ISO 27001 Nedir? Kurumsal Güvenliği Nasıl Çalışır Hale Getirir?
Veri ihlalleri ve siber saldırılar artık yalnızca büyük şirketlerin sorunu değil. Fabrikalar, kamu kurumları, hastaneler ve orta ölçekli işletmeler de hedef alınıyor. Bu noktada ISO 27001, kurumların bilgi güvenliğini bir sistem olarak yönetmesini sağlayan uluslararası bir standarttır.
Bu yazıda ISO 27001’in ne istediğini, fabrika ve üretim sistemlerinin neden özel risk taşıdığını, sızma testinin nasıl yapıldığını ve KVKK ile bağlantısını sade bir dille anlatıyoruz. Nesil Teknoloji, TSE A Sınıfı Sızma Testi yetkisiyle bu süreçlerde kurumlara uçtan uca destek sağlamaktadır.
ISO 27001, güvenliği kişilere değil süreçlere bağlar. Düzenli sızma testi, risk analizi ve denetim döngüsüyle kurum güvenliği ölçülebilir hale gelir. KVKK teknik tedbirleriyle de doğrudan örtüşür.
1. ISO 27001 Ne İstiyor ve Kuruma Ne Kazandırıyor?
ISO 27001, bilgi güvenliğini yönetmek için uluslararası kabul görmüş bir standarttır. Tek tek teknik çözümler önermez; bunun yerine kurumun güvenliği bir sistem olarak kurmasını ve sürdürmesini ister. Güvenliğin belirli bir kişinin bilgi ve deneyimine değil, yazılı süreçlere ve net sorumluluklara dayanmasını sağlar. O kişi işten ayrılsa bile sistem çalışmaya devam eder.
Kapsam belirleme neden bu kadar önemli?
ISO 27001 sürecinin ilk adımı, standardın hangi bölümleri kapsayacağını netleştirmektir. Hangi departmanlar, hangi sistemler, hangi lokasyonlar dahil? Bu sınırı belirsiz bırakmak, denetim sırasında ciddi sorunlara yol açar. Kapsamın net olması aynı zamanda yönetime, müşterilere ve denetçilere verilmiş somut bir güvence taahhüdüdür.
Üst yönetimin desteği neden şart?
ISO 27001, güvenlik politikalarının genel müdür ya da yönetim kurulu seviyesinde desteklenmesini zorunlu kılıyor. Bunun pratik nedeni şudur: Güvenlik kararları çoğu zaman departmanlar arası işbirliği ve bütçe gerektirir. Bu kararlar yalnızca IT departmanı tarafından alınamaz; üst yönetimin sahiplenmediği bir güvenlik programı işlemez.
Risk yönetimi nasıl çalışır?
Standart, kurumun risk değerlendirmesini gerçek bir karar alma aracına dönüştürmesini istiyor. Bu, yılda bir kez kağıt doldurmak değil; risklerin düzenli olarak güncellenen, iş kararlarını etkileyen canlı bir süreç olması demek. Tespit edilen her risk için dört seçenekten biri uygulanır: riskten kaçın, riski kabul et, riski başka bir tarafa devret (sigorta gibi) ya da riski azaltacak teknik önlemler al.
Uygulanabilirlik Bildirgesi nedir?
ISO 27001’in 93 kontrol maddesinden kurumun hangilerini uygulayacağını, hangilerini neden kapsam dışı bıraktığını açıklayan belgedir. Bu belge standart denetimlerinde incelenen ilk ve en önemli belgelerden biridir. Önemli olan her kontrol maddesini uygulamak değil, hangi kararın neden alındığını gerekçelendirmektir.
Güvenlik hedefleri nasıl belirlenmeli?
Hedefler somut ve ölçülebilir olmalıdır. “Güvenliği iyileştireceğiz” bir hedef değildir. “Tüm sistemlere iki adımlı doğrulamayı 30 Haziran’a kadar aktif edeceğiz” bir hedefdir. ISO 27001, bu ölçülebilirliği zorunlu kılıyor.
2. Fabrika ve Üretim Sistemleri Neden Farklı Risk Taşıyor?
Geçmişte fabrika makineleri ve üretim sistemleri dış dünyadan tamamen izole çalışırdı. Bugün bu sistemler verimlilik ve anlık veri analizi için kurumsal ağlara bağlandı. Bu dönüşüm büyük kolaylıklar getirirken ciddi güvenlik açıkları da oluşturdu.
