Thursday, January 9, 2014

Bilgi Güvenliğinin 8 Temel Direği


Bilgi güvenliği ve, nedense daha “karizmatik” bir isim olduğunu düşündüğümüz “siber güvenlik” 8 temel taş üzerine oturur.


8 Temel Sütun Üzerine Oturan Bilgi Güvenliği (Temsili)


Bilgi güvenliği şirketin işidir.
Bilgi güvenliği bir bütün olarak iş süreçlerini ve şirketin iş yapabilme yeteneğine destek vermelidir. Genel olarak bilgi güvenliğinden sorumlu kişilerin ve şirketi yönetenlerin bunu gözden kaçırdığını görüyoruz. Üretim yapmak, hizmet vermek veya genel anlamda faaliyetlerini sürdürmek için bilgisayar ve bilgisayar teknolojilerini kullanan her firma güvenliğe önem vermelidir. Bu konunun Bilgi İşlem gibi tek bir birim veya kişiye bırakılması doğru olmayacaktır. 

Bilgi güvenliği şirketin üst yönetimini ilgilendiren bir konudur.
Üniversitelerde verdiğim seminerlere katılanlar hatırlayacaktır, alt alta 10 kere “bilgi güvenliği üst yönetimi ilgilendiren bir konudur” yazan slaydımı hatırlayacaklardır. Şirket yönetimlerinin temel görevlerini sayacak olsak bunların başında “şirketin çıkarları için çalışmak” ve “şirketi korumak” maddelerini sayabiliriz. Bilgi güvenliği bu ikinci madde ile doğrudan ilgili bir konudur. Doğru bir bilgi güvenliği programı yönetime şirket varlıklarını ve iş süreçlerini koruma konusunda ihtiyaç duyduğu desteği verir.

Bilgi güvenliği maliyetleri kabul edilebilir olmalıdır.
“Korunan şeyin değeri, onu korumak için almamız gereken önlemden az ise, bırakın yansın” dediğimi duyan bazı müşterilerimin yüzlerindeki tuhaf ifadeyi unutamam. Bugün geldiğimiz noktada bilgi güvenliği bir sektör haline gelmiştir ve hepimizin kapısını sayısız satış temsilcisi gelmektedir. Bunun yanında yapılan bazı varsayımlar bizleri gerçekten var olmayan risklere karşı önlem almaya itebilir. Bilgi güvenliği konusunda bir karar verirken bir riskin gerçekten var olduğunu ve alınacak güvenlik önleminin maliyetinin kabul edilebilir düzeyde olduğundan emin olmalıyız.

Bilgi güvenliği politikaları ve hedefleri belli ve anlaşılır olmalıdır.
Bu konuda görev üstlenecek birimlerin ve şahısların belli olması gerektiği gibi bilgi güvenliği süreçlerinin kontrolünü yapacak birimlerin de belli olması gerekir. Bunun devamında şirketimizin bilgi güvenliğini tehdit edebilecek her durum, örneğin tedarikçi firmalar, bilgi güvenliği süreçlerine dahil edilmelidir.

Bilginin sahibi bilgi güvenliği konusundan sorumludur.
Bilgiyi veya veriyi kullananların sorumlulukları bilgi güvenliği politikaları veya iş yeri sınırları ile bile sınırlandırılamayacak kadar fazladır. Bilgi güvenliğinin dikkate alması gereken önemli bir konu da verinin şirket genelinde izin ve yetkilere uygun olarak üretildiği, kullanıldığı, değiştirildiği veya imha edilmesidir. Bu yetkilerin dağıtılması ve uygulanması büyük ölçüde üst yönetimin sorumluluğundadır.

Bilgi güvenliğine bir bütün olarak yaklaşılmalı.
“Zincir en zayıf halkası kadar güçlüdür” sözünü hepimiz duyduk. Bu cümle genelde “en zayıf halka insan” diye devam eder ama gerçek hayatta durum biraz daha farklı. Danışmanlık verdiğim çoğu şirket ve kamu kurumda bilgi güvenliğinin bir zincir oluşturamadığını gördüm. Güvenliği bir bütün olarak sağlayabilmek için bu konuda her hangi bir adım atmadan önce kapsamlı bir risk analizinin yapılması, olası güvenlik ihlallerinin iş süreçlerine etkisinin ölçülmesi ve bilginin/verinin derecelendirilmesi gibi kritik çalışmaların tamamlanması şarttır.

Bilgi güvenliği sürekli değerlendirilmelidir.
Bilgi güvenliği seviyesi şirketten şirkete ve aynı şirket içerisinde zamanla değişir. Bu nedenle güvenlik seviyesinin belirli aralıklara değerlendirilmesi şarttır. Teknolojiler değişiyor, ağ topolojisi değişiyor, kullanıcılar değişiyor ve bu değişiklikler güvenlik seviyesini etkiliyor. Bu nedenle en geç 18 ayda bir bilgi güvenliği seviyesinin detaylı bir şekilde değerlendirilmesi önemlidir.

Bilgi güvenliği kurumsal bir meseledir.

Yazdığımız veya ortaya attığımız her güvenlik girişiminin kurum genelinde uygulanması gerekeceğini unutmamak gerek. Bu tür değişiklikler bazı kurumlarda çok iyi karşılanırken bazılarında bu süreçlere geçiş zor ve yorucu olabilmektedir. Karşılaşılan direnci en aza indirmek için iş süreçlerinin ve iş birimlerinin kendi ihtiyaçları doğrultusunda bazı değişiklikler yapmalarına izin vermek olabilir.