NIST 800-171 gap analizi nereden başlamalı?
Gap analizi çoğu ekipte kontrol listesi okumakla başlar. Oysa doğru başlangıç, teknik gerçekliğin nerede durduğunu anlamaktır. Aksi halde çıkan rapor uzun, ama karar kalitesi düşük olur.
1. Önce sistem sınırını sabitle
Kapsamdaki veri, sistem, kullanıcı ve entegrasyonları netleştirmeden gap analizi yapmak mümkün değil. Çünkü hangi kontrolün nereye uygulanacağı baştan belirsiz kalır.
2. Asset görünürlüğünü doğrula
Envanter zayıfsa, kontrol uygulaması kağıt üstünde görünebilir ama gerçekte eksik kalır. Endpoint, sunucu, kullanıcı hesabı, üçüncü parti servis ve veri akışı görünürlüğü ilk kontrol edilmesi gereken alandır.
3. Sorumluluk boşluklarını çıkar
Bir kontrolün sahibi belli değilse, o kontrol uygulanmış görünse bile sürdürülebilir olmaz. Security, platform, uygulama ekibi ve operasyon arasında kimin neyi taşıdığı netleşmelidir.
4. Kanıt kalitesine ayrı bak
Bazen kontrol vardır ama kanıt zayıftır. Bazen de kanıt vardır ama teknik uygulama tutarsızdır. Bu ikisini ayırmayan ekipler, düzeltme planını yanlış kurar.
5. Son olarak düzeltme sırasını kur
Gap analizinin çıktısı sadece “eksikler listesi” olmamalı. Hangi teknik adımın en çok risk azalttığını ve inceleme baskısı açısından neyin önce gelmesi gerektiğini söyleyebilmelidir.
Kısa özet
İyi bir NIST 800-171 gap analizi, kontrol metni değil teknik bağlam üzerinden başlar. Sistem sınırı, varlık görünürlüğü, sorumluluk dağılımı ve kanıt kalitesi oturmadan çıkan sonuçlar genelde aksiyona dönüşmez.
Gap analizinden sonra son 30 günde neyin önce geleceğini görmek istiyorsanız, bu planı bir sonraki adım olarak okuyabilirsiniz.