ISO/IEC 27001:2005 ve Bilgi Güvenliği Yönetişimi ; Türkiye Analizi !

Bilgi güvenliği yönetişimi, kurumsal yönetişimin (Corporate Governance) önemli bir parçası olarak değerlendirilmekte ve bunu konu alan akademik çalışmalar yapılmaktadır. (5, 7, 8) Bu makalenin konusu kurumsal yönetişim olmamakla beraber, konu hakkındaki yasalardan ve çalışmalardan kısaca bahsetmek yerinde olacaktır. Gelişmiş ülkelerde kurumsal yönetişim ile ilgili düzenleyici yasalar bulunmaktadır. Amerika Birleşik Devletleri’nden yürürlükte olan Sarbanes-Oxley (SOX), Gramm-Leach-Bliley ve Health Insurance Portability and Accountability (HIPAA) yasaları buna örnek olarak verilebilir. (14, 15, 16) Kurumsal yönetişim konusunda uluslararası organizasyonlar ve gelişmiş ülkelerdeki kamu kurumları tarafından yapılmış çalışmalar ve raporlar bulunmaktadır. 1992 senesinde yayınlanan Cadbury Raporu (17) ve ilki 1994 senesinde yayınlanan ardından 2002 senesinde güncellenen King Raporu (18) bu raporlara birer örnek olarak verilebilir.

Bilgi güvenliği yönetimi (Information Security Management), bilgi güvenliği yönetişimi ile karıştırılabilmektedir. ISO/IEC 27001:2005 (20) standardı bilgi güvenliği yönetimini gerçeklemek için kullanılan en önemli ve yaygın standarttır. ISO/IEC 27001:2005 kılavuzluğunda oluşturulan bilgi güvenliği yönetimi altyapısı Bilgi Güvenliği Yönetim Sistemi (BGYS) olarak adlandırılmaktadır. Bilgi güvenliği yönetişiminin kavrandığı ve uygulandığı kurumlarda, kurumsal çapta BGYS kurmak ve işletmek oldukça kolay olmaktayken, bilgi güvenliği yönetişimin uygulanmadığı kurumlarda ise BGYS bir bilgi işlem faaliyeti olarak algılanmakta ve kurumsal başarı, verim ve güvenlik sağlanamamaktadır. Makale içerisinde bu konuya ayrıntılı olarak değinilmiştir.

2.  Bilgi Güvenliği Yönetişimi

Bu bölümde ilk olarak bilgi teknolojilerinin geçmişteki ve günümüzdeki yaygınlığı konusuna değinilmiş ve aradaki büyük farka dikkat çekilmiştir. Ardından bilgi teknolojileri yönetişimi ve bilgi güvenliği yönetişimi kavramları tanımlanmıştır. Ardından, bilgi güvenliği yönetişiminin modellendiği bir akademik yayındaki modele ve pratik bir örneğe yer verilmiştir. Bilgi güvenliği yönetişimi için yasal altyapının önemi vurgulanmıştır. ISO/IEC 27001:2005 standardı ile bilgi güvenliği yönetişimi kavramı karşılaştırılmış ve sonuçları özetlenmiştir. Son olarak bilgi güvenliği yönetişimi ile ilgili bir anket oluşturulmuş ve kurum yöneticilerinin dikkatine sunulmuştur.

2.1 Dünümüz ve Bugünümüz

Bilgi teknolojilerinin yaygın şekilde kullanımı bilgi güvenliği yönetişimi kavramını ortaya çıkarmıştır. Bilgi teknolojilerinin yaygınlaşmadığı yıllarda kurumlar birçok iş sürecini kağıt ortamında gerçeklemekteydi. Günümüzde ise bir kurumun hemen hemen tüm iş süreçlerinde bilgi teknolojileri kullanılmaktadır. Bilginin çok büyük bir bölümü elektronik ortamda tutulmakta ve işlenmektedir. Şekil-1 ve Şekil-2’de bu durum basit şekiller ile resmedilmiştir.

Şekil-1’de bilgi teknolojilerinin yaygınlaşması öncesindeki durum resmedilmiştir. Buna göre, bilgi teknolojileri ile kesişmeyen veya çok az oranda kesişen kurumsal süreçler bulunmaktaydı. Bu yıllarda havale işleminin uzun süre almasının ve bu işlemden çok fazla masraf alınmasının nedeni Şekil-1’de resmedilen durumdur.

Şekil-2’de bugünkü durum kavramsal olarak gösterilmiştir. Günümüzde, tüm kurumsal süreçler büyük oranlarda bilgi teknolojileri ile kesişmekte, hatta tamamı bilgi teknolojiler ile gerçeklenen kurumsal süreçler bulunmaktadır. Böylece, sanal şubelerle saniyeler içerisinde ve masrafsız para havalesi yapmak olanaklı duruma gelmiştir.

Şekil 2: Bilgi sistemlerinin yaygın kullanımı sonrası

2.2 Bilgi Teknolojileri Yönetişimi (Information Technology Governance)

Yeri gelmişken bilgi teknolojileri yönetişimi kavramından söz edilebilir. İş süreçlerinin çok büyük oranlarda bilgi teknolojileri ile gerçeklenmesi kurumların varlığının ve başarısının bilgi teknolojilerine doğrudan bağlı olması manasına gelmektedir. Geçmiş senelerdekinin aksine bilgi teknolojileri kurumlar için bir masraf kapısı değil, bir fırsat kapısı olarak değerlendirilmektedir. Kurumlar bilgi teknolojilerine ne kadar çok yatırım yaparlarsa, o kadar çok bilgi teknolojilerinin sunduğu imkânlardan faydalanmakta ve bu fayda kuruma kâr olarak geri dönmektedir. Gerekli yerlerde bilgi teknolojilerini kullanmayan kurumlar market avantajlarını kaybetmekte ve düzgün hizmet verememektedir. O halde kurumların üst düzey yöneticileri bilgi teknolojilerinin kullanımı konusunda kararlar vermekle ve iş ihtiyaçları ile bilgi teknolojilerini hizalamakla sorumludurlar. Bu sorumluluk, bilgi teknolojileri yönetişimi kavramını tanımlamaktadır. BT yönetişimi konusunda en kapsamlı ve yaygın olarak kullanılan kaynak COBIT’tir. (21)

2.3 Bilgi Güvenliği Yönetişimi

Bilgi teknolojileri söz konusu olduğu zaman kaçınılmaz olarak bilgi teknolojilerinden kaynaklanan riskler akla gelmektedir. Kâğıt ortamında gerçekleştirilen iş süreçleri için söz konusu olabilecek en önemli risk fiziksel kaynaklı (örn: hırsızlık) risklerdir. Sonuç olarak bilgi teknolojilerinin yaygınlaşması öncesinde kurumların fiziksel bazı güvenlik önlemlerini uygulaması risklerin büyük kısmını kapatmaktaydı. Bilgi teknolojileri ise risk çeşidini artırmakta, riskin gerçekleşmesini kolaylaştırmakta ve riskin gerçekleşmesi durumundaki etki seviyesini artırmaktadır. Çünkü bilgi teknolojileri, bilgiye uzaktan erişime imkan verir, bilginin birçok kopyasının kolaylıkla oluşmasını sağlar, merkezi olarak çok fazla sayıda bilginin tek noktada depolanmasına imkan verir, bilinçli ve bilinçsiz bir şekilde bilgiyi değiştirmek, silmek, kopyalamak gibi işlemlerin kolaylıkla yapılmasını sağlar. Bilgi teknolojileri bilgiye sadece kurum içinden değil, kurum dışından da erişimlere imkân verir. Sonuç olarak, bilgi teknolojileri yaygınlaşmasından önce bankalardan yasadışı para almanın tek yolu fiziksel araçlardan geçerken, günümüzde ise beyaz yakalılar internet ortamını kullanarak bunu yapabilmektedir.

Bilgi teknolojileri kurumların iş süreçlerinin hemen hemen hepsinin gerçekleşmesinde büyük pay sahibi olduğu için bu teknolojilerden kaynaklanan riskler de iş süreçlerini kötü yönde etkileyen etkenler olarak karşımıza çıkmaktadır. O halde bilgi teknolojileri ile ilgili riskleri düşürmek kurumun üst düzey yöneticisinin sorumluluğunda olması gerekmektedir. Bilgi güvenliği yönetişiminin en önemli unsuru üst düzey yönetimin bizzat bilgi güvenliğinden sorumlu olmasıdır. Bilgi teknolojilerinden kaynaklanan riskler dendiği zaman sadece gizlilik ihlali, web sitelerinin kırılması gibi olaylar akla gelmemelidir. Bilgi teknolojilerinde meydana gelen arızalar sonucu kurumun gerekli hizmetlerini verememesi de önemli bir risktir.

Bilgi güvenliği yönetişiminin gerekliliğini anlamak için bilgi güvenliği risklerinin kapsamını çizmek faydalı olacaktır. Bilgi güvenliğinin küçük bir kısmı teknoloji ile ilgilidir, çok daha büyük kısmı ise personel ve süreçler ile ilgilidir. Teknoloji ile ilgili riskler genellikle bilgi güvenliği yönetişimi çerçevesine ihtiyaç duymadan seviyesi düşürebilecek risklerden oluşurken, personel ve süreçler ile ilgili riskler ise genellikle bilgi güvenliği yönetişimi çerçevesinde seviyeleri düşürülebilecek risklerden oluşmaktadır. Bu nedenle, birçok kurumda standart güvenlik önlemleri (güvenlik duvarı, antivirüs vb.) tedarik edilip kullanılırken, bu karşı önlemlerin etkinliği (kuralların düzgün girilmesi, sistem günlüklerine bakılması, sistemlerin prosedürlere göre işletilmesi, sistemler üzerinde iç denetim yapılması vb.) konusunda sıkıntılar yaşanmaktadır. Örneği daha ayrıntılı açıklamak gerekirse: kurum bilgi sistemlerini dış saldırılardan korumak için tedarik edilip kurulan bir güvenlik duvarı bilgi güvenliğinin teknolojik yönünü yansıtmaktadır. Ancak, işletmenler tarafından güvenlik duvarına gerekli olan kuralların girilmemesi veya bilgisayar kullanıcıların modem gibi cihazlar yoluyla internete çıkmaları bu teknolojik önlemden beklenen faydayı sıfıra indirir. Bu nedenle, işletim prosedürlerinin oluşturulması ve takip edilmesi, iç denetimler yapılması, kurum bilgisayar kullanıcılarının uyması gereken prensiplerin yer aldığı politika dokümanlarının oluşturulması, disiplin sürecinin işlemesi gibi teknolojik olmayan birçok karşı önlem gerekmektedir.

Sonuç olarak, iş süreçlerinin büyük bir kısmının bilgi teknolojileri yardımıyla gerçeklenmesi bilgi güvenliğini çok yönlü bir hale getirmiştir. Geçmişte yapılan kağıt tabanlı işlemlerin bilgisayarlar vasıtası ile yapılması birçok risk kaynağı oluşturmaktadır. Bu riskler,

1. Teknolojik,
2. Personel ile ilgili,
3. Fiziksel
4. Dokümantasyonla ilgi
5. Süreçler ile ilgili karşı önlemler ile düşürülmelidir.

Bilgi güvenliğini sağlamak için sadece teknolojik karşı önlemler değil, insanları ve iş süreçlerini ilgilendiren karşı önlemler de uygulanmalıdır. Bilgi güvenliği sadece teknolojik karşı önlemler ile sağlansaydı, bilgi işlem yöneticisinin sorumlu olması yeterli olacaktı. Ancak, kurumdaki personeli ve süreçleri de içine alınan karşı önlemler gerekli olduğu için kurumun yöneticisinin bilgi güvenliğinden sorumlu olması gerekmektedir.  Teknolojik bir karşı önlem (yazılım/donanım) için de, maliyeti yüksek olması gibi nedenlerden dolayı kurum yöneticisinin onayının gerekebileceği unutulmamalıdır.

