Bilgi Güvenliði olgunluk seviyesi, bir firmanýn bütün çalýþanlarý, iþleyiþleri ve varlýklarýyla beraber bilgi güvenliði konusundaki bilgi ve durumunu belirten seviyedir. Bilgi Güvenliði olgunluk seviyesinin belirlenmesi, þu anki durumu göz önüne alarak ileride ne gibi deðiþiklikler yapýlmasý gerektiðini planlamamýza yardýmcý olur.
Bilgi Güvenliði Olgunluk Modeli
Bilgi Güvenliði Yönetim Sistemi risk temelli bir yönetim sistemidir. Sistemin temelinde varlýklarýn belirlenmesi, varlýklara yönelik tehditlerin ve risklerin tespit edilmesi, tespit edilen bu risk ve tehditlerin bertarafýna yönelik kontrollerin atanmasý ve nihayet bu kontrollerin üst yönetim tarafýndan belirlenmiþ politikalarla desteklenmesi yatmaktadýr. Belirtilen bu özet süreç, daima canlý tutulmalýdýr. Çünkü Bilgi Güvenliði Yönetim Sistemi, bir kere kurulup býrakýlacak bir sistem deðildir. PUKÖ döngüsünü devam ettirecek faaliyetleri firmalarýn gerçekleþtirmesi gerekmektedir. Bu da firmalarýn kendi seviyelerini tanýmlamasý için belirli kriterlere sahip modelleri kullanmasý ve bu seviyelerini periyodik olarak ölçmeleri ile mümkün olacaktýr.
Þekil 1’de BGYS’nin risk komponentinin döngüsü görülmektedir. Burada riski arttýran unsurlar varlýðýn deðeri, varlýða ait zayýflýklar ve varlýða yönelik tehditlerdir. Tehditler, varlýðýn zayýflýðýný kullanýr. Ýlgili riski azaltmak için kontroller uygulanýlmalýdýr. Bununla beraber uygulanan kontrol/korumanýn etkinliðinin ölçülmesi de gerekmektedir. Böylece tehdit önlenmiþ ve risk azaltýlmýþ olacaktýr. [3,4,5]
Olgunluk modeli bir firmanýn bilgi güvenliði konusunda gelebileceði olgunluk seviyelerinin derecelendirilmesi ile oluþur ve firmanýn bir alt adýma düþmemek aksine bir üst adýma çýkmak için neler yapmasý gerektiðini gösterir.
Dünyadaki yayýnlanmýþ güvenlikle ilgili olgunluk modelleri Tablo 1’deki gibi tanýmlanmýþtýr:
Önerilen Olgunluk Modeli
Bu olgunluk modeli Þekil 2’de görülebileceði gibi 9 katmana ayrýlmýþtýr. Katmanlar -3’ten 5’e yýkýcý, kibirli, engelleyici, ihmal edici, fonksiyonel, teknik, iþemsel, yönetilmiþ ve stratejik olarak ayrýlmýþtýr. -3’ten 0 a kadar kendi firmasýna maksimum risk unsuru oluþturmuþ, bununla birlikte ayný zamanda dýþ firmalar içinde risk unsuru taþýmaktadýr. 1’den 5’e kadar dýþ firmalara zarar vermemekle birlikte kendi firmasý için de giderek risk unsurlarýný azaltmaktadýr. [1]
Þimdi bu önerilen olgunluk modelini biraz tanýyalým:
SEVÝYE 5 : STRATEJÝK (STRATEGIC)
Firma PUKÖ döngüsü içerisinde kendini sürekli olarak geliþtirmektedir. Belirli Bilgi Güvenliði protokolleri ve iþ devamlýlýðý planlarý vardýr ve sürekli eðitimler, denetimler ve uygulamalarla denetlenmektedir. Bilgi güvenliði firma çalýþanlarý tarafýndan bir aðýrlýk olarak deðil iþin olabilirliðini saðlayan etken olarak görülmektedir. Süreçlerin gizliliði, bütünlüðü ve eriþilebilirliði garanti altýna alýnmýþtýr. Verimlilik yükseltilirken riskler düþürülmüþtür. [1]
Kýsaca;
- PUKÖ Döngüsü tam olarak çalýþmaktadýr, - Güvenlik Politikalarý doðru tanýmlanmýþ ve özümsenmiþtir, - Tüm Süreçler güvenlik perspektifinde deðerlendirilmiþtir, - BG Farkýndalýðý organizasyonel hafýzadadýr, - Eðitimler aksamadan düzenli olarak verilmektedir, - Þirketin tüm BG faaliyetleri izlenebilmektedir, - Riskler belirlenmiþ, kontrol altýna alýnmýþ ve yönetilmektedir, - Ýþ Sürekliliði planlarý hazýrlanmýþ ve test edilmiþtir.
SEVÝYE 4 : YÖNETÝLMÝÞ (MANAGED)
Firma bilgi güvenliði yönetim sistemini geliþtirmek için yeni yöntemler aramaktadýr. Gerekli olduðu ölçüde bilgi güvenliðine yatýrýmlar arttýrýlmaktadýr. Ýzleme süreçleri iyi bir þekilde yürütülmektedir. Bu tür firmalar bilgi güvenliði sistemini gerçekleþtirmiþ ama firma kültürü olarak daha yeni oturtmuþ firmalardýr. Bilgi güvenliði eðitimleri hazýrlanmýþtýr ve güncelleþtirilmektedir.
Ýþ sürekliliði planlarý yapýlmýþ ama tam olarak denenmemiþtir. Çevresel faktörler izlenmeye baþlanmýþtýr. [1]
Kýsaca;
- PUKÖ Döngüsü henüz tam olarak çalýþmamaktadýr, - Güvenlik Politikalarýnýn hepsi tamamlanmamýþ, tamamlanmayanlar için ise örnekler araþtýrýlmaktadýr, - BG Farkýndalýðý Organizasyonel hafýzaya yeni yeni alýnmakta daha henüz bir kültür olarak adlandýrýlmamaktadýr, - Eðitimler hazýrlanmakta ve güncelleþtirilmeleri yapýlmaktadýr, - Ýþ Sürekliliði planlarý hazýrlanmýþ fakat daha test edilmemiþtir.
SEVÝYE 3: OPERASYONEL (OPERATIONAL)
Firma bilgi güvenliði yönetimi için prosedürleri ve politikalarý incelemeye baþlamýþtýr. Bilgi güvenliði stratejik planý yapýlmýþtýr. Uygunluðundan ve gösterilen özenden dolayý izleme faliyetleri bire bir yapýlmaktadýr. Bilgi güvenliði yatýrým planý yapýlmýþ, teknik olarak pozisyonlar belirlenmiþtir.
Bu organizasyonlarda kültür olarak bilgi güvenliðinin ve risklerin yönetildiði umudu vardýr. Bilgi güvenliði genel olarak BT’nin görevi olmuþtur. Bilgi güvenliði eðitimleri ise bire bir yöntemlerle anlatýlmaktadýr. [1]
Ýþ sürekliliði planlarý yapýlmýþ ama denenmemiþtir.
Kýsaca;
- PUKÖ Döngüsü tasarým aþamasýndadýr, - Güvenlik Politikalarý yazýlmasý planlanmýþtýr, - BG Farkýndalýðýnýn arttýrýlma yöntemleri planlanmýþ, diðer yöntemler araþtýrýlmaktadýr, - Bilgi Güvenliði genel olarak BT nin sorumluluðundadýr. Bir çok þey teknik olarak düþünülmektedir. - Ýþ Sürekliliði planlarý hazýrlanmýþ fakat daha test edilmemiþtir.
SEVÝYE 2 : TEKNÝK (TECHNICAL)
Firma bilgi güvenliði yönetim sistemini tam olarak belirlememiþtir. Bilgi güvenliðini kapsayan politikalar yoktur. Bilgi güvenliði sistemine yatýrým düþünülmektedir. Teknik kontroller ve iç güvenlikler oluþturulmuþtur. Bilgi güvenliði ile ilgili görevler belirlenmemiþtir. [1]
Bilgi güvenliði iþleri BT’nin iþleri olarak gözükmektedir. BT ise sadece belirli konularda eðitim almýþtýr.
Firma risklerini bilmektedir ve risk yönetimi uygulamaktadýr. Ayný zamanda dýþ firmalarýn riskleri de gözetilmektedir.
SEVÝYE 1 : FONKSÝYONEL (FUNCTÝONAL)
Firma bilgi güvenliði üzerinde hiçbir politika veya prosedür belirlememiþtir. Sadece özel bilgiler antivirüs ve firewallarla güvenlik altýna alýnmýþtýr. Firma kültürü içinde bilgi güvenliði kültürü yoktur. Ayný zamanda firma kültürü bilgi güvenliði kültürünün artmasýný desteklememektedir. Firma bilgi güvenliðini tamamen BT’nin sorunu olarak görmektedir. [1]
Firma risklerini bilmektedir ve risk yönetimi uygulamaktadýr. Ayný zamanda dýþ firmalarýn riskleri de gözetilmektedir.
SEVÝYE 0 : ÝHMAL EDÝCÝ (NEGLIGENT)
Firma belli kiþilerin denemelerini engelleyerek kýsmen bir koruma saðlamaktadýr. Genellikle bu tür firmalar kiþilerin yapmak istediklerini engelleyerek bilgi güvenliðini saðlamaya çalýþýr. Eðer herhangi bir yöntem veya yönetim belgesinde deðiþiklik olursa, o bilgileri tekrar elde edemezler. [1]
Bu tür firmalardaki kültür genellikle kanýtlarýn yönetimine dayanýr. Bilgi güvenliði BT’nin sorumluluðu olarak görünür. Firmanýn genellikle bir vizyonu ve hedefi yoktur.
Firma sadece kendi güvenliðini deðil iþ yaptýðý dýþ firmalarýnda güvenliðini düþünüyor gibi görünür.
SEVÝYE -1 : ENGELLEYÝCÝ (OBSTRUCTIVE)
Bu tür firmalarda bilgi güvenliði yöneticiler tarafýndan engellenmiþtir. Yönetimdeki bütün iþler fazlasýyla formaldir. Firma kültürü tamamen eylemsizlik üzerine kurulmuþtur. Risk yönetimi uygulamasý ve bilgi varlýklarýnýn deðerlendirilmesi bu þekilde engellenmiþ olur. [1] Firmada hiçbir farkýndalýk ve bilgi güvenliði eðitimi yada dökümaný bulunmamaktadýr. Ýþlerin nasýl yapýldýðýna dair dökümanlar vardýr ve bunlar bire bir uygulanmalýdýr. Aktif katýlým engellenmiþtir.
Bu firmalar sadece kendilerine deðil baþka firmalara da risk oluþturmaktadýr.
SEVÝYE -2 : KÝBÝRLÝ (ARROGANT)
Bu tür firmalar kendilerinin tek ve bilgi güvenliði sistemlerinin ise tartýþmasýz doðru olduklarýna inanýr. Hiçbir þekilde iyileþtirme veya deðiþtirme yapýlmasýna izin vermez. [1]
Bu tür firmalar kendi bünyelerinde maksimum seviyede riskler barýndýrmakta, bununla birlikte diðer firmalara da ciddi anlamda risk unsuru oluþturmaktadýrlar.
SEVÝYE -3 : YIKICI (SUBVERSIVE)
Bu tür firmalar diðer firmalarýn iþlerini yapamamasý için aktif olarak yol arayan firmalardýr ve kendi varlýklarýný da hiç önemsemezler. Bu firmalar suç örgütleri ya da uluslar arasý þebekeler olabilir. [1]
SONUÇ
Bugünün belirsiz þartlarýnda bilgi güvenliði çok önemli bir rol oynamaktadýr. Sürekli yeni tehditler ortaya çýkarken firma kendini sürekli olarak geliþtirmelidir. Bu modelin amacý firma kültürünün bilgi güvenliði için ne kadar önemli olduðunu vurgulamaktadýr. [1]
Çalýþanlarýn Bilgi Güvenliði Politikalarýný önemsemeleri ve bu kurallarýn uygulanmasýnda olabildiðince aktif rol oynamalarý, konunun organizayonel hafýzaya alýnmasý anlamýna gelmektedir. Bu durum, organizasyonel öðrenmeyi de Bilgi Güveliði perspektifinde yapmalarýný saðlayacaktýr. Saygýlar..
|