Bilgi Güvenliği Yatırımları Yetersiz

   Denetim ve danışmanlık şirketi Ernst & Young´ın bu yıl 11´incisini düzenlediği "Küresel Bilgi Güvenliği Anketi" sonuçları yayınlandı. Türkiye’nin de içinde bulunduğu 50 farklı ülkede yapılan araştırma sonuçlarına göre, şirketlerin bilgi teknolojileri ve güvenliğine dönük yaptığı yatırımlar arttığı halde hâlâ ihtiyacı karşılamıyor. Ayrıca ankete katılan çoğu katılımcı (yüzde 85), bilgi güvenliğinde yaşanan sorunların şirket itibarını doğrudan etkilediği inancında. Uluslararası denetim ve danışmanlık firması Ernst & Young tarafından, bu yıl 11’incisi düzenlenen ‘Küresel Bilgi Güvenliği Anketi’ sonuçları açıklandı. Bilgi güvenliği alanındaki mevcut duruma ve geleceğe dönük temel etkenlere ışık tutan araştırma, Türkiye’nin de içinde bulunduğu 50’yi aşkın ülke ve çeşitli sektörlerden yaklaşık 1.400 kuruluşun katılımıyla gerçekleşti. Anket sonuçlarına göre, bilgi güvenliğinin doğru uygulanması, şirket itibarını doğrudan etkiliyor. Katılımcıların yüzde 85’i bir bilgi güvenliği ihlali durumunda ortaya çıkan durumun, marka kimliği ve itibarına zarar verdiğini savunurken, yüzde 72’si gelir kaybına neden olduğuna değiniyor. 

Türk yöneticiler yatırımlarını artırdı ama... Araştırmaya katılan şirketlerin dünya çapında sadece yarısı, bilgi güvenliğine dönük yatırımlara ağırlık verdiğini belirtiyor. Ancak Türkiye’deki yöneticilere bakıldığında, ankete katılanların yüzde 73’ünün bu yönde yatırımlarını artırdığını ifade ettiği görülüyor. Güvenlik zaaflarının daha büyük tehditler yaratabileceğine inanan Türk firmaları, yine de mevcut yapılan yatırımın yeterli olmadığı görüşünde birleşiyor. Türkiye’de daha büyük bir yüzdenin, bu yatırımlara inanmasına rağmen rakamsal veriler, Türkiye’de ‘bütçe azlığı’nın daha önemli bir sorun olarak şirketlerin karşısında durduğuna dikkat çekiyor. Söz konusu çoğu Türk yönetici, bilgi güvenliğinin kağıt üzerinde bir zorunluluktan ibaret olmadığını düşünüyor. Türkiye’deki Bilgi Güvenliği Yönetimi Sistemi’ni, ISO 27001 gibi sertifikasyon amacı gütmeden kurduğunu belirtenlerin oranı, ankete katılanların yarısını oluşturuyor. 

İnsan kaynakları sistemleri bilgi güvenliğinin yumuşak karnı Bilgi Güvenliği Anketi 2008’in ortaya koyduğu sonuçlardan biri de, Türk şirketlerinin çoğunlukla ‘bilgi güvenliği’ olgusunu salt ‘teknoloji’ sorunu olarak ele aldıkları yönünde. Genel amaçlı bilgi sistemlerinin kurulumunda bilgi güvenliği birimleri süreçlere büyük oranda dahil olurken, insan kaynakları sistemlerinin kurulumunda katılımın yarı yarıya azaldığı görülüyor. Bu oran dünyada yüzde 69 iken, Türkiye’de yüzde 53 olduğu görülüyor. Bu veriler, pek çok firmada insan kaynakları yazılım uygulamalarının bilgi güvenliği riskleri taşıdığına işaret ediyor. 

Risk güvenliği sorumluları bilgi yönetimi ile ne kadar ilgili? Araştırmanın dünya ve Türkiye bulgularında göze çarpan diğer bir konu da ‘risk yönetiminin bilgi güvenliği stratejilerinde kısıtlı bir rol oynaması. Anket katılımcılarının dünya çapında yüzde 28’i ve Türk yöneticilerin yüzde 31’i, bilgi güvenliği ve risk yönetimi’ sorumlularının bir araya gelmediğini vurguluyor. Dünya genelinde iş sürekliliği planlamasını öncelikle bilgi teknolojileri yönetiminin sorumluluk alanı olarak değerlendirenlerin oranı yüzde 41 iken, Türkiye ortalaması yüzde 67 olarak ortaya çıkıyor. Yine genel risk yönetimi çerçevesinde ele alınmayan iş sürekliliği planlamasının başarısının bu nedenle sınırlı olduğu görülüyor. Ankete katılan şirketlerin çoğunluğunun kriz yönetimi için komuta odalarının hazır olmadığını ifade ederken, Türk şirketlerinin yalnızca yüzde 31’inin bu konuda hazırlıklı olduğu vurgulanıyor. İş sürekliliği planlarını sınayan firma sayısı, dünyada yüzde 26 iken, Türkiye’de yüzde 18 oranını aşamıyor. 

Üçüncü partilere yönelim arttı Dünyaya bakıldığında ankete katılan şirketlerin yüzde 45’inin bilgi güvenliği çalışmalarını üçüncü partilere devretmeye başladıkları görülüyor. Yurtdışına nazaran Türkiye’deki firmalar, hizmet satın aldıkları şirketlerin bağımsız denetçiler tarafından verilen SAS 70 güvence raporunu almış olmalarını beklemiyorlar ve hatta bu konuda bilinç sahibi değiller. Oysa yine rapor gösteriyor ki, üçüncü parti firmalarıyla yapılan çalışmalarda yaşanan veri ve bilgi kaybı olayları artıyor. Tedarikçilerden söz konusu raporu talep eden şirketlerin dünya ortalamasının üçte biri civarında olduğu görülüyor.

Saygılar.

Yazar	Mesaj Konu Arama Konu SeÃ§enekleri YanÄ±t Yaz Yeni Konu OluÅŸtur Konuyu YazdÄ±r Translate Konu
megabros Ãœye Profili Ã–zel Mesaj Yolla Ãœyenin MesajlarÄ±nÄ± Bul ArkadaÅŸ Listeme Ekle Security Professional KayÄ±t Tarihi: 08-06-2009 Konum: Turkey Status: Aktif DeÄŸil Points: 752	Mesaj SeÃ§enekleri YanÄ±t Yaz AlÄ±ntÄ± megabros Bu mesaj kurallara aykÄ±rÄ±ysa buradan yÃ¶neticileri bilgilendirebilirsiniz. Thanks(0) AlÄ±ntÄ± Cevapla Konu: Bilgi Güvenliği Yatırımları Yetersiz GÃ¶nderim ZamanÄ±: 06-04-2010 Saat 12:47
	Denetim ve danışmanlık şirketi Ernst & Young´ın bu yıl 11´incisini düzenlediği "Küresel Bilgi Güvenliği Anketi" sonuçları yayınlandı. Türkiye’nin de içinde bulunduğu 50 farklı ülkede yapılan araştırma sonuçlarına göre, şirketlerin bilgi teknolojileri ve güvenliğine dönük yaptığı yatırımlar arttığı halde hâlâ ihtiyacı karşılamıyor. Ayrıca ankete katılan çoğu katılımcı (yüzde 85), bilgi güvenliğinde yaşanan sorunların şirket itibarını doğrudan etkilediği inancında. Uluslararası denetim ve danışmanlık firması Ernst & Young tarafından, bu yıl 11’incisi düzenlenen ‘Küresel Bilgi Güvenliği Anketi’ sonuçları açıklandı. Bilgi güvenliği alanındaki mevcut duruma ve geleceğe dönük temel etkenlere ışık tutan araştırma, Türkiye’nin de içinde bulunduğu 50’yi aşkın ülke ve çeşitli sektörlerden yaklaşık 1.400 kuruluşun katılımıyla gerçekleşti. Anket sonuçlarına göre, bilgi güvenliğinin doğru uygulanması, şirket itibarını doğrudan etkiliyor. Katılımcıların yüzde 85’i bir bilgi güvenliği ihlali durumunda ortaya çıkan durumun, marka kimliği ve itibarına zarar verdiğini savunurken, yüzde 72’si gelir kaybına neden olduğuna değiniyor. Türk yöneticiler yatırımlarını artırdı ama... Araştırmaya katılan şirketlerin dünya çapında sadece yarısı, bilgi güvenliğine dönük yatırımlara ağırlık verdiğini belirtiyor. Ancak Türkiye’deki yöneticilere bakıldığında, ankete katılanların yüzde 73’ünün bu yönde yatırımlarını artırdığını ifade ettiği görülüyor. Güvenlik zaaflarının daha büyük tehditler yaratabileceğine inanan Türk firmaları, yine de mevcut yapılan yatırımın yeterli olmadığı görüşünde birleşiyor. Türkiye’de daha büyük bir yüzdenin, bu yatırımlara inanmasına rağmen rakamsal veriler, Türkiye’de ‘bütçe azlığı’nın daha önemli bir sorun olarak şirketlerin karşısında durduğuna dikkat çekiyor. Söz konusu çoğu Türk yönetici, bilgi güvenliğinin kağıt üzerinde bir zorunluluktan ibaret olmadığını düşünüyor. Türkiye’deki Bilgi Güvenliği Yönetimi Sistemi’ni, ISO 27001 gibi sertifikasyon amacı gütmeden kurduğunu belirtenlerin oranı, ankete katılanların yarısını oluşturuyor. İnsan kaynakları sistemleri bilgi güvenliğinin yumuşak karnı Bilgi Güvenliği Anketi 2008’in ortaya koyduğu sonuçlardan biri de, Türk şirketlerinin çoğunlukla ‘bilgi güvenliği’ olgusunu salt ‘teknoloji’ sorunu olarak ele aldıkları yönünde. Genel amaçlı bilgi sistemlerinin kurulumunda bilgi güvenliği birimleri süreçlere büyük oranda dahil olurken, insan kaynakları sistemlerinin kurulumunda katılımın yarı yarıya azaldığı görülüyor. Bu oran dünyada yüzde 69 iken, Türkiye’de yüzde 53 olduğu görülüyor. Bu veriler, pek çok firmada insan kaynakları yazılım uygulamalarının bilgi güvenliği riskleri taşıdığına işaret ediyor. Risk güvenliği sorumluları bilgi yönetimi ile ne kadar ilgili? Araştırmanın dünya ve Türkiye bulgularında göze çarpan diğer bir konu da ‘risk yönetiminin bilgi güvenliği stratejilerinde kısıtlı bir rol oynaması. Anket katılımcılarının dünya çapında yüzde 28’i ve Türk yöneticilerin yüzde 31’i, bilgi güvenliği ve risk yönetimi’ sorumlularının bir araya gelmediğini vurguluyor. Dünya genelinde iş sürekliliği planlamasını öncelikle bilgi teknolojileri yönetiminin sorumluluk alanı olarak değerlendirenlerin oranı yüzde 41 iken, Türkiye ortalaması yüzde 67 olarak ortaya çıkıyor. Yine genel risk yönetimi çerçevesinde ele alınmayan iş sürekliliği planlamasının başarısının bu nedenle sınırlı olduğu görülüyor. Ankete katılan şirketlerin çoğunluğunun kriz yönetimi için komuta odalarının hazır olmadığını ifade ederken, Türk şirketlerinin yalnızca yüzde 31’inin bu konuda hazırlıklı olduğu vurgulanıyor. İş sürekliliği planlarını sınayan firma sayısı, dünyada yüzde 26 iken, Türkiye’de yüzde 18 oranını aşamıyor. Üçüncü partilere yönelim arttı Dünyaya bakıldığında ankete katılan şirketlerin yüzde 45’inin bilgi güvenliği çalışmalarını üçüncü partilere devretmeye başladıkları görülüyor. Yurtdışına nazaran Türkiye’deki firmalar, hizmet satın aldıkları şirketlerin bağımsız denetçiler tarafından verilen SAS 70 güvence raporunu almış olmalarını beklemiyorlar ve hatta bu konuda bilinç sahibi değiller. Oysa yine rapor gösteriyor ki, üçüncü parti firmalarıyla yapılan çalışmalarda yaşanan veri ve bilgi kaybı olayları artıyor. Tedarikçilerden söz konusu raporu talep eden şirketlerin dünya ortalamasının üçte biri civarında olduğu görülüyor. Saygılar.