Kolay Gelsin Bilgi Güvenliği Dönüşümü
Çok lokasyonlu dağıtım operasyonu, dijital kanallar ve kritik lojistik sistemleri risk temelli bir Bilgi Güvenliği Yönetim Sistemi altında birleştirildi. ISO/IEC 27001:2022 gereklilikleri yönetişimden saha operasyonlarına kadar çalışan kontrollere dönüştürüldü.
Lojistik operasyonuna yayılan kurumsal BGYS
Kapsam; merkez ofis, dağıtım merkezleri, saha operasyonları, dijital kanallar, entegrasyonlar ve kritik tedarikçi ilişkilerini içerecek biçimde tasarlandı.
Hızlı operasyon ile güvenli operasyonu birleştirmek
Lojistikte süreklilik, mobilite ve entegrasyon hızı kritik öneme sahip. Bilgi güvenliği kontrollerinin dağıtım performansını yavaşlatmadan kurumsallaştırılması gerekiyordu.
Operasyonel karmaşıklık
Merkez, dağıtım merkezleri ve saha ekipleri; farklı sistem, cihaz ve ağ katmanları üzerinden aynı teslimat ekosisteminde çalışıyordu.
- ERP, WMS, TMS ve entegrasyon servislerinin birlikte çalışması
- Mobil saha cihazları ve dağıtık kullanıcı kimlikleri
- Yüksek erişilebilirlik ve kesintisiz operasyon gereksinimi
- Müşteri, gönderi ve çalışan verilerinin korunması
- Üçüncü taraf ve tedarikçi bağımlılıklarının yönetimi
Dönüşüm yaklaşımı
Program yalnızca sertifikasyon hazırlığı olarak değil; risk, teknoloji, insan ve süreç katmanlarını birlikte yöneten kalıcı bir işletim modeli olarak ele alındı.
- Kapsam ve bağlamın operasyonla birlikte tanımlanması
- Varlık, tehdit, zafiyet ve iş etkisi temelli risk analizi
- Kontrol sahipleri ve sorumlulukların açıkça atanması
- Teknik kontrollerin politika ve prosedürlerle eşleştirilmesi
- İç tetkik, yönetim gözden geçirmesi ve sürekli iyileştirme
Sertifikasyondan önce çalışan sistemi kurmak
ISO/IEC 27001 gereklilikleri altı ana aşamada kurumun günlük işleyişine yerleştirildi; her aşama ölçülebilir çıktı ve sorumlularla tamamlandı.
Kapsam ve bağlam
Lokasyonlar, süreçler, sistemler, taraflar ve BGYS sınırları tanımlandı.
Varlık ve risk analizi
250'den fazla bilgi varlığı, sahipleri ve bağımlılıklarıyla değerlendirildi.
Risk işleme planı
Risklere uygulanacak kontroller, sahipler, hedef tarihler ve kabul kriterleri belirlendi.
Dokümantasyon ve uygulama
40'tan fazla politika, prosedür ve kayıt yapısı fiilî süreçlerle bütünleştirildi.
Eğitim ve doğrulama
3.000 çalışan için farkındalık programı, teknik testler ve iç tetkik yürütüldü.
YGG ve sertifikasyon
Yönetim gözden geçirmesi tamamlandı ve akredite denetim süreci desteklendi.
Risk kararlarını kurumsal yönetime bağlamak
BGYS; güvenlik ekibinin teknik çalışma alanı olmaktan çıkarılıp üst yönetim, süreç sahipleri ve kontrol sorumlularının ortak karar sistemine dönüştürüldü.
Kurumsal risk metodolojisi
Olasılık, iş etkisi, mevcut kontrol ve artık risk kriterleri standartlaştırılarak risklerin karşılaştırılabilir biçimde önceliklendirilmesi sağlandı.
RACI ve komite yapısı
Kontrol sahipleri, onay mercileri, danışılan ve bilgilendirilen taraflar belirlenerek görev ve karar belirsizlikleri azaltıldı.
Uygulanabilirlik Bildirgesi
Annex A kontrollerinin seçilme veya dışarıda bırakılma gerekçeleri, uygulama durumu ve kanıtları merkezi bir kontrol yapısında ilişkilendirildi.
KPI ve risk iştahı
Güvenlik olayları, açık bulgular, yama süreleri, eğitim ve tedarikçi riskleri yönetimin izleyebileceği göstergelere dönüştürüldü.
İç tetkik ve bulgu yönetimi
Uygunsuzluklar kök neden, düzeltici faaliyet, sorumlu ve kapanış kanıtıyla takip edilen sistematik bir iyileştirme döngüsüne bağlandı.
Yönetim gözden geçirmesi
Risk durumu, hedefler, olaylar, kaynak ihtiyacı ve iyileştirme kararları üst yönetimin düzenli gündemine taşındı.
Kimlikten uygulamaya katmanlı koruma
Organizasyonel kontroller, insan kontrolleri, fiziksel kontroller ve teknolojik kontroller; lojistik operasyonunun risk profiline göre birlikte ele alındı.
SSO, MFA ve yaşam döngüsü
Kullanıcı erişimleri merkezi kimlik altyapısı, çok faktörlü doğrulama ve işe giriş–rol değişikliği–işten ayrılma süreçleriyle yönetildi.
Ayrıcalıklı erişim ve görev ayrılığı
Kritik yönetici hesapları, yetki matrisleri ve periyodik erişim gözden geçirmeleriyle en az yetki prensibi güçlendirildi.
Ağ segmentasyonu ve sınır güvenliği
Merkez, dağıtım merkezi, saha ve dış servis katmanları güvenlik bölgeleriyle ayrıştırılarak yatay hareket ve saldırı yüzeyi sınırlandırıldı.
Mobil cihaz ve uç nokta güvenliği
Saha cihazları merkezi politikalar, konfigürasyon, güncelleme ve uzaktan müdahale yetenekleriyle kurumsal kontrol altına alındı.
Merkezi loglama ve olay müdahalesi
Kritik sistem kayıtları korelasyon, alarm ve müdahale akışlarıyla izlendi; olay senaryoları playbook ve tatbikatlarla doğrulandı.
Şifreleme ve anahtar yönetimi
Hassas verilerin aktarım ve saklama güvenliği ile kriptografik anahtarların yaşam döngüsü kurumsal standartlara bağlandı.
Güvenli yazılım geliştirme
SAST, DAST, bileşen analizi, gizli anahtar taraması ve güvenlik kapıları geliştirme ve CI/CD süreçlerine dahil edildi.
Zafiyet ve yama yönetimi
Açıklar risk seviyesine göre önceliklendirildi; hedef kapatma süreleri, istisnalar ve doğrulama adımları düzenli takip edildi.
Kontrolleri operasyonel kanıta dönüştürmek
ISO/IEC 27001:2022 kontrol alanları politika ifadeleriyle sınırlı kalmadan, uygulanabilir süreç, teknik kontrol, kayıt ve doğrulama kanıtlarıyla ilişkilendirildi.
| Kontrol alanı | Uygulama örnekleri | Kanıt ve doğrulama | Amaç |
|---|---|---|---|
| Kimlik ve erişim | SSO, MFA, PAM, rol matrisi ve erişim gözden geçirmesi | Yetki kayıtları, onaylar ve periyodik kontrol çıktıları | En az yetki |
| Operasyon güvenliği | Yama, zafiyet, konfigürasyon ve değişiklik yönetimi | Tarama raporu, değişiklik kaydı ve kapanış doğrulaması | Kontrollü işletim |
| İzleme ve olay yönetimi | Merkezi loglama, korelasyon, alarm ve müdahale playbook'ları | Olay kayıtları, müdahale süreleri ve tatbikat raporları | Hızlı tespit |
| Uygulama ve API güvenliği | Güvenli SDLC, kod analizi, bileşen ve API kontrolleri | Pipeline sonuçları, bulgu kayıtları ve yeniden test | Güvenli geliştirme |
| Tedarikçi güvenliği | Risk sınıflandırması, sözleşme hükümleri ve hizmet izleme | Değerlendirme, sözleşme, SLA ve uygunluk kanıtı | Zincir güvenliği |
| İş sürekliliği | BIA, RTO/RPO, yedekleme, felaket kurtarma ve tatbikat | Test sonuçları, kurtarma kayıtları ve iyileştirme planı | Operasyonel dayanıklılık |
| Gizlilik ve KVKK | Veri sınıflandırma, saklama, erişim ve ilgili kişi süreçleri | Envanter, politika, talep ve imha kayıtları | Hesap verebilirlik |
Üçüncü taraf riskini hizmet yaşam döngüsünde yönetmek
Lojistik ekosistemindeki entegrasyon ve hizmet sağlayıcıları, seçimden sözleşme sonlandırmaya kadar risk temelli güvenlik kontrollerine bağlandı.
Değerlendirme ve sözleşme
Tedarikçiler eriştikleri veri, sistem ve iş etkisine göre sınıflandırılarak güvenlik gereksinimleri sözleşmesel hale getirildi.
- Hizmet ve veri erişimine göre risk sınıflandırması
- Gizlilik, erişim, loglama ve ihlal bildirimi hükümleri
- SLA/OLA ve güvenlik performans beklentileri
- Alt yüklenici ve bulut hizmeti kontrolleri
İzleme ve çıkış
Güvence, sözleşme imzasında sona ermedi; hizmet süresince kanıt, bulgu ve değişiklikler düzenli biçimde izlendi.
