BİLGİ GÜVENLİĞİ YÖNETİŞİMİ
Haziran 11, 2021Haziran 11, 2021
Comments (0)
By In Bilgi Güvenliği

BİLGİ GÜVENLİĞİ YÖNETİŞİMİ

Yönetim (Government) kavramı hükümet etme, idare etme bağlamında kullanılmakta, hiyerarşik nitelikte bir yönetim modelini öne çıkarmaktadır. Yönetişim (Governance) kavramı ise yönetim sürecinde rol oynayan aktörler ve örgütler arasında etkileşimini ve yönetim faaliyetlerine katılmasını ifade etmek üzere kullanılmaktadır.

Bilgi güvenliği anlamında yönetişim, ISG (Information Security Governance) ise; öncesinde strateji ile belirlenen hedefe ulaşılmasını sağlamak, kurum risklerinin yeterli seviyede ele alındığından emin olmak ve kurumun kaynaklarının sorumlu bir biçimde kullanılmasını sağlamak gibi hedeflerin gerçekleştirilebilmesi için yönetim kurulu ve yöneticilerin tarafından ele alınması gereken sorumlulukların ve uygulamaların tamamıdır. Bilgi güvenliği yönetişimi, strateji kapsamında belirlenmiş hedeflere varılması için, risklerin uygun seviyede ele alınması ve yönetilmesi için, kurumun sahip olduğu kaynakların uygun ve sorumlu bir biçimde kullanıldığından emin olmak için sorumlulukların tanımlanması ve gerekli uygulamaların gerçekleştirilmesidir.

COBIT olarak bilinen Control Objectives for Information and Related Technology, (Bilgi ve ilgili teknoloji için kontrol hedefleri) yönetişim ve yönetim arasında açık bir ayrım yapar. Bu iki disiplin farklı faaliyetleri kapsar, farklı organizasyon yapıları gerektirir ve farklı amaçlara hizmet eder. Bilgi Teknolojileri yönetiminde ulaşılması gereken hedefleri ortaya koyar.

COBIT’i, ITIL, CMMI ve ISO standartlarından ayıran en büyük özelliği tüm BT fonksiyonlarını kapsayan bir çerçeve sunmasıdır. Bilgi Teknolojileri (BT) yönetiminde ulaşılması gereken hedefleri ortaya koyar. Farklı şekilde ifade etmek gerekirse COBIT içerisinde yer alan 34 süreci bir arada değerlendirdiğinizde BT yönetiminin her alanını kapsama almış olursunuz. Bu nedenle diğer standartlardan farklı şekilde, COBIT’in tek veya grup halinde BT süreçlerine değil BT’nin yönetilmesine odaklandığını söylemek daha doğru olur.

COBIT 2019 çerçevesinde yönetişimin sağladıkları şu şekilde sıralanmıştır;

  • Dengeli ve üzerinde anlaşılmış kurumsal hedefleri belirlemek için, paydaş ihtiyaçları, koşullar ve seçenekler değerlendirilir.
  • Yön, önceliklendirme ve karar alma yoluyla belirlenir.
  • Üzerinde anlaşılan yön ve hedeflere göre, performans ve uyum izlenir.

Bilgi güvenliği yönetişimi risk odaklı bir yaklaşımdır. Bilgi güvenliği yönetişimine olan ihtiyacı anlamak için bilgi teknolojileri ve risklerine değinmek gerekmektedir. Günümüzde kurumların iş süreçlerinin önemli bir bölümünü bilgi teknolojileri ortamlarına taşımalarıyla birlikte bilgi teknolojileri risklerinin önemi artmıştır. Geçmişte kurumlar için bilgi güvenliği açısından en önemli risk kâğıt ortamında yer alan bilginin çalınma riski iken artık bilgi teknolojilerinden kaynaklanan çok çeşitli riskler söz konusu olmuştur.

Bilgi teknolojileri iş süreçlerini hızlandırmış ve kolaylaştırmıştır. Ancak bilgi güvenliği risklerini de önemli ölçüde artırmıştır. Bilgi teknolojileri; bilgiye uzaktan erişim olanağı sağlar ve bu durum saldırganlar için bilgiye ulaşmanın bir yolu haline gelmiştir. Bilgi güvenliğinin temel özellikleri olan; bilginin gizliliği, bütünlüğü ve sürekli erişilebilirliğinin sağlanması noktasında riskleri ortaya çıkarmıştır. Bilgi güvenliği ile ilgili riskler genellikle dört kategoride ifade edilmektedir; finansal riskler, dış çevre ve itibar riskleri, stratejik riskler, operasyonel riskler.. Teknolojiden kaynaklanan bilgi güvenliği risklerini gidermek için kurumlar, teknolojik yatırımlara büyük önem vermekte ancak daha soyut riskler olarak nitelendirebileceğimiz süreç ve insan odaklı bilgi güvenliği riskleri arka planda kalabilmektedir. Firewall (Güvenlik Duvarı), IPS (Saldırı Önleme Sistemleri), WAF (Web Uygulama Güvenlik Duvarı), DLP (Veri Sızıntısı Engelleme Programı) gibi birçok önlem ile teknoloji kaynaklı bilgi güvenliği risklerini giderebilme gayretindelerdir.

Bilgi güvenliği yönetişimin dört tane temel unsuru üzerinden nasıl daha etkin kullanılacağı belirlenmektedir;

· Üst Yönetim taahhüdü (Desteği, Sorumluluğu)

· Güvenlik vizyonu ve stratejisi

· Bilgi güvenliği yönetimi yapısı

· Eğitim ve farkındalık

Unsurların uygulanmasında ve risklerin yönetiminde; farklı tehdit seviyelerine göre etkin olan ve şirketin karakteristik özelliklerine uyumlu bir güvenlik mimarisi oluşturulmalı, endüstrinin ve düzenlemelerin belirlediği içeriğe göre mevcut durumun ortaya çıkarılması için GAP (boşluk) analizleri yapılmalı, bu analizler içinde bulunulan sektöre göre değerlendirilmeli, iş hedefleriyle uyumlu bir güvenlik stratejisi ve vizyonu oluşturulmalı, bu güvenlik stratejisi ve vizyon eyleme dönüştürülmelidir. Ülkemizde şimdilik eyleme dönüşmesi konusunda eksiklikler bulunmakta, tüm hazırlıklar teoride kalmaktadır.

Bilgi güvenliği yönetişiminin kurumlarda sağlıklı ve verimli gerçekleştirebilmesinin en öncelikli koşulu üst yönetim desteğidir. Bu desteğin Yönetim Kurulu seviyesinde olması gerekmektedir. Ancak üst yönetimin bilgi güvenliğini sahiplenmesi, sorumluluk üstlenmesi, destek vermesi halinde kurumsal bilgi güvenliği yönetişimi sağlanabilecektir. Üst yönetimin sahiplenmesi kadar tüm çalışanların ve diğer paydaşların bilgi güvenliği yönetişimine inanmaları ve sahiplenmeleri gerekmektedir. Kurum çalışanlarının bilgi güvenliği yönetişimine katılımı sadece bilgi güvenliği farkındalığı eğitimlerini almaları ile sınırlı olamaz. Tüm kurum çalışanları ve birimler, iş süreçlerinde bilgi güvenliğine bağımlı hareket etmelidir.

Motivasyon ve farkındalığı artırmak adına yapılabileceklere birtakım örnek vermek gerekirse;

  • Tüm çalışanlara işe başlangıçlarında bilgi güvenliği farkındalığı eğitimleri eksiksiz bir biçimde sınıf içi eğitim olarak verilmelidir. Oyun, yarışma veya e-posta kullanılabilir.
  • Tüm çalışan rol ve sorumluluklarına bilgi güvenliği eklenmelidir. Bilgi güvenliğinin iş süreçlerinin bir parçası olduğu mutlaka aktarılmalı, bilgi güvenliği ilkeleri olmaksızın bir iş sürecinin olmayacağını bilmeleri sağlanmalıdır.
  • Yönetim Kurulu ve üst yönetime bilgi güvenliği farkındalığı mutlaka verilmelidir. Üst Yönetimin sorumluluk alacağı ve destek vereceği bir bilgi güvenlik anlayışı bilgi güvenliği yönetişiminin esasını oluşturur. Bilgi güvenliğinin Yönetim Kurulu ve üst yönetim tarafından desteklendiği, takip edildiği tüm çalışanlara farklı zamanlarda hatırlatılmalıdır.
  • Bilgi güvenliği politikaları, kurumların bilgi güvenliğini ele alışları açısından en önemli dokümandır. Bu nedenle tüm çalışanların okuyup, anlayabilecekleri ve temel esasları içeren özet bilgi güvenliği politika dokümanları hazırlanmalı, bu politikaların tüm çalışanlar tarafından içselleştirilmesi sağlanmalıdır.

