Bilgi ve İletişim Güvenliği Rehberi Denetimi: Sertifika Yeterli mi, Yetkinlik mi Gerekli?
Cumhurbaşkanlığı Genelgesi kapsamında yayımlanan Bilgi ve İletişim Güvenliği Rehberi, kamu kurum ve kuruluşları ile kritik altyapı hizmeti veren işletmeleri — Elektronik Haberleşme Kanunu kapsamındaki İnternet Servis Sağlayıcılar (İSS) dahil — yılda en az bir kez uyum denetimine tabi tutulmakla yükümlü kılmaktadır. Denetim sonuçları, Bilgi ve İletişim Güvenliği Uyum ve Denetim İzleme Sistemi (BİGDES) üzerinden Siber Güvenlik Başkanlığı'na (SGB) iletilmektedir. Mülga Dijital Dönüşüm Ofisi'nin yetkilerinin SGB'ye devredilmesi sonrası rehber kurumsal güncellemelerle revize edilmiş olup mevcut sürüm bu çerçevede yayımlanmaya devam etmektedir.
Uygulamada en sık karşılaşılan sorulardan biri şudur: Bu denetim mutlaka yetkilendirilmiş bir firmadan mı alınmalıdır, yoksa kurum kendi iç kaynaklarıyla da yapabilir mi? Cevap rehberde nettir; ancak asıl üzerinde durulması gereken nokta sorunun cevabından çok, denetim kalitesi meselesidir.
Rehber Aslında İç Denetimi Esas Alıyor
Rehber, denetim için açık bir öncelik sıralaması ortaya koymaktadır:
"Rehber kapsamındaki tüm Kurumlarda, denetim faaliyetlerinin öncelikli olarak iç denetim birimlerinde görev alan ve bilgi teknolojileri alanında denetim yapmak üzere görevlendirilen iç denetçiler tarafından gerçekleştirilmesi esastır."
İç kaynak yetersizse sırasıyla kurum içi diğer personel, geçici görevlendirme (kamu kurumları için) ve son aşamada hizmet alımı devreye girmektedir. Yani yetkili firma çağırmak rehberin tercih ettiği yöntem değil, son çaredir.
İç denetim ekibinin sağlaması gereken asgari şartlar şunlardır: ekip en az iki kişiden oluşmalı; ekipteki personelden en az birinin ISO/IEC 27001 Başdenetçi sertifikası, CISA sertifikası veya TSE Belgelendirme Programı kapsamında yetkilendirilmiş denetçi unvanından birine sahip olması gerekmektedir. Ekip, uyum çalışmalarında yer almamış ve denetlenen birime bağlı olmayan personelden teşkil edilmelidir. EK-I Gizlilik ve EK-J Tarafsızlık Taahhütnameleri imzalanmalı, Üst Yönetici tarafından resmi görevlendirme yapılmalıdır.
BİGDES'e yüklenen belgeler her durumda aynıdır: EK-A, EK-B, EK-E, EK-F ve EK-H. "İç denetim için ayrı form" diye bir kategori yoktur.
Asıl Mesele: Sertifika ile Yetkinlik Aynı Şey Değil
Buraya kadarki kısım meselenin yasal çerçevesidir. Ancak rehberin somut hükümlerine uymak ile rehberin amacına ulaşmak arasında ciddi bir mesafe vardır. Bu mesafe, sertifika ile gerçek yetkinlik arasındaki farktan kaynaklanmaktadır.
Bilgi ve İletişim Güvenliği Rehberi yaklaşık 700 tedbir maddesi içermektedir. Bu maddeler ağ ve sistem güvenliği, uygulama ve veri güvenliği, taşınabilir cihaz ve IoT güvenliği, fiziksel ve personel güvenliği, kişisel veri güvenliği, anlık mesajlaşma, bulut bilişim, kripto uygulamaları, kritik altyapı, tedarik süreçleri ile işletim sistemi, veri tabanı ve sunucu sıkılaştırma gibi çok farklı uzmanlık alanlarına yayılmıştır. Her bir alan kendi başına yıllar süren bir tecrübe gerektirmektedir.
ISO 27001 Başdenetçi eğitimi tipik olarak beş günlük bir programdır. Bu eğitim denetim metodolojisini, örneklem seçimini, kanıt toplama disiplinini ve raporlama formatını öğretmek üzere tasarlanmıştır; yani denetimi nasıl yapacağınızı anlatır. Eğitimin doğal kapsamı bu kadardır ve eğitim sahipleri için bu bir eksiklik değildir. Asıl sorun, sertifikanın denetim kapsamındaki teknik alanların bilgisini kazandırdığı yanılgısıdır.
Pratik sonuç: Beş günlük bir eğitimle alınmış sertifikaya sahip bir kişi, 700 tedbir maddesinin denetimini kağıt üzerinde tamamlayabilir — formları doldurur, EK-H'yi imzalar, BİGDES'e yükler ve uyum prosedürel olarak yerine getirilmiş olur. Ancak bu süreci gerçek anlamda yönetmek, yani:
- Bir veri tabanı sıkılaştırma ayarının neden böyle olduğunu sorgulayabilmek
- Ağ segmentasyon mantığını gerçekten test edebilmek
- Bir kripto uygulamasının doğru parametrelerle çalışıp çalışmadığını anlayabilmek
- Sızma testi raporundaki bulguların gerçek risk seviyesini değerlendirebilmek
- Telafi edici kontrollerin yeterli olup olmadığına dair anlamlı bir görüş üretebilmek
— bunlar ayrı uzmanlıklardır ve sertifika ile gelmez. Rehberin kendisi de bunu kabul ederek denetçilere ek olarak alan uzmanı görevlendirilebileceğini düzenlemiştir (madde 3.1.1/d). Ancak uygulamada bu hüküm yeterince hayata geçirilmemekte, denetim çoğunlukla sertifikalı bir-iki kişinin imzasıyla tamamlanmaktadır.
Yarın Daha Derin Sorgulamalar Geldiğinde
Mevzuat ortamı sabit değildir. Düzenleyici kurumların — örneğin BTK'nın belirli düzenlemelerde TÜRKAK akreditasyonlu belgelendirme kuruluşlarına atıf yapması gibi — gözetim mekanizmalarını giderek somutlaştırma eğiliminde olduğu görülmektedir. Bu eğilim, mevzuatın doğal evrimidir ve şikâyet konusu değildir.
Ancak bu eğilimin denetim ekosistemi için sonucu şudur: Bugün BİGDES'e yüklenen belgeler büyük ölçüde forma uygunluk seviyesinde değerlendirilmektedir. Yarın aynı belgelerden daha derin süreç analizleri, bulgu doğrulamaları veya örneklem yeterliliği değerlendirmeleri istendiğinde, beş günlük eğitime dayalı denetim çıktılarının bu sorgulamayı kaldırması zordur. "Tedbir uygulanmıştır, etkindir" yazan bir satırın arkasında, denetçinin gerçekten ne testleri yaptığı, hangi örneklemi seçtiği, hangi kanıtı topladığı sorulduğunda; pek çok denetim raporunun savunulabilir bir teknik temele dayanmadığı ortaya çıkacaktır.
Bu durum sadece yetkilendirilmiş firmalardan alınan denetimler için değil, iç kaynakla yapılan denetimler için de geçerlidir. Yani iç denetim ile hizmet alımı arasındaki gerçek fark, çoğunlukla kâğıt üzerinde sanıldığı kadar büyük değildir; her ikisi de aynı yapısal sorundan etkilenmektedir.
Pratik Değerlendirme ve Öneriler
Bu tablo karşısında kurumlar için anlamlı yaklaşım, denetimi bir prosedür değil bir kapasite inşa süreci olarak ele almaktır.
Sertifika ile teknik uzmanlığı ayrıştırın. Denetim ekibinde sertifikalı denetçi, metodoloji ve raporlamayı sürdürür; ancak ağ, sistem, veri tabanı, uygulama güvenliği gibi alanlarda gerçekten tecrübeli alan uzmanları rehberin izin verdiği şekilde ekibe dahil edilmelidir. Tek başına sertifika yeterli değildir.
Bulgu üretmekten çekinmeyin. Denetimin değeri her şeyin yeşil çıkmasından değil, eksiklerin tespit edilip düzeltici faaliyet planına bağlanmasından gelir. EK-F tablosunda "Kısmen Etkin" veya "Etkin Değil" işaretlemek başarısızlık değil, dürüst değerlendirmedir.
Harici teknik testlerle tamamlayın. Yılda bir kez harici sızma testi veya kaynak kod analizi; hem rehberin ilgili maddelerini doğrudan karşılar, hem de iç denetimin teknik derinlik açığını kapatır. Bu yatırım, formaliteyi gerçek güvenliğe dönüştürür.
Belgeleri savunulabilir tutun. BİGDES'e yüklenen her satırın arkasında somut bir kanıt — çalışma formu, ekran görüntüsü, sistem raporu, mülakat tutanağı — bulunmalıdır. Gelecekte bir sorgulama gelirse bu kanıtlar sizi koruyacak olan tek şeydir.
Sonuç
Bilgi ve İletişim Güvenliği Rehberi uyum denetimi, yasal olarak iç kaynakla da gerçekleştirilebilen bir süreçtir. Rehber zaten bunu tercih etmektedir. Ancak meselenin asıl boyutu, denetimi kimin yaptığı değil, denetimin gerçek anlamda yapılıp yapılmadığıdır.
Beş günlük bir eğitimin ardından alınan sertifika, denetim kapsamındaki 700 tedbir maddesinin teknik derinliğini kazandırmaz; sadece denetim formatını öğretir. Bugün kâğıt üzerinde tamamlanmış görünen denetimler, mevzuatın doğal olarak derinleşeceği ileri aşamalarda savunulabilirlik sorunlarıyla karşılaşabilir. Bu nedenle kurumların — yetkili firma ile çalışan da olsa, iç kaynakla denetim yapan da olsa — denetim bütçelerini sertifika sayısına değil gerçek teknik yetkinliğe yönlendirmesi uzun vadede en akılcı yaklaşımdır.
Denetim, kâğıt üzerinde tamamlanan bir prosedür olarak değil; kurumun güvenlik duruşunu gerçekten ölçen, iyileştiren ve savunulabilir hale getiren bir süreç olarak ele alındığında değerini kazanır.
Bu yazı bilgilendirme amaçlıdır ve hukuki görüş niteliği taşımaz. Kurumların kendi durumlarına özgü değerlendirmelerde Bilgi ve İletişim Güvenliği Denetim Rehberi'nin güncel sürümünü esas alması tavsiye edilir.
İlgili Yazılar
- Bilgi ve İletişim Güvenliği Rehberi (BİG-RE) Nedir, Kimleri Kapsar?
- BTK Yer Sağlayıcı ve Erişim Sağlayıcılar İçin Uyum Süreçleri
- TÜRKAK Onaylı ISO 27001 Belgelendirmesi: Güvenilir Sertifika İçin Yol Haritası
#BİGRE #BİGDES #SiberGüvenlikBaşkanlığı #İçDenetim #BilgiGüvenliği #ISO27001 #CISA #KritikAltyapı #ISS #UyumDenetimi