Siber tehditlerin her geçen gün daha karmaşık ve hedefli hale geldiği günümüzde, kurumlar için siber güvenlik olayları artık "olursa ne yaparız?" sorusunun değil, "olduğunda ne yapacağız?" sorusunun konusudur. Bir siber saldırı veya veri sızıntısı anında panik yerine sistemli, hızlı ve etkili bir şekilde hareket edebilmek, yaşanacak zararı minimumda tutmanın tek yoludur. Bilgi Güvenliği Yönetim Sistemi (BGYS) standardı olan ISO 27001, kurumsal direnci artırmak amacıyla siber güvenlik olay yönetimi ve olay müdahale süreçlerinin sistematik olarak kurgulanmasını zorunlu kılar.
Bu rehberde; ISO 27001 uyumlu bir siber güvenlik olay yönetimi mimarisinin nasıl kurulacağını, olay müdahale planlarının (IRP) adımlarını ve yasal bildirim yükümlülüklerini ele alacağız.
ISO 27001 Olay Yönetimi Gereksinimleri Nelerdir?
ISO 27001 standardı, siber güvenlik olaylarının yönetilmesini sadece teknik bir müdahale olarak görmez; onu organizasyonel sorumluluklar, bildirim kanalları, kanıt toplama prosedürleri ve sürekli iyileştirme süreçleriyle desteklenen bütünsel bir disiplin olarak ele alır. Standardın güncel Ek A (Annex A) kontrolleri kapsamında yer alan "Bilgi Güvenliği Olaylarının Yönetimi" maddesi, kurumların şu yetkinliklere sahip olmasını talep eder:
- Olayların Tespiti ve Bildirilmesi: Güvenlik açıklarının ve şüpheli olayların çalışanlar veya izleme sistemleri tarafından hızlıca raporlanabilmesi için kanalların oluşturulması.
- Olayların Değerlendirilmesi ve Karara Bağlanması: Bildirilen olayların gerçek bir güvenlik ihlali olup olmadığının analiz edilmesi ve önem derecesine göre sınıflandırılması.
- Olaylara Müdahale Edilmesi: Önceden tanımlanmış Olay Müdahale Planları (Incident Response Plan - IRP) çerçevesinde siber olaylara müdahale edilmesi ve etkilerinin sınırlandırılması.
- Ders Çıkarma (Lessons Learned): Yaşanan olayların ardından kök neden analizi yapılarak, benzer olayların tekrarını önleyecek düzeltici faaliyetlerin başlatılması.
Adım Adım ISO 27001 Olay Müdahale Süreci (Incident Response)
Başarılı bir olay müdahale süreci, siber olay anında kimin, ne zaman, hangi adımı atacağını net bir şekilde tanımlayan bir rehbere dayanmalıdır. Bu süreç genellikle şu aşamalardan oluşur:
1. Hazırlık (Preparation)
Olay yaşanmadan önce tüm savunma hattının kurulması aşamasıdır. Güvenlik politikalarının yazılması, olay müdahale ekibinin (CSIRT/USOM) kurulması, rollerin belirlenmesi ve izleme araçlarının (SIEM, EDR vb.) devreye alınması bu aşamada gerçekleştirilir.
2. Tespit ve Analiz (Detection & Analysis)
Şüpheli bir aktivitenin (örneğin olağan dışı bir veri trafiği veya yetkisiz admin girişi) fark edilmesi ve analiz edilmesidir. Bu aşamada olayın kaynağı, kapsamı ve hangi sistemleri etkilediği hızlıca belirlenir.
3. Sınırlandırma (Containment)
Saldırının yayılmasını önlemek amacıyla etkilenen sistemlerin izole edilmesidir. Örneğin, fidye yazılımı (ransomware) bulaşmış bir sunucunun ağ bağlantısının derhal kesilmesi, saldırının diğer sunuculara sıçramasını engeller.
4. Tehdidin Ortadan Kaldırılması (Eradication)
Saldırının kök nedeninin sistemlerden temizlenmesidir. Zararlı yazılımların silinmesi, sömürülen zafiyetlerin kapatılması ve ele geçirilen kullanıcı şifrelerinin değiştirilmesi bu aşamada yapılır.
5. Kurtarma (Recovery)
Etkilenen sistemlerin güvenli bir şekilde yedeklerden geri dönülerek veya temiz kurulum yapılarak tekrar üretime alınması ve normal iş akışına dönülmesidir.
6. Olay Sonrası Analiz (Post-Incident Activity)
Olay tamamen çözüldükten sonra ekibin toplanarak "Ne oldu?", "Neden oldu?" ve "Gelecekte bunu nasıl önleriz?" sorularını tartıştığı aşamadır. Bu toplantının çıktıları, güvenlik politikalarının ve teknik kontrollerin güncellenmesinde kullanılır.
Yasal Bildirim Yükümlülükleri ve KVKK / GDPR Uyumu
Siber güvenlik olayları sadece operasyonel kesintilere yol açmaz, aynı zamanda ciddi yasal sorumluluklar da doğurur. Özellikle kişisel verilerin sızdırıldığı olaylarda yasal bildirim süreleri son derece kısıtlıdır:
- KVKK 72 Saat Kuralı: Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca, veri sorumluları bir veri ihlali tespit ettiklerinde, bu durumu en geç 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirmekle yükümlüdür. Ayrıca ihlalden etkilenen kişilere de makul olan en kısa sürede bildirim yapılmalıdır.
- ISO 27001'in Kolaylaştırıcı Rolü: ISO 27001 uyumlu bir olay yönetim prosedürüne sahip olmak, ihlalin tespit edildiği andan itibaren 72 saatlik sürenin panik olmadan, doğru analizlerle ve yasal formatta yönetilmesini sağlar.
7/24 SOC ve Proaktif Olay İzleme
Siber olaylara müdahale edebilmenin ilk şartı, olayı gerçekleştiği anda fark edebilmektir. Gece yarısı yapılan bir siber saldırıyı sabah mesai başlangıcında fark etmek, telafisi imkansız zararlara yol açabilir. Bu nedenle, sistemlerin 7/24 kesintisiz izlenmesi kritik önem taşır.
Kurumunuzun siber olaylara karşı direncini artırmak ve proaktif bir koruma kalkanı oluşturmak için Yönetilen Hizmetler çözümlerimizi inceleyebilirsiniz.
Sistemlerinizi 7/24 izleyen, tehditleri saniyeler içinde tespit edip müdahale eden profesyonel bir siber savunma hattı kurmak için ise SOC Odaklı Güvenlik Olay İzleme ve Müdahale hizmetimizden yararlanabilirsiniz.
Ayrıca, olay yönetimi süreçlerinizi destekleyecek diğer kurumsal rehberlerimizi inceleyebilirsiniz:
- Olayların loglanması ve 5651 uyumu için: SIEM, Syslog ve 5651 Mimarisi
- Ağ seviyesindeki güvenlik önlemleri ve firewall yapılandırmaları için: ISO 27001 ve Ağ Güvenliği
- Olası veri kayıplarında can simidi olacak yedekleme stratejileri için: ISO 27001 ve Yedekleme Politikaları
- Denetimlerde olay yönetimiyle ilgili sorulabilecek sorulara hazırlanmak için: ISO 27001 Denetim Soruları
- Standardın genel gereksinimleri hakkında bilgi edinmek için: ISO 27001 Nedir?
Şirketinizde ISO 27001 standartlarına uyumlu bir olay müdahale yapısı kurgulamak, 7/24 SOC izleme altyapısını devreye almak ve siber krizleri profesyonelce yönetmek için uzman kadromuzla iletişime geçebilirsiniz.
Sıkça Sorulan Sorular
Siber güvenlik olayı (incident) ile güvenlik zafiyeti (vulnerability) arasındaki fark nedir?
Güvenlik zafiyeti, sistemlerinizde bulunan ve saldırganlar tarafından sömürülebilecek potansiyel bir zayıflıktır (örneğin güncellenmemiş bir yazılım). Siber güvenlik olayı ise, bu zafiyetin sömürülerek sistemlerinize yetkisiz erişim sağlanması, verilerin şifrelenmesi veya sızdırılması gibi siber güvenliği doğrudan tehdit eden fiili bir durumdur.
Olay müdahale ekibinde (CSIRT) kimler yer almalıdır?
Ekip sadece IT personelinden oluşmamalıdır. Siber olayların hukuki, finansal ve itibari boyutları olduğu için CSIRT ekibinde IT yöneticilerinin yanı sıra üst yönetim temsilcileri, hukuk danışmanları, insan kaynakları sorumluları ve halkla ilişkiler/kurumsal iletişim uzmanları da yer almalıdır.
Yaşanan her siber olayı KVKK'ya bildirmek zorunda mıyız?
Hayır. KVKK bildirimi sadece sızdırılan veya yetkisiz erişilen verilerin "kişisel veri" (müşteri bilgileri, çalışan kayıtları vb.) içermesi durumunda zorunludur. Kişisel veri içermeyen, sadece sistem kesintisine yol açan operasyonel olaylar KVKK bildirim kapsamına girmez ancak ISO 27001 gereği iç raporlaması yapılmalıdır.
Sonuç
Siber güvenlik olay yönetimi, ISO 27001 Bilgi Güvenliği Yönetim Sistemi'nin en dinamik ve operasyonel parçasıdır. Doğru kurgulanmış bir olay müdahale planı ve 7/24 proaktif izleme mekanizmaları, kurumunuzu siber krizler karşısında çaresiz kalmaktan korur. Unutmayın, siber güvenlikte başarı saldırıya hiç uğramamak değil, saldırıyı en az hasarla ve en hızlı şekilde atlatabilmektir.