Modbus protokolü neden savunmasız?
Modbus, fabrikalarda makineler arasındaki iletişim için kullanılan yaygın bir protokoldür. 1979’da tasarlandı ve o dönemde güvenlik kaygısı yoktu; sistemler zaten kapalı devrede çalışıyordu. Bugün bu protokol şifreleme ya da kimlik doğrulama içermiyor. Tüm veri paketleri ağ üzerinde açık metin olarak taşınıyor.
Bu durumun somut riski şudur: Ağa sızan biri Modbus trafiğini okuyabilir ve programlanabilir cihazlara (PLC) doğrudan komut gönderebilir. Üretim parametrelerini değiştirmek, bir vanayı yanlış konuma getirmek ya da bir bandı durdurmak teknik olarak mümkün hale geliyor. Bu yalnızca veri kaybı değil, fiziksel zarar ve iş kazası riski anlamına gelebilir.
DNP3 hangi alanlarda kullanılıyor ve ne riski var?
DNP3, enerji dağıtım şebekeleri, su arıtma tesisleri ve akıllı şebeke altyapılarında yaygın kullanılan bir protokoldür. Güvenli kimlik doğrulama için güncellemeler çıkarılmış olsa da sahadaki eski cihazlar çoğunlukla bu güncellemeleri desteklemiyor. Bu cihazlar kurumsal ağa TCP/IP üzerinden bağlandığında veri manipülasyonu ve hizmet engelleme saldırılarına açık hale geliyor.
Gerçek bir sızma testinden elde edilen bulgu
Bir demir çelik fabrikasında gerçekleştirilen testte şu süreç yaşandı: Ofis ağına hedefli bir sahte e-posta gönderildi. Bir çalışan e-postadaki bağlantıya tıkladı ve bilgisayarı ele geçirildi. İncelemede ofis ağı ile üretim ağı arasındaki tek engelin zayıf yapılandırılmış bir yönlendirici olduğu görüldü. Bu engel aşılınca doğrudan SCADA sunucusuna ulaşıldı. Oradan yüksek fırın soğutma sistemlerine gönderilen Modbus komutlarının dışarıdan değiştirilebildiği kanıtlandı.
Bu bulgulun önemi şudur: Saldırı fabrika sistemine doğrudan yapılmadı. Sıradan bir ofis bilgisayarından başladı ve zayıf ağ ayrımı sayesinde kritik üretim sistemine ulaştı. Tek bir güvenlik duvarına güvenmek bu tür zincirleme riskleri engellemez.
Fabrika ağı nasıl korunmalı?
Üretim ağı ile ofis ağının birbirinden net biçimde ayrılması zorunludur. Bu ayrım yalnızca farklı bir yazılım ayarı değil, fiziksel ya da güçlü mantıksal bir bölünme olmalıdır. İki ağ arasında geçiş gerekliyse bu geçiş denetlenen ve kayıt altına alınan belirli bağlantı noktalarıyla sınırlı kalmalıdır. Endüstriyel protokolleri anlayan özel güvenlik cihazları kullanılmalıdır; ofis ağı için tasarlanan araçlar bu protokollerin içeriğini okuyamaz.
3. Sızma Testi Nasıl Yapılır? Hangi Araçlar Kullanılır?
Sızma testi, bir kurumun sistemlerine gerçek bir saldırganın bakış açısıyla yaklaşılarak güvenlik açıklarının bulunması ve ne kadar kullanılabilir olduğunun test edilmesidir. Otomatik bir tarama aracı çalıştırıp çıktı almaktan çok farklıdır. İyi bir sızma testi, bulunan açığın gerçekten tehlikeli olup olmadığını kanıtlar ve kurumun güvenlik anlayışını kökten değiştirebilecek somut bulgular üretir.
Test nasıl ilerler?
Her profesyonel sızma testi bilgi toplama aşamasıyla başlar. Kurumun internete açık sistemleri, çalışanların sosyal medyada paylaştığı bilgiler, sızdırılmış parola veritabanlarında kuruma ait e-posta adresi bulunup bulunmadığı incelenir. Bu aşama tamamen yasal yollarla ve açık kaynaklardan yürütülür.
