ISO 27001 belgesini almak, sanıldığı kadar zor değildir. Doğru danışman, birkaç ay yoğun çalışma, bir dizi doküman ve bir denetim — sonunda çerçeveletip duvara asacağınız bir sertifika. Zor olan, denetçi kapıdan çıktıktan sonra başlar.
Çünkü sertifika bir fotoğraftır: denetim gününde sistemin nasıl göründüğünü belgeler. BGYS — Bilgi Güvenliği Yönetim Sistemi — ise bir organizmadır. Beslenmezse, her gün biraz daha gerçeğinizden kopar. Bir sonraki denetimde önünüze çıkan fatura, işte bu kopukluğun bedelidir.
Sertifika bir anı dondurur. BGYS ise yaşamak zorundadır — yoksa yalnızca duvarda yaşar.
Sorun 1 — Belge alınır, sistem rafa kalkar
En sık görülen tablo şudur: belge alınır, ekip rahatlar, BGYS bir dahaki denetime kadar uykuya yatar. Risk kaydı güncellenmez, yeni sunucular envantere girmez, işten ayrılanların erişimi kapanmaz. On iki ay sonra denetçi geldiğinde, kâğıt üstündeki sistemle gerçek sistem birbirini tanımaz hâle gelmiştir. Uyum, denetim öncesi bir haftaya sıkıştırılan bir maratona döner.
Sorun 2 — SoA gerçeği değil, temenniyi anlatır
Uygulanabilirlik Bildirgesi (SoA), 93 Ek A kontrolünün her biri için “uyguluyoruz / uygulamıyoruz, gerekçesi şu” dediğiniz belgedir. Çoğu kurumda SoA, danışmanın ilk gün doldurduğu ve bir daha açılmayan bir tablodur. “Uyguluyoruz” yazan bir kontrolün arkasında işleyen bir süreç yoksa, o satır denetimde en çok canınızı yakan yerdir — çünkü yazdığınız şeyi yapmadığınızı siz beyan etmişsinizdir.
Sorun 3 — Risk kaydı bir Excel’de ölür
Risk yönetimi BGYS’nin kalbidir — ama pratikte çoğu zaman bir Excel dosyasında, son güncellenme tarihi belgeyi aldığınız gün olan bir tabloda gömülüdür. Riskler bir kez tanımlanır, bir daha gözden geçirilmez. Oysa yeni bir bulut servisi, yeni bir tedarikçi, yeni bir yasal yükümlülük — her biri risk tablonuzu değiştirir. Yaşamayan bir risk kaydı, risk yönetimi değil; risk arşividir.
Sorun 4 — DÖF’ler açılır, kapanmaz
Düzeltici ve Önleyici Faaliyet (DÖF), bir uygunsuzluk bulunduğunda “ne yaptık, ne zaman kapattık” kaydıdır. En yaygın hata, DÖF’leri açmak ama kapatmamaktır. Denetçi geçen yıldan kalma kapanmamış bir DÖF gördüğünde aklına tek bir soru gelir: “Bu sistem gerçekten çalışıyor mu, yoksa sadece kayıt mı tutuyor?”
Sorun 5 — İç tetkik ve YGG göstermelik yapılır
İç tetkik ve Yönetimin Gözden Geçirmesi (YGG), sistemin kendi kendini denetlediği iki mekanizmadır. Çoğu kurumda ikisi de dış denetimden bir hafta önce, geriye dönük tarih atılarak “tamamlanmış” gösterilir. Bu, yangın tatbikatını yangından sonra yapmaya benzer. İç tetkik gerçekten yapılmadığında, dış denetimde çıkan her bulgu iki kat utandırır — çünkü onu sizin, çok daha önce bulmuş olmanız gerekirdi.
Sorun 6 — Kanıt toplama her denetimde sıfırdan başlar
Belki de en yorucu sorun kanıttır. “Erişim yetkileri çeyrekte bir gözden geçiriliyor” demek kolaydır; bunu on iki aylık kayıtla ispatlamak zordur. Log yoksa, onay akışı yoksa, ekran görüntüsü arşivi yoksa — her denetim, ekibin haftalarını yiyen bir arkeoloji kazısına döner. Bir PAM kurulumu, bir log mimarisi, bir doküman versiyonlama düzeni; kanıtı denetim gecesi üretmek için değil, üretilmiş kanıtı zahmetsiz toplamak için vardır.
İyi bir BGYS, denetimden önce kanıt üretmez — kanıtı her gün kendiliğinden biriktirir.
Ortak kök neden — BGYS’yi bir proje sanmak
Bu altı sorunun tamamı tek bir yanlış varsayımdan doğar: BGYS’yi başı ve sonu olan bir proje sanmak. Oysa BGYS bir süreçtir — PUKÖ döngüsü (Planla → Uygula → Kontrol Et → Önlem Al) sonsuza kadar döner. Üst yönetim desteği bir imza değil, bütçe ve zaman ayırma taahhüdüdür. Bu taahhüt yoksa, en iyi danışman bile size yalnızca güzel bir fotoğraf bırakır.
ISO 27001 sertifikası, bir kapıdan girdiğinizi gösterir. BGYS ise o kapının ardında gerçekten yaşayıp yaşamadığınızın kaydıdır. Belgeyi almak bir başarıdır; ama asıl güvenlik, denetçi gittikten sonra sistemin kendiliğinden dönmeye devam etmesindedir. O zaman bir sonraki denetim bir sınav değil — yalnızca bir ekran görüntüsü olur.