Bilgi Güvenliği ve İş Sürekliliği

ISO 27001 ve ISO 22301 Arasındaki Boşluk: Neden Bilgi Güvenliği ve İş Sürekliliği Ayrı Yönetiliyor?

Yönetim kurulu salonunda bir finans direktörü, elindeki tablet bilgisayar ekranını çeviriyor: “BT departmanımız zaten var, neden ayrıca bir iş sürekliliği planına ihtiyacımız olsun?” Bu soru, Türkiye’deki orta ve üst düzey yönetici arasında oldukça yaygın. Çünkü birçok kurumda bilgi güvenliği (BGYS) ve iş sürekliliği yönetimi (ISYS) farklı birimlerde, farklı bütçelerle ve farklı sorumluluk sahiplerinde yürüyor.

Bilgi Güvenliği ve İş Sürekliliği Yönetimi

Kağıt Üzerindeki Sistem mi, Yoksa Çalışan Bir Mekanizma mı?

ISO 27001, bilgi güvenliği yönetim sistemi (BGYS) için uluslararası bir çerçevedir. ISO 22301 ise iş sürekliliği yönetim sistemi (ISYS) içindir. İkisi de aynı amaca hizmet eder: kurumsal riskleri azaltmak. Ancak Türkiye’deki uygulama pratiğinde, bu iki sistem genellikle birbirinden habersız kuruluyor.

Sahada sık karşılaştığımız tablo: BGYS sertifikası alınmış, ama felaket anında BT ekibi “yedekleme çalışıyor mu?” diye soruyor. ISYS ekibi ise “hangi veriyi öncelikli döndüreceğiz?” bilmiyor. Bu kopukluk, 2021’deki KVKK veri ihlali gibi bir olayda değil, sürekli bir organizasyonel zafiyet olarak karşımıza çıkıyor.

ISO 27001, bilginin gizliliği, bütünlüğü ve erişilebilirliğini korur. Tehdit envanteri, risk değerlendirme, kontrol mekanizmaları gibi teknik konuları ele alır. ISO 22301 ise operasyonel kesintiyi önlemeye, kriz yönetimini kurmaya ve kritik süreçlerin alternatif yollarla sürdürülebilirliğini garanti altına almaya odaklanır. Birindeki tehdit aktörü dışarıda (hacker, rakip, casus); diğerindeki ise doğa olayları, tedarikçi zinciri kırılması, personel eksikliği gibi içsel faktörler.

Entegrasyon Değil, Koordinasyon Eksikliği

Siber Güvenlik Risk Yönetimi

Asıl sorun, bu iki standardı aynı çatı altında entegre etmek değil. Çünkü zaten farklı amaçlara hizmet ediyorlar. Sorun, bu iki standardı aynı yönetim şeması içinde koordine etmemek. Örneğin bir SGBS denetimi sırasında iş sürekliliği planı hiç sorgulanmıyor. Çünkü denetçi bilgi güvenliği uzmanı; ISYS denetçisi ise (varsa) operasyon uzmanı. Bu iki ekibin bir araya geldiği tek bir senaryo: kriz anı.

McKinsey’in 2023 araştırması, kurumların %60’ınının siber olay sonrası ilk 24 saatte koordinasyon eksikliğinden dolayı finansal kayıp yaşadığını ortaya koyuyor. Bu kayıp, sadece doğrudan zarar değil; aynı zamanda müşteri güvenini, marka itibarını ve tedarikçi ilişkilerini etkileyen dolaylı maliyetleri de beraberinde getiriyor.

Yönetim Kurulunun Sorması Gereken 4 Soru

1. Son BGYS denetimimizde, ISYS planlarımızın ne kadarınınının gerçekten test edildiğini gördük mü?
2. Kriz anında BT ekibi ile operasyon arasındaki iletişim protokolümüz nedir ve kimlerden oluşuyor?
3. Kritik veri kurtarma sıralamamızı (RPO/RTO) bilgi güvenliği risk değerlendirmesiyle aynı mı düzeyde mi tutuyoruz?
4. Tedarikçi zincirimizdeki tek kaynak bağımlılık, iş sürekliliği planımızda nasıl yansıtıyoruz?
5. Yılda kaç kez tabletop exercise ve fonksiyonel tatbikat yapıyoruz ve sonuçlar yönetim kuruluna mı sunuluyor?

Neden Ayrı Değil, Birlikte Daha İyi?

Türkiye’deki büyük ölçekli kurumlarda, bilgi güvenliği ve iş sürekliliği genellikle aynı CEO’ya bağlı risk komitesi altında toplanır. Ama pratikte bu komite, BGYS ve ISYS’i tek bir çatı altında ele almaz. Çünkü her birinin kendi dili, kendi metriği, kendi denetimi vardır. ISO 27001/22301 entegrasyon değerlendirmesi ve birlikte yönetim şeması tasarımı için danışmanlık hizmetlerimizden yararlanabilirsiniz.

Paylaş   

İlginizi Çekebilir
  • ISO 27001 ve ISO 22301 Arasındaki Boşluk: Neden Bilgi Güvenliği ve İş Sürekliliği Ayrı Yönetiliyor?

    Yönetim kurulu salonunda bir finans direktörü, elindeki tablet bilgisayar ekranını çeviriyor: “BT departmanımız zaten var, neden ayrıca bir iş sürekliliği planına ihtiyacımız olsun?” Bu soru, Türkiye’deki orta ve üst düzey yönetici arasında oldukça yaygın. Çünkü birçok kurumda bilgi güvenliği (BGYS)... Devamı

  • NIS2 Direktifi ve Siber Dayanıklılık: Operasyonel Uyum Rehberi

    Avrupa Birliği'nin Ağ ve Bilgi Sistemleri Güvenliği Direktifi'nin ikinci versiyonu olan NIS2, Ocak 2023'te yürürlüğe girmiş ve üye devletlerin Ekim 2024'e kadar ulusal mevzuatlarına aktarması gerekmiştir. 2016 tarihli NIS Direktifi'nin kapsamını ve gerekliliklerini önemli ölçüde genişleten bu düzenl... Devamı

  • Ransomware Sonrası 72 Saat: İş Sürekliliği Planınız Gerçekten Çalışıyor mu?

    2024 yılında küresel ransomware saldırısı sayısı bir önceki yıla göre %67 arttı. IBM'in Cost of a Data Breach Report 2024 verilerine göre, bir veri ihlalinin ortalama ömrü 277 gün; yani tehdit aktörü sistemlerinizde dokuz ay boyunca görünmeden dolaşabiliyor. Peki yönetim kurulu toplantısında "B... Devamı

  • ISO 27001:2013 Standart Maddeleri ve Yapısı

    ISO/IEC 27001 BGYS Standardının son versiyonu 01 Ekim 2013 tarihinde yayınlanmıştır. ISO27001:2013 versiyonu; farklı sektör ve büyüklükteki firmaların gelişen bilgi güvenliği ve siber güvenlik tehditleri konularına uyum sağlamalarını destekleyecek şekilde düzenlenmiştir. ISO/IEC 27... Devamı

  • ISO27001'de Bilgi Sınıflandırma

    Bilgi Sınıflandırma ISO 27001:2013 BGYS Standardında Varlık Yönetimi konusuna bir önceki yazımızda giriş yapmış ve varlık yönetimi ile ilgili standartların beklentilerini paylaşmıştık. ( ISO27001 Bilgi Güvenliği standardında Varlık Yönetimi ) Bu yazımızda ise Varlık Yönetimi'n... Devamı

  • Kategoriler
    İhtiyaçlarınız için en doğru adrestesiniz. Tüm sorularınızın yanıtları ve en uygun çözümler bir mesaj uzağınızda !