Ardından ağ haritalama ve zafiyet tarama aşamasına geçilir. Burada asıl hedef zafiyetleri listelemek değil, onları güvenli biçimde kullanmaktır. Kısıtlı bir kullanıcı hesabından yönetici haklarına geçilebiliyor mu? Kritik sunuculara ulaşılabiliyor mu? Hassas veriler ağ dışına çıkarılabiliyor mu? Bu soruların yanıtları testin kalitesini belirler.
Hangi araçlar kullanılır?
| Araç Kategorisi | Örnek Araç | Ne İşe Yarar? | Kuruma Katkısı |
|---|---|---|---|
| Ağ keşfi ve haritalama | Nmap | Ağdaki aktif cihazları, açık portları ve çalışan servisleri tespit eder | IT ekibinin bilmediği unutulmuş sistemleri ve gölge cihazları ortaya çıkarır |
| Zafiyet sömürme | Metasploit | Tespit edilen açıkların gerçekten kullanılabilir olup olmadığını kanıtlar | “Bu açık teorik risk” değil “sistem ele geçirilebilir” farkını somut olarak gösterir |
| Ağ trafiği analizi | Wireshark | Ağ üzerindeki paketleri yakalar ve açık metin iletişimi tespit eder | Özellikle SCADA ağlarında sisteme dokunmadan güvenlik açıklarını görünür kılar |
| Sürekli doğrulama | Yapay zeka destekli izleme sistemleri | Yılda bir kez test yerine sürekli saldırı simülasyonu yapar | ISO 27001’in sürekli iyileştirme gereksinimini karşılar, savunma sisteminin tepki süresini ölçer |
Rapor neden bu kadar önemli?
Sızma testinin sonunda iki farklı rapor hazırlanmalıdır. Birincisi yönetime sunulan özet: hangi risklerin işi durdurma ya da itibar kaybı potansiyeli taşıdığı, sade ve anlaşılır bir dille aktarılır. İkincisi teknik ekibe sunulan detaylı rapor: hangi sistemde ne bulundu, nasıl kapatılır, hangi sürüm güncellemesi gerekiyor. Her iki seviyeye de hitap eden raporlama, ISO 27001’in sürekli iyileştirme anlayışıyla doğrudan örtüşür.
Otomatik araçlar tek başına yeterli mi?
Hayır. Otomatik tarama araçları binlerce satır çıktı üretir. Bu çıktıların büyük bölümü yanlış alarm içerir ya da kuruma özgü bağlamı olmadan değerlendirilemez. Uzman bir test ekibi, bu bulguları manuel olarak doğrular, yanlış alarmları ayıklar ve gerçekten tehlikeli olanları iş etkisiyle birlikte önceliklendirir. Araç kalitesi değil, onu kullanan uzmanın yaklaşımı testin kalitesini belirler.
4. ISO 27001, KVKK ve Diğer Yasal Zorunluluklar Nasıl Bir Arada Yönetilir?
Bilgi güvenliği artık yalnızca teknik bir konu değil. Devlet otoriteleri tarafından denetlenen hukuki bir yükümlülük haline geldi. Türkiye’de faaliyet gösteren kurumlar için ISO 27001, KVKK ve ulusal düzenlemeler birbirleriyle doğrudan ilişkili.
ISO 27001 ile KVKK nasıl örtüşüyor?
KVKK’nın 12. maddesi, kişisel veri işleyen kurumların teknik güvenlik önlemleri almasını zorunlu kılıyor. Bu önlemlerin neler olduğu ise KVKK rehberlerinde ISO 27001 gereksinimleriyle büyük ölçüde örtüşen bir biçimde açıklanıyor. Erişim kontrolü, şifreleme, ağ güvenliği, sızma testi ve olay yönetimi her iki çerçevede de yer alıyor. İki sistemi birlikte yönetmek, hem zaman hem de maliyet açısından çok daha verimli.
ISO 27001:2022’nin yeni getirdiği önemli konular neler?
2022 revizyonu birkaç yeni alana odaklanıyor. Bunların en önemlilerinden biri siber tehdit istihbaratıdır. Standart artık kurumların yalnızca kendi sistemlerini izlemekle yetinmemesini, küresel saldırı trendlerini ve sektörü hedef alan tehdit gruplarını da takip etmesini istiyor. Bu bilgiler savunma sistemlerinin proaktif olarak güncellenmesini sağlıyor.
Bulut güvenliği de yeni sürümde ayrı bir kontrol alanı olarak yer alıyor. Bulut hizmeti alınan firmayla sorumlulukların net biçimde paylaşılması, verilerin hangi ülkede saklandığının bilinmesi ve hizmet sözleşmelerinde güvenlik gereksinimlerinin açıkça yazılması zorunlu hale geldi.
Veri sızıntısı önleme sistemleri de revizyon kapsamında. Hassas verilerin USB bellek, kişisel e-posta ya da yetkisiz bulut servisleri üzerinden dışarı çıkarılmasını engelleyen sistemlerin kurulması artık standardın beklentileri arasında.
Olay müdahalesi ve kök neden analizi
ISO 27001 bir siber saldırı yaşandığında yalnızca semptomları gidermekle yetinilmesine izin vermiyor. Olayın neden yaşandığı bulunmalı ve bir daha yaşanmaması için yapısal değişiklikler yapılmalıdır. Örneğin bir çalışan sahte e-postaya tıklayarak ağı zararlı yazılıma bulaştırdıysa, “çalışan dikkatsizdi” bir kök neden değildir. Gerçek kök neden e-posta güvenlik sisteminin bu tür e-postaları geçirmesi ya da farkındalık eğitimlerinin yetersizliğidir. Düzeltici faaliyet da bu sistemleri iyileştirmeye yönelik olmalıdır.
Sızma testi bulgularının KVKK denetimindeki yeri
KVKK rehberi, kurumların sistemlerini düzenli aralıklarla sızma testine tabi tutmasını açıkça belirtiyor. Bir veri ihlali yaşandığında Kurul’a yapılan bildirim dosyasında önceden profesyonel sızma testi yapıldığının ve bulunan açıkların kapatıldığının belgelenmesi, kurumun iyi niyet göstergesi olarak değerlendiriliyor. Bu, olası idari para cezalarını azaltan önemli bir faktördür.
Sık Sorulan Sorular
ISO 27001’in yeni versiyonuna geçiş için son tarih neydi, eski sertifikam hâlâ geçerli mi?
ISO 27001 standardı Ekim 2022’de güncellendi. Eski 2013 sürümüne ait sertifikalar 31 Ekim 2025 tarihi itibarıyla geçerliliğini yitirdi. Henüz geçiş yapmadıysanız önce bir fark analizi (GAP analizi) yaparak yeni gereksinimlerden eksik olanları belirlemeniz ve bir geçiş planı hazırlamanız gerekiyor. Bu konuda Nesil Teknoloji’den destek alabilirsiniz.
TSE A Sınıfı yetkili bir firmadan sızma testi yaptırmanın avantajı ne?
TSE A Sınıfı belgesi, sızma testi yapan firmanın teknik yeterliliğinin ve test süreçlerinin devlet tarafından denetlenip onaylandığını gösteriyor. Kamu ihaleleri ve kritik altyapı denetimleri için bu belge çoğunlukla ön koşul niteliğinde. Kurumlar açısından ise aldıkları hizmetin kalite güvencesini temsil ediyor. Hazırlanan raporlar ulusal ve uluslararası denetim mercilerinde geçerli kabul ediliyor.
Fabrika sistemlerinde sızma testi yapılırken üretim durur mu?
Doğru yürütülen bir testte hayır. Endüstriyel ortamlarda otomatik tarama araçları doğrudan üretim sistemlerine yönlendirilmez; bu yaklaşım cihazların kilitlenmesine yol açabilir. Bunun yerine pasif izleme ve kontrollü test yöntemleri kullanılır. Üretim bandına dokunulmadan yalnızca zafiyetin varlığı kanıtlanır. Nesil Teknoloji uzmanları bu tür ortamlarda sıfır iş kesintisi hedefiyle çalışmaktadır.
Sızma testi bulguları KVKK denetiminde hukuki bir savunma kanıtı olabilir mi?
Evet. KVKK rehberi, düzenli sızma testi yapılmasını teknik tedbirlerin bir parçası olarak açıkça tanımlıyor. Bir veri ihlali yaşandığında Kurul’a sunulan dosyada önceden test yapıldığının ve bulguların kapatıldığının belgelenmesi, kurumun gerekli önlemleri almış olduğunun somut kanıtıdır. Bu, hem ceza miktarını azaltma hem de kurumun iyi niyetini ispatlama açısından hukuki değer taşıyor.
İlgili hizmet: ISO 27001 danışmanlık hizmetimiz hakkında detaylı bilgi almak için sayfamızı inceleyebilirsiniz.