- Periyodik uygunluk ve güvenlik kanıtı güncellemesi
- Zafiyet ve penetrasyon testi bulgu takibi
- API anahtarı, entegrasyon ve kayıt güvenliği
- Sözleşme sonunda veri iadesi, imha ve erişim kapatma
İş sürekliliği ve olay müdahalesi
Bilgi güvenliği, yalnızca yetkisiz erişimi önlemek değil; kesinti veya saldırı sonrasında kritik teslimat operasyonunu kabul edilebilir sürelerde sürdürebilmek olarak ele alındı.
İş etki analizi
Kritik süreç, sistem, veri, personel ve tedarikçi bağımlılıkları belirlendi.
RTO ve RPO hedefleri
Kurtarma süreleri ve kabul edilebilir veri kaybı hedefleri iş ihtiyaçlarıyla ilişkilendirildi.
Yedekleme ve felaket kurtarma
Yedeklerin güvenliği, geri dönüşü ve alternatif çalışma senaryoları düzenli test edildi.
Olay müdahale planları
Teknik, hukuki, operasyonel ve iletişim rolleri senaryo bazlı playbook'larda tanımlandı.
Tabletop ve teknik tatbikat
Karar zinciri ve kurtarma adımları gerçek olaydan önce kontrollü senaryolarla sınandı.
Öğrenme ve iyileştirme
Olay ve tatbikat sonuçları kök neden ve düzeltici faaliyet sürecine aktarıldı.
3.000 çalışanla sürdürülebilir farkındalık
Bilgi güvenliğinin yalnızca teknik ekiplerin sorumluluğu olmadığı yaklaşımı; genel, rol bazlı ve yöneticilere özel eğitimlerle kurum geneline yayıldı.
Genel farkındalık
Parola, sosyal mühendislik, veri paylaşımı ve olay bildirimi temel davranışlara dönüştürüldü.
Rol bazlı eğitim
BT, yazılım, operasyon, insan kaynakları ve yönetici rolleri için farklı içerikler uygulandı.
Phishing simülasyonu
Kullanıcı davranışı ölçüldü; riskli gruplar hedefli mikro eğitimlerle desteklendi.
Bilgi testleri
Eğitim katılımının yanında anlama ve davranış değişimi de ölçüm kapsamına alındı.
Sürekli iletişim
Güncel tehditler, olaylardan öğrenilenler ve kısa hatırlatmalar düzenli olarak paylaşıldı.
Yönetici sahipliği
Ekiplerin eğitim ve kontrol performansı yönetim raporlamasına dahil edildi.
Sertifikadan daha fazlası: çalışan güvenlik sistemi
Proje sonunda bilgi varlıkları, riskler, kontroller, sorumlular ve kanıtlar aynı yönetim döngüsünde birleştirildi; sertifikasyon bu sistemin dış denetimle doğrulanan çıktısı oldu.
ISO/IEC 27001:2022
Akredite sertifikasyon denetimi için gerekli BGYS yapısı ve kanıt seti oluşturuldu.
Risk temelli yönetim
Güvenlik yatırımları iş etkisi, tehdit ve artık risk üzerinden önceliklendirildi.
Merkezî görünürlük
Varlık, bulgu, olay, tedarikçi ve kontrol durumu yönetim seviyesinde görünür hale geldi.
Operasyonel dayanıklılık
Kritik lojistik süreçlerinin olay ve kesintilere karşı hazırlığı güçlendirildi.
Denetlenebilir kanıt
Politika, uygulama kaydı, test ve yönetim kararları izlenebilir bir kanıt zincirine bağlandı.
Sürekli iyileştirme
İç tetkik, YGG, KPI ve düzeltici faaliyet döngüsü BGYS işletimine yerleştirildi.
Kurum ve danışmanlık ekiplerinin ortak çalışması
Dönüşüm, Kolay Gelsin süreç sahipleri ile Nesil Teknoloji'nin BGYS ve güvenlik uzmanlığının aynı uygulama planında buluşmasıyla yürütüldü.
Özkan Yılmaz
Kolay Gelsin · Proje Yöneticisi
Murat Kaya
Nesil Teknoloji · Proje Lideri
Uygar Yasin Aydın
Nesil Teknoloji · ISO 27001 Başdenetçisi ve Güvenlik Danışmanı
Kurumsal ve standart çerçevesi
Başarı hikâyesinin operasyonel bağlamı ve BGYS yaklaşımında esas alınan başlıca resmî kaynaklar.