Güvenlik / Security Makaleleri - Bilgi Güvenliği Olgunluk Modeli !

Bilgi Güvenliği olgunluk seviyesi, bir firmanın bütün çalışanları, işleyişleri ve varlıklarıyla beraber bilgi güvenliği konusundaki bilgi ve durumunu belirten seviyedir. Bilgi Güvenliği olgunluk seviyesinin belirlenmesi, şu anki durumu göz önüne alarak ileride ne gibi değişiklikler yapılması gerektiğini planlamamıza yardımcı olur.

Bilgi Güvenliği Olgunluk Modeli

Bilgi Güvenliği Yönetim Sistemi risk temelli bir yönetim sistemidir. Sistemin temelinde varlıkların belirlenmesi, varlıklara yönelik tehditlerin ve risklerin tespit edilmesi, tespit edilen bu risk ve tehditlerin bertarafına yönelik kontrollerin atanması ve nihayet bu kontrollerin üst yönetim tarafından belirlenmiş politikalarