Bilişim Evreni NIST (National Institute of Standards and Technology) ve CISA (Cybersecurity and Infrastructure Security Agency), ABD hükümetinin siber güvenlikle ilgili iki önemli kuruluştur. Her ikisi de siber güvenlik politika ve standartları geliştirme, teşvik etme ve uygulama konularında önemli roller oynar.
NIST daha çok siber güvenlik standartlarının ve en iyi uygulamalarının geliştirilmesine ve yayılmasına odaklanırken, CISA siber güvenlik olaylarının tespiti, müdahalesi ve kritik altyapı güvenliğine odaklanır. Her iki kuruluş da ABD’nin siber güvenlik kapasitesini güçlendirmeye yönelik önemli roller üstlenir ve birbirleriyle işbirliği yaparlar.
NIST (National Institute of Standards and Technology), ABD Ticaret Bakanlığı’na bağlıdır ve ABD’nin teknoloji ve standartlar konularındaki lider kuruluşlarından biridir. Siber güvenlikle ilgili standartlar ve yönergeler geliştirme konusunda uzmandır. Özellikle “NIST Siber Güvenlik Çerçevesi” ve “NIST Siber Güvenlik Kılavuzları” gibi rehberlerle tanınır.
NIST, siber güvenlikte iyi uygulamaları ve standartları yaygınlaştırarak, kamu ve özel sektör kuruluşlarının siber güvenliklerini geliştirmelerine yardımcı olur. Siber güvenlikte risk yönetimi ve uygunluk konularına odaklanır. Kurumlar için risk analizi ve risk azaltma stratejileri geliştirme konularında rehberlik sağlar.
CISA (Cybersecurity and Infrastructure Security Agency) , ABD İç Güvenlik Bakanlığı’na bağlıdır, siber güvenlik ve kritik altyapı güvenliği konularında görevlidir.
CISA, siber güvenlik olaylarını izler, tehditlere karşı uyarılar sağlar, siber güvenlik olaylarına müdahale eder ve siber güvenlik bilincini artırmak için eğitimler ve kaynaklar sunar.
Kamu ve özel sektörün kritik altyapılarına karşı siber tehditlere karşı savunmayı güçlendirmeye odaklanır. Elektrik, su, iletişim, taşımacılık gibi önemli altyapılar da bu kapsamın içindedir. Siber güvenlik olaylarının tespiti ve müdahalesi konularında acil durum yanıt görevleri de yürütür.
Konumuz her iki kurumu karşılaştırma ve görevlerini belirtmek olsa da bir de bilgi ve siber güvenliği alanında CISA adında bir sertifika bulunmaktadır. Karıştırılmaması adına biraz bahsetmek gerekirse;
CISA (Certified Information Systems Auditor) sertifikası, ISACA (Information Systems Audit and Control Association) tarafından verilen ve ISACA’nın siber güvenlik, bilgi sistemleri denetimi ve yönetimi gibi alanlarda profesyonelleri yetkilendirmek için oluşturduğu bir sertifikadır. CISA sertifikası, bilgi sistemleri denetimi ve güvenliği konularında uzmanlık ve yeterlilik gösteren bireylere verilir.
ISACA, CISA sertifikası ve diğer sertifikaları (örneğin, CISM – Certified Information Security Manager) ile siber güvenlik ve bilgi sistemleri yönetimi alanlarında profesyonelleri yetkilendirmek ve bu alanlardaki en iyi uygulamaları teşvik etmek amacıyla faaliyet gösteren bir uluslararası profesyonel kuruluştur. CISA sertifikası, siber güvenlik denetimleri, bilgi sistemleri yönetimi, güvenlik yönetimi ve benzeri konularda uzmanlaşmış kişilere verilir ve sertifikalı profesyonellerin bilgi sistemleri güvenliği ve denetimi konularında yetkin olduğunu gösterir.