Kurumlarda bilgi güvenliğinin sağlanmasının en temel şartlarından biri güvenlik risk analizleridir. ISO 27001 BGYS standardı ile bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamak üzere sistemli, kuralları konulmuş, planlı, yönetilebilir, sürdürülebilir, dokümante edilmiş, yönetimce kabul edilmiş ve desteklenmiş, uluslararası güvenlik standartlarının temel alındığı faaliyetler ele alınmıştır. Esasında ISO 27001 BGYS standardı ile Bilgi Güvenliği Yönetimi (YÖNETİM) üzerinden yönetişim sürecine işaret edilmektedir. Maddelerden herhangi biri için özellikle yönetişimi işaret ettiğini ifade edemeyiz. Standardın tamamı, yönetişim süreci için toplu olarak değerlendirilmelidir. Bu standart içerisinde bilişim güvenliği ile ilgili bazı kurallar ortaya konmuş ve kontrol maddeleri yayınlanmıştır. Bu kontrol maddeleri kurumlarda bilgi güvenliğinin gerçekleşmesi için uygulanması gereken kuralları ortaya koymaktadır. Varlık yönetimi de en önemli süreçlerdendir. Kurum varlıklarının net biçimde tespit edilmesi gerekmektedir. Yukarıda açıkladığımız üzere, kurumlarda yönetişim için her birim aktör konumundadır. Belirleyici üst yönetim olsa da, birimler ve çalışanların her biri sürece dahil olmadan, hiçbir standarda uyum sağlanamayacaktır.

ISO 27001 standardı; kurumlarda bilgi güvenliği yönetim sisteminin kurulmasında kısaca PUKÖ döngüsü adı verilen; “Planla-Uygula-Kontrol Et-Önlem Al” yöntemini esas almaktadır. COBIT 2019 ise, değerlendir, yönlendir ve izle (EDM) yöntemleri ile yönetişimin; uyumlu hale getir, planla ve organize et (APO), yapılandır, tedarik et ve uygula (BAI), teslim, hizmet ve destek (DSS), izle, değerlendir ve tespit et (MEA) yöntemleri ile yönetimin hedef ve alanlarını belirlemektedir. Yönetişim sürecinin aktörleri olarak rol ve organizasyon yapısında kurum planlamasına göre; Yönetim Kurulu, icra kurulundan bilgi teknolojileri üst yöneticisine, kurumsal risk komitesinden mahremiyet yetkilisi ve baş mimara kadar sorumlu, hesap veren, danışılan ve bilgilendirilen yapıların katılım seviyeleri ifade edilmiştir.

Yönetişim uygulamalarında risk yönetimi, bağımsız denetim ve gözden geçirme süreçleri için öncelikli olarak her bir süreç için politika oluşturulmalı ve yalnızca ilgili birimler ile paylaşılmalıdır. (Elektronik posta güvenliği politikası, Firewall politikası, Kimlik doğrulama ve erişim kontrol politikası … ) Bilgiler sınıflandırılmalı ve etiketlendirilmelidir. Bağımsız denetimler için yönetimden ayrı olarak bir denetim birimi kullanılmalı, sıklıkla gözden geçirme faaliyetleri gerçekleştirilmelidir.

SONUÇ;

Etkin bir bilgi güvenliği yönetişimi oluşturabilmek için en önemli unsurun insan faktörü olduğunu belirtmek gerekmektedir. Regülasyon ve standartlara uyum süreçleri, bilgi teknolojilerinin hızla gelişmesi ile sürekli güncellenmektedir. Kurumların sırf bu güncellemelerin takibini yapacak yetkinlikte birimler oluşturması veya profesyonel destek almaları gerekmektedir.

KAYNAKÇA;

COBIT® 2019 Çerçevesi: Yönetişim ve Yönetim Hedefleri ISBN 978-1-60420-808-5,

TS ISO/IEC 27001 Aralık 2013,

Global Teknoloji Denetim Rehberi GTAG 15 Bilgi Güvenliği Yönetişimi Temmuz 2010.

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir