Bilgi Güvenliği online işletmelerin özellikle son dönemde ilk önceliklerinden birisi olmaya başladı. Bulundukları ülke, tabii oldukları yasalar, açıldıkları pazarlara göre çeşitli kuralları takip etmek zorunda olan firmalarda bu süreçlerde nerede olduklarını bilip ona göre belli bir plan yapabilmek önemli bir ihtiyaç.
Insider’da güvenlik konularıyla ilgilenmeye başladığımdan beri farklı modelleri ve standartları takip etme fırsatım oldu. Edindiğimiz tecrübeleri ve takip ettiğimiz modellerden birisini paylaşıp bu alanda nasıl başlayacağını bilmeyen insanlara bir fikir verme niyetindeyim. Aynı zamanda sektördeki farkındalığı arttırmak elbette amaçlarımdan birisi.
Building Security In Maturity Model, “nasıl yapılır?” sorusuna cevap aramaktan ziyade “nasıl yapılıyor? sorusunu cevaplar. Bunu yaparken kendi durumunuzu sektörle kıyaslamasına yardımcı olur. Mevcut araştırma ve standartların uygulanmasını ve pratikleri belli bir çatı altında toplar ve değerlendirir. Building Security In Maturity Model(BSIMM) 9 ile çalışmaya 120 firma katılmış. Bunların dağılışını raporda bulabilirsiniz.
Öncelikle çalışmayı buradan indirebilirsiniz: https://www.bsimm.com/download.html formu doldurmak zorunda değilsiniz.
Building Security In Maturity Model(BSIMM) Framework bilgi güvenliği alanında ki çalışmaları 4 alanda toplar:
- Governance
- Intelligence
- SSDL Touchpoints
- Deployment
Örneğin Governance altındaki Training başlığına bakalım:
Bu başlıklar üzerinden fikir sahibi olabilir, daha sonra paylaşılan scorecard ile de kendi skorunuzu hesaplayabilirsiniz. İndireceğiniz dosya içerisinde BSIMM geçmişinden günümüze detaylı bilgiler ve sektör kıyaslamaları mevcuttur.
Biz bu kıyaslamaları yaparken bir yandan da organizasyonumuzu sürekli ileri götürmek için bu domainleri paylaşırız ve ortalama skorumuzu her çeyrek yükseltmek için hedefler belirlenir. Örneğin benim ilgi alanım daha çok Governance ise ekibimizde ki başka bir arkadaş Intelligence başkaları ise SSDL ve Deployment alanlarında çalışır. Bu çalışmaları tasklar halinde haftalık takip ederken skor durumumuzu her çeyrek kontrol ederiz.
Level 1’de ki çalışmaları çoğu firma yaparken Level 3’e doğru geldikçe bunların katılım oranının azaldığının fark etmişsinizdir. Başarılı ve ciddi firmalarda bu 12 kısımda da aktivitelerin yapıldığını özel olarak belirtmek gerekir. Firmanız büyüdükçe bu çalışmaların hepsini yapıyor olmalısınız ama ufak bir firmaysanız Level 1’den başlayıp büyüdükçe daha fazla kaynak ayırarak üst seviyeleri hedef alabilirsiniz.
Konu hakkında herhangi bir sorunuz olursa özelden ulaşabilirsiniz, elimden geldiğince yardımcı olmak isterim.