2.4 Örnek Bir Bilgi Güvenliği Yönetişim Modeli

Bu başlık altında, bilgi güvenliği yönetişimini konu alan akademik yayınlardan bir tanesinde (3) tanımlanıp yer verilen bilgi güvenliği yönetişim modeli özet olarak anlatılmıştır. Akademik yayında tanımlanan modelin temelini King Raporu’ndaki (18) “yönlendir” ve “kontrol et” aktiviteleri oluşturmaktadır. (18) Çalışmada tanımlanan bilgi güvenliği yönetişim modeli Şekil-3’de gösterilmiştir. Solms’un bu çalışmasında, kurum içerisindeki yönetim seviyeleri stratejik, taktik ve operasyonel seviyeler olmak üzere üç seviyede ele alınmıştır. Stratejik seviyede kurumun üst düzey yöneticisi, taktik seviyede orta seviye yöneticileri ve operasyonel seviye de alt seviye yöneticileri yer almaktadır. Bu yönetim kademelerinde “yönlendir” ve “kontrol et” aktiviteleri aşağıdaki şekilde işler:

En üst seviyede yönlendir aşamasında, bilgi güvenliği ile ilgili direktifler (stratejiler) belirlenir, söz konusu stratejiler bir alt seviyedeki yönetim tabakasına girdi olarak verilir. Taktik seviyede söz konusu direktifler politika ve kurumsal standart haline getirilir. Alt seviyedeki yöneticiler ise bu politika ve standartlara göre prosedürleri hazırlarlar. Bilgi güvenliği faaliyetleri hazırlanmış olan prosedürlere göre gerçekleştirilir.

Kontrol etme aşamasında ise operasyonel seviyede işlemlerin prosedürlere göre yapılıp yapılmadığı alt seviye yöneticiler tarafından kontrol edilir. Taktik seviyede, bir alt seviyedeki prosedürlerin politika ve standartlara uyumluluğu orta seviye yönetim tarafından kontrol edilir. Stratejik seviyede ise ilgili direktiflerin ne derece yerine getirildiği ve politikaların stratejilerle uyumu üst düzey yönetici tarafından kontrol edilir.

Şekil 3: Yönlendirme ve kontrol etme döngüsünün kullanıldığı bir bilgi güvenliği yönetişim modeli

2.5 Bilgi Güvenliği Yönetişimi-Pratik Bir Yaklaşım

Bu bölümde, kurumların başına gelebilecek örnek bir güvenlik ihlal olayına ve sonrasında kurum yöneticisi tarafından yapılabilecek eylemlere yer verilmiştir. Güvenlik olayı: kurumun yöneticisi olarak bir gece yarısı kurumunuzun web sitesine girdiniz ve web sitenizin içeriğinin değiştirilmiş olduğunu gördünüz. Bu noktadan sonra ne yapardınız?

Şekil 4: İçeriği değiştirilmiş bir kurum internet sayfası

Eğer herhangi bir girişimde bulunmazsanız, bilgi güvenliği yönetişimi kapsamında alınması gereken çok yolunuzun olduğu söylenebilir.

Eğer konunun üzerine biraz düşerseniz, kurum yöneticisi olarak bilgi işlem birimi yetkilisini sözlü olarak uyarabilirsiniz. Mevzuatta veya kurum politikasında ilişkili bir madde bulabilirseniz personele ceza verebilirsiniz. Bazı kişileri görevden alabilirsiniz veya görev değişikliği yapabilirsiniz. Ancak, kısa vade çözümler internet sayfasının tekrar kırılmayacağı manasına gelmemektedir. Bu çözümler kurumda bilgi güvenliği yönetişiminin tam olarak algılandığını göstermez. Bunlar reaktif tepkilerdir. Bilgi güvenliği yönetişimi için proaktif tepkiler gerekmektedir.

Orta/uzun vade çözümler ise bilgi güvenliği yönetişiminin gerçekten uygulanmaya başladığının somut bir göstergesidir. Bu çözümler kısa vadeli çözümlere göre çok daha fazla etkili olan proaktif çözümlerdir. Orta/uzun vade çözümler içerisinde:

1. Program yazan personelin güvenli program yazımı ile ilgili kurslara ve sertifikasyon programlarına gönderilmesi,
2. İnternet sayfasının barındırıldığı web sunucunun yazılı ve onaylı prosedürlere güvenlik sıkılaştırmalarının yapılması,
3. Güvenlik duvarı ve web sunucu günlüklerine düzenli olarak bakılmasının sağlanması  ve bu işlem için de yazılı prosedürlerin kullanılması,
4. Bilgi işlem biriminin düzenli olarak iç denetimden geçirilmesi

örnek olarak verilebilir.

2.6 Yasal Altyapının Önemi

Kurumlar için bilgi güvenliği yönetişim altyapısını oluşturmanın en önemli ve kaçınılmaz yolu gerekli bilgi güvenliği yasalarını çıkarmaktan geçmektedir. Ülkedeki tüm kamu kurumlarının ve özel sektörün uyması gereken bilgi güvenliği kurallarının yer aldığı, teknoloji bağımsız, “Nasıl?” sorusuna değil, “Ne?” sorusuna yanıt veren bir bilgi güvenliği kanunu olmaksızın kurumlardan yönetişim konusunda başarı beklememek gerekir. Türkiye’de de gerek kamu kurumlarında gerekse özel sektörde bilgi güvenliği yönetişimi bu nedenle tam manasıyla algılanıp uygulanamamaktadır. Kurumsal yönetişim için de aynı şeyler söylenebilir. Örneğin ABD’de kurumsal yönetişim ile ilgili ilkeleri ortaya koyan SOX (14) ve bilgi güvenliği yönetişimi ile ilgili FISMA (1) kanunları çıkartılmış ve uygulamaya konulmuştur. Türkiye’de ise bu konuda yasal bir düzenleme bulunmamaktadır.

Bu durumda, kurumlar için ISO/IEC 27001:2005 standardı çerçevesinde kurumsal çapta bir Bilgi Güvenliği Yönetim Sistemi oluşturmak ve işletmek oldukça zor olmaktadır. Bu nedenle, yönetişim konusunda yasal altyapının oluşturulmasına müteakip BGYS uygulamalarının hız ve verimlilik kazanacağı değerlendirilmektedir. ISO/IEC 27001:2005 ile ilgili daha ayrıntılı değerlendirmelere bir sonraki bölümde yer verilmiştir.

2.7 ISO/IEC 27001:2005 Analizi

ISO/IEC 27001:2005 standardı ile bilgi güvenliği yönetişimi arasında yapılan fark analizi sonucunda ilk göze çarpan sonuçlara bu bölümde yer verilmiştir.

Yapılmış olan bu fark analizinin amacı ISO/IEC 27001:2005’in bilgi güvenliği yönetişimi dalında eksik kaldığını belirtmek değil, bilgi güvenliği yönetişimi algılanmaksızın standart kapsamında bir BGYS kurmanın zorluğunu ortaya k****ktır. Bilgi güvenliği yönetişimi konusunda belli bir algılamanın olduğu kurumlarda ISO/IEC 27001:2005 standardı çerçevesinde bir BGYS’nin çok kısa zamanda kurulması ve başarı ile işletilmesi beklenen ve doğal bir sonuçtur. Yasal altyapı olmaksızın, ISO/IEC 27001:2005 standardı çerçevesinde BGYS kurulması esnasında yaşanabilecek sorunlar 2.7.3 başlığı altında irdelenmiştir.

Standarda bilgi güvenliği yönetişimi penceresinden bakıldığı zaman, iki temel fark göze çarpmaktadır. Bunlardan birincisi standarttaki görevlerin tamamının “yönetim” kademesine verilmesi ve yönetim kademeleri arasında bir ayrım yapılmamasıdır. İkinci fark ise, bilgi güvenliği ile kurumsal strateji arasındaki uyumluluk konusunda standartta çok az miktarda bilgi bulunmasıdır.

2.7.1 Yönetim Sorumlulukları

Bir kurumda, değişik kademelerde yönetim birimleri bulunmaktadır. Kamu kurumlarında, müsteşar, genel müdür veya başkan üst düzey yönetici olabilmektedir. Bunların altında, daire başkanları, daha alt seviyede şube müdürleri yer almaktadır. Özel sektörde ise yönetim kurulu, yürütme kurulu, orta seviye yönetim, CEO (Chief Executive Officer), CISO (Chief Information Security Officer), CFO (Chief Financial Officer), CSO (Chief Security Officer) , CRO (Chief Risk Officer), CIO (Chief Information Officer) gibi yönetim kademeleri yer almaktadır.
ISO/IEC 27001:2005 standardında yönetim ile ilgili tüm sorumlulukların tanımlanmasında “yönetim” kelimesi kullanılmıştır. Ancak, hangi yönetim kademesinin söz konusu sorumluluğa sahip olduğu konusunda herhangi bir rehberlik yer almamaktadır. ISO/IEC 27001:2005 standardından bu konuda bir rehberlik de beklenmemesi gerekmektedir. Bilgi güvenliği yönetişimin algılanıp uygulandığı kurumlarda bu konuda ekstra bir rehberliğe ve yönlendirmeye ihtiyaç olmaksızın gerekli rol ve sorumluluk paylaşımlarının yapılması beklenir.

ISO/IEC 27001:2005 standardında yönetim kelimesinin kullanıldığı yerler ve kısa açıklamaları Tablo-1’de verilmiştir. Daha ayrıntılı bilgi için standardın okunması tavsiye edilir.

Tablo 1: ISO/IEC 27001:2005’de geçen yönetim sorumlulukları

2.7.2 Bilgi Güvenliği ile Kurum Stratejisinin Uyumu

Bilgi güvenliği ve kurumsal stratejinin uyumu bilgi güvenliği yönetişiminin en önemli bileşenlerinden biridir. ISO/IEC 27001:2005’in giriş kısmında “bir kuruluş için BGYS’nin benimsenmesi stratejik bir karar olmalıdır” ifadesi yer almaktadır. Bilgi güvenliği yönetişimin uygulandığı kurumlarda bu ifadenin zaten uygulanması beklenir. Bilgi güvenliği yönetişimin uygulandığı bir kurumda BGYS olmasa bile, “bilgi güvenliği stratejik bir karar neticesinde” benimsenecektir. Bunun ardından BGYS çok kolay bir şekilde kurulup işletilebilecektir. Bilgi güvenliği yönetişiminin uygulanmadığı kurumlarda ise BGYS’nin stratejik bir karar neticesinde benimsenmesi çok nadir görülecek bir durumdur.

2.7.3 Bilgi Güvenliği Yönetişimi ve ISO/IEC 27001:2005

Bilgi güvenliği yönetişimi konusunda yasal bir düzenleme ve zorunluluk olmaması ülkemizde faaliyet gösteren kamu kurumları ve özel sektörde bilgi güvenliği yönetişiminin çok az sayıdaki kurumda uygulanmasına yol açmaktadır. Yasal eksiklik, bilgi güvenliği yönetiminin uygun bir şekilde yapılandırılmasına da engel olmaktadır. Bu durumda, Bilgi Güvenliği Yönetim Sistemi kurmak isteyen kurumlarda görev yapan yönetici ve personelde genellikle aşağıdaki yanlış algılamalar olmaktadır:

1. BGYS’nin kapsamı bilgi işlem birimidir.
2. BGYS’yi kurmaktan ve yürütmekten sorumlu üst düzey yönetici bilgi işlem birimi başkanıdır.
3. BGYS bir bilgi teknolojileri projesidir.
4. BGYS’nin sadece ve doğrudan bilgi işlem birimi ile bağlantısı vardır.
5. BGYS’nin sadece ve doğrudan güvenlik teknolojileri ile bağlantısı vardır.
6. BGYS bir yazılım/donanım/servis tedarik projesidir.
7. BGYS, tamamen başka bir kuruma yaptırılabilen bir projedir.

Bu cümlelerin doğrusu ise şu şekilde olmalıdır:

1. BGYS’nin kapsamı nihai olarak kurumun tamamıdır.
2. BGYS’yi kurmaktan ve yürütmekten sorumlu yönetici kurumun en üst düzey yöneticisidir.
3. BGYS bir bilgi teknolojileri projesi değildir. Bir bilgi güvenliği projesidir.
4. BGYS’nin kurumun tüm birimleri ve süreçleri ile ilişkisi vardır.
5. BGYS kapsamında güvenlik teknolojilerinden faydalanılır.
6. BGYS kapsamında yazılım/donanım/servis tedariki yapılabilir.
7. BGYS kurulması için başka bir kurumdan danışmanlık hizmeti alınabilir. Ancak BGYS’yi asıl kurması gereken kurumun kendisidir.

ISO/IEC 27001:2005 standardı, bilgi güvenliği yönetişiminin kurumda olduğunu varsayarak bilgi güvenliği yönetiminin oluşturulmasına dair yapılması gerekenleri içermektedir. Bu durumda, bilgi güvenliği yönetişimi kavramının algılanmadığı bir kurum her ne kadar BGYS işletmek ve sertifika almak istese de, bu istek genellikle bilgi işlem birimi içerisinden gelecek, yapılacak olan çalışmalar genellikle bilgi işlem sınırlarını aşamayacak, bu nedenle de BGYS projeleri sürdürülemeyecek veya düzgün bir şekilde sonlandırılamayacaktır.

2.8 Bilgi Güvenliği Yönetişim Anketi

Bilgi güvenliği yönetişiminin gereğinin yapıldığı bir kurumun yöneticinin aşağıdaki listelenmiş olan soruların tamamına olumlu yanıt vermesi beklenir. (6) Sorulara verilen olumsuz yanıtlar kurumda bilgi güvenliği konusunda çok temel eksikliklerin olduğu gösterir. Ülkemizde kamu kurumlarının ve özel sektörün büyük çoğunluğunun bu soruların tamamına olumlu ve doyurucu yanıt vermesi için bilgi güvenliği yönetişimi ile ilgili yasaların hazırlanıp yürürlüğe girmesi gerekmektedir.

Soru-1: Bilginin kritik derecede önemli bir varlık olduğunu kabul ediyor musunuz?

Soru-2: Bilgi varlıklarınızı etkileyebilecek riskleri ortaya k****k için kurumsal çapta bir risk analizi yapıldı mı?

Soru-3: Ortaya konan riskleri kabul edilebilir bir seviyeye düşürmek için kararlılığınız var mı?

Soru-4: Kurumsal çapta etkin bir bilgi güvenliği politikası oluşturulmasını ve bu politikanın kuruma yayılmasını sağladınız mı?

Soru-5: Bilgi güvenliği için bütçe, personel gibi kaynakları sağladınız mı?

Soru-6: Politikaların bir alt seviyesinde yer alan ve işleyin nasıl yapılacağını tanımlayan prosedür ve kılavuzların varlığını kontrol ettiniz mi?

Soru-7: Politika ve prosedürlerin düzgün aralıklarda ve gerektiğinde güncellenmesini sağlıyor musunuz?

Soru-8: Bilgiyi işleyen tüm kurum personelinin bilgi güvenliği konusunda çalışma alanına uygun eğitimleri almasını sağladınız mı?

Soru-9: Her türlü güvenlik önleminin etkinliği ve güncelliğinin iç denetimler yardımıyla kontrol edilmesini sağlıyor musunuz?

3.  Sonuç

Eğer önümüzdeki yıllarda ülkemizde bilgi güvenliği yönetişim altyapısını zorunlu hale getiren bir yasal düzenleme yapılırsa, uygulamada bunun ilk yansıması alt seviyeden kurum yönetimine doğru bir bilgilendirme koridorunun oluşturulması olacaktır. Kurum yöneticisinin sorumluluğundaki riskler için gerekli direktifleri verebilmesi için alt seviyedeki bir birimin bilgilendirme yapması gerekecektir. Akademik kaynaklarda bu birimin denetleme komitesi olabileceği belirtilmektedir. (7)

Yapılan bilgilendirme kapsamında aşağıdaki hususlara yer verilebilir:

1. Riskin miktarı, yaygınlığı, senelik beklenen zarar
2. Kurumun güvenlik gereksinimleri
3. Alınacak karşı önlemin maliyeti
4. Karşı önlemin kurum içerisinde uygulanabilirliği
5. Yasal zorunluluklar

Bilgilendirmenin ardından, üst düzey yöneticiden bilgi güvenliği ile ilgili konuda karar vermesi ve önlem alınmasına karar verirse önlem hakkındaki direktiflerini yazılı olarak ilgili birim yöneticine bildirmesi beklenecektir. Ülkemizde kısa süre içerisinde bilgi güvenliği yönetişimi ile ilgili bir yasal altyapının oluşturulması ve bu bölümde belirtilen çalışma mekanizmasının gerçekleşmesi ümidiyle…