilmesi için kurum yöneticisi liderliğinde ve güvencesinde katılımcı bir ortam oluşturulması gerekir.
Ayrıca

Yapılan hatalarda sadece hatayı yapan personelin değil başta kurum yöneticisi olmak üzere pek çok kurum çalışanının payı olabileceği,

Önemli olanın hatayı yapmak değil tekrarlamamak olduğu, bunun için de gerçekleşen olayların kurumsal hafızaya işlenmesi, değerlendirilmesi ve bunları önleyecek gerçekçi önlemlerin alınması gerektiği, bunun ancak kurum yönetimi tarafından gerçekleştirilebileceği, dolayısı ile gerçekleşen risklerin yönetime bildirilmesi gerektiği

tüm kurum çalışanlarına açıkça belirtilmelidir.

Sonuç:
BGYS kapsamında belirlenen risklerin işlenmesi için alınan tedbirlerin etkinliği, işlenmesi beklenen risklerin meydana gelme sıklığı ile ilişkilidir. Dolayısı ile risklerin hangi sıklıkla gerçekleştiğinin izlenmesi BGYS’de ölçüm problemini büyük ölçüde çözmektedir. Risk Tedavi Planında yer alan her bir risk için, risk gerçekleştiğinde olayı algılayacak ve kaydedecek personelin tanımlanması ile ilk adım atılmış olur. İkinci adımda gerçekleşen risklere ilişkin kayıtlar periyodik BGYS değerlendirme toplantılarından önce Bilgi Güvenliği Sorumlusu tarafından toplanır ve Kısa Dönem Risk Ölçüm Sonuçları oluşturulur. Bu sonuçlar kurumda hangi risklerin hangi sıklıkla gerçekleşmeye devam ettiği, dolayısı ile hangi tedbirlerin etkinliğinin düşük, hangilerinin ise yüksek olduğuna ilişkin görüş üretilmesini sağlayacaktır. Bu değerlendirmeler sonucunda gereken düzeltici – önleyici faaliyetler gerçekleştirilebilir.