2023 yılında küresel siber saldırı maliyeti 8 trilyon doları aştı. IBM'in Cost of a Data Breach Report 2024 verilerine göre tek bir veri ihlalinin ortalama kurumsal maliyeti 4,88 milyon dolara yükseldi — ve bu rakam, ihlal sonrası müşteri kaybı, itibar hasarı ve yasal yaptırımları henüz tam yansıtmıyor. Yönetim kurullarının "bilgi güvenliği bütçesi" tartışması artık BT departmanının teknik meselesi olmaktan çıktı; doğrudan kurumsal değer ve operasyonel süreklilik sorununa dönüştü.
Sorun şu: pek çok kuruluş ISO 27001 (Bilgi Güvenliği Yönetim Sistemi) ile ISO 22301 (İş Sürekliliği Yönetim Sistemi) sistemlerini birbirinden kopuk yönetiyor. Birincisi önlemeye, ikincisi kurtarmaya odaklanıyor gibi görünse de gerçekte bu iki sistem, birbirinin körlük noktalarını kapatıyor.
Neden Entegrasyon Zorunlu Hale Geliyor?
Klasik güvenlik anlayışı "ihlali önle" üzerine kuruludur. Oysa günümüzde soru "ihlal olacak mı?" değil, "ihlal olduğunda ne kadar sürede, ne kadar hasarla toparlanacağız?" sorusuna evrildi. Gartner, 2025 itibarıyla kurumların %75'inin bir siber olaydan etkileneceğini öngörüyordu — ve bu tahmin tuttu.
ISO 27001, bilgi varlıklarını koruma altına alan kontroller seti sunar: erişim yönetimi, şifreleme, olay yönetimi, tedarikçi ilişkileri güvenliği. ISO 22301 ise kritik fonksiyonların kesintisiz devamını planlar: iş etki analizi (BIA), kurtarma süresi hedefleri (RTO), kurtarma noktası hedefleri (RPO). İki sistem ortak yüksek riskli kesişim noktasında buluşur: fidye yazılımı saldırısı.
Fidye yazılımı bir ihlal değil, aynı zamanda operasyonel bir kesinti olayıdır. Güvenlik ekibi tehdidi tespit edip izole etmeye çalışırken, operasyon yöneticileri kritik süreçlerin yedek sistemlere geçişini koordine etmek zorunda. Bu iki çalışma kanalı entegre bir planlama olmaksızın çakışır, karar belirsizliği oluşur ve kurtarma süresi uzar.
Entegrasyon Mimarisi: Pratikte Ne Anlama Geliyor?
İki standardın entegrasyonu üç katmanda ele alınır:
1. Risk Tablosunun Birleştirilmesi: ISO 27001'in bilgi varlığı bazlı risk değerlendirmesi, ISO 22301'in iş etki analizi (BIA) çıktılarıyla eşleştirilir. Bir varlığın güvenlik riski ile operasyonel kritikliği aynı tabloda görünür hale gelir. Bu sayede yüksek BIA skoru taşıyan ancak zayıf güvenlik kontrollerine sahip varlıklar net biçimde öne çıkar.
2. Olay Müdahale ve Sürekliliği Planlarının Uyumlanması: Güvenlik olay müdahale planı (IRP) ile iş sürekliliği planı (BCP) ayrı belgeler olmak yerine tetikleyici koşulları ve karar akışını paylaşan entegre bir yapıya dönüştürülür. "Kritik sistem şifrelendiğinde kim kime bildirir, hangi süreçler manuel prosedürlere geçer, dış paydaşlara iletişim nasıl yapılır?" — bu sorular tek bir eskalasyon şemasında yanıt bulur.
3. Ortak Tatbikat ve Test Döngüsü: Masa üstü tatbikatlar (tabletop exercises) her iki ekibi aynı senaryoda bir araya getirir. Gerçek bir fidye yazılımı senaryosu üzerinden hem teknik kurtarma adımları hem kritik iş süreçlerinin yedek senaryoları test edilir. Tatbikat sonrası bulgular her iki sistemin iyileştirme gündemine girer.
Sahada Gözlemlenen Kritik Boşluklar
Kurumları incelerken tekrarlayan birkaç yapısal sorunla karşılaşıyoruz:
Yedekleme testi yanılsaması: Yedekleme alındığını bilmek ile yedeğin gerçek bir kurtarma senaryosunda çalıştığını test etmek farklı şeyler. Pek çok kuruluş yıllarca yedek aldığını sanıyor; gerçek bir olayda verinin kurtarılamaz olduğunu fark ediyor. Kurtarma testleri, ISO 22301 kapsamında belirli aralıklarla yapılmalı ve RTO/RPO hedefleriyle kıyaslanmalıdır.
Tedarikçi zinciri körlüğü: Verizon'ın 2024 DBIR raporuna göre tedarik zinciri kaynaklı ihlallerin oranı üç yılda ikiye katlandı. ISO 27001 Ek-A kontrolü A.5.19-A.5.23, tedarikçi bilgi güvenliği gereksinimlerini düzenliyor. Ancak tedarikçi kesintisinin sürekliliğe etkisi ISO 22301 perspektifinden değerlendirilmediğinde kör nokta oluşuyor.
Kurtarma Süresi Hedeflerinin gerçekçi olmaması: Kağıt üzerinde "RTO: 4 saat" yazan kurumların önemli bir bölümü, tatbikat ortamında bu hedefe ulaşamıyor. Hedefler teknik kapasite ile bütçe gerçekliğini yansıtmak yerine "iyi görünmek" için belirleniyor.
Yönetim Kurulunun Sorması Gereken 5 Soru
Denetim komitesi ya da yönetim kurulu, bilgi güvenliği ve iş sürekliliği performansını sorgularken şu soruları gündemine almalı:
1. Son 12 ayda fidye yazılımı veya kritik sistem kesintisi senaryosu için tatbikat yapıldı mı, ve RTO hedeflerine ulaşıldı mı?
2. Kritik tedarikçilerimizin bilgi güvenliği olgunluğu değerlendirildi mi?
3. Yedekleme altyapısı, izole edilmiş (air-gapped) kopya içeriyor mu?
4. Bir ihlal durumunda üst yönetim ve yönetim kurulu bildirim protokolü belirli ve test edilmiş mi?
5. KVKK ve sektörel düzenleyici bildirim yükümlülükleri sürekliliği planlarına entegre mi?
Entegrasyonun Finansal Karşılığı
Ponemon Enstitüsü araştırmaları, entegre bir güvenlik ve sürekliliği yönetim sistemine sahip kurumların ihlal başına maliyetini ortalama %30 daha düşük tuttuğunu gösteriyor. Bunun yanı sıra sigorta primlerinde de anlamlı indirimler söz konusu: Cyber insurance piyasasında belgelenmiş ISO 27001 sertifikasyonu ve tatbikat kaydı, bazı sigorta şirketlerinde %15-25 prim avantajı sağlıyor.
Yatırımın geri dönüşünü konuşmak için bir ihlal beklemeye gerek yok. Önleme ve kurtarma kapasitesini birlikte güçlendirmek, hem operasyonel hem finansal direnci kalıcı biçimde artırır.
Bilgi güvenliği ve iş sürekliliği sistemlerinizin entegrasyon düzeyini değerlendirmek, mevcut boşlukları tespit etmek ve ISO 27001/22301 yol haritası oluşturmak için danışmanlık hizmetlerimizden yararlanabilirsiniz.