Bilgi güvenliği ve,
nedense daha “karizmatik” bir isim olduğunu düşündüğümüz “siber güvenlik” 8
temel taş üzerine oturur.
8 Temel Sütun Üzerine Oturan Bilgi Güvenliği (Temsili)
Bilgi güvenliği
şirketin işidir.
Bilgi güvenliği bir
bütün olarak iş süreçlerini ve şirketin iş yapabilme yeteneğine destek
vermelidir. Genel olarak bilgi güvenliğinden sorumlu kişilerin ve şirketi
yönetenlerin bunu gözden kaçırdığını görüyoruz. Üretim yapmak, hizmet vermek veya genel anlamda faaliyetlerini sürdürmek için bilgisayar ve bilgisayar teknolojilerini kullanan her firma güvenliğe önem vermelidir. Bu konunun Bilgi İşlem gibi tek bir birim veya kişiye bırakılması doğru olmayacaktır.
Bilgi güvenliği
şirketin üst yönetimini ilgilendiren bir konudur.
Üniversitelerde
verdiğim seminerlere katılanlar hatırlayacaktır, alt alta 10 kere “bilgi
güvenliği üst yönetimi ilgilendiren bir konudur” yazan slaydımı
hatırlayacaklardır. Şirket yönetimlerinin temel görevlerini sayacak olsak
bunların başında “şirketin çıkarları için çalışmak” ve “şirketi korumak”
maddelerini sayabiliriz. Bilgi güvenliği bu ikinci madde ile doğrudan ilgili
bir konudur. Doğru bir bilgi güvenliği programı yönetime şirket varlıklarını ve
iş süreçlerini koruma konusunda ihtiyaç duyduğu desteği verir.
Bilgi güvenliği
maliyetleri kabul edilebilir olmalıdır.
“Korunan şeyin
değeri, onu korumak için almamız gereken önlemden az ise, bırakın yansın”
dediğimi duyan bazı müşterilerimin yüzlerindeki tuhaf ifadeyi unutamam. Bugün
geldiğimiz noktada bilgi güvenliği bir sektör haline gelmiştir ve hepimizin kapısını
sayısız satış temsilcisi gelmektedir. Bunun yanında yapılan bazı varsayımlar
bizleri gerçekten var olmayan risklere karşı önlem almaya itebilir. Bilgi
güvenliği konusunda bir karar verirken bir riskin gerçekten var olduğunu ve
alınacak güvenlik önleminin maliyetinin kabul edilebilir düzeyde olduğundan
emin olmalıyız.
Bilgi güvenliği
politikaları ve hedefleri belli ve anlaşılır olmalıdır.
Bu konuda görev
üstlenecek birimlerin ve şahısların belli olması gerektiği gibi bilgi güvenliği
süreçlerinin kontrolünü yapacak birimlerin de belli olması gerekir. Bunun
devamında şirketimizin bilgi güvenliğini tehdit edebilecek her durum, örneğin
tedarikçi firmalar, bilgi güvenliği süreçlerine dahil edilmelidir.
Bilginin sahibi bilgi
güvenliği konusundan sorumludur.
Bilgiyi veya veriyi
kullananların sorumlulukları bilgi güvenliği politikaları veya iş yeri
sınırları ile bile sınırlandırılamayacak kadar fazladır. Bilgi güvenliğinin
dikkate alması gereken önemli bir konu da verinin şirket genelinde izin ve
yetkilere uygun olarak üretildiği, kullanıldığı, değiştirildiği veya imha
edilmesidir. Bu yetkilerin dağıtılması ve uygulanması büyük ölçüde üst
yönetimin sorumluluğundadır.
Bilgi güvenliğine
bir bütün olarak yaklaşılmalı.
“Zincir en zayıf
halkası kadar güçlüdür” sözünü hepimiz duyduk. Bu cümle genelde “en zayıf halka
insan” diye devam eder ama gerçek hayatta durum biraz daha farklı. Danışmanlık
verdiğim çoğu şirket ve kamu kurumda bilgi güvenliğinin bir zincir
oluşturamadığını gördüm. Güvenliği bir bütün olarak sağlayabilmek için bu
konuda her hangi bir adım atmadan önce kapsamlı bir risk analizinin yapılması,
olası güvenlik ihlallerinin iş süreçlerine etkisinin ölçülmesi ve
bilginin/verinin derecelendirilmesi gibi kritik çalışmaların tamamlanması
şarttır.
Bilgi güvenliği
sürekli değerlendirilmelidir.
Bilgi güvenliği
seviyesi şirketten şirkete ve aynı şirket içerisinde zamanla değişir. Bu
nedenle güvenlik seviyesinin belirli aralıklara değerlendirilmesi şarttır.
Teknolojiler değişiyor, ağ topolojisi değişiyor, kullanıcılar değişiyor ve bu
değişiklikler güvenlik seviyesini etkiliyor. Bu nedenle en geç 18 ayda bir
bilgi güvenliği seviyesinin detaylı bir şekilde değerlendirilmesi önemlidir.
Bilgi güvenliği
kurumsal bir meseledir.
Yazdığımız veya
ortaya attığımız her güvenlik girişiminin kurum genelinde uygulanması
gerekeceğini unutmamak gerek. Bu tür değişiklikler bazı kurumlarda çok iyi
karşılanırken bazılarında bu süreçlere geçiş zor ve yorucu olabilmektedir.
Karşılaşılan direnci en aza indirmek için iş süreçlerinin ve iş birimlerinin
kendi ihtiyaçları doğrultusunda bazı değişiklikler yapmalarına izin vermek
olabilir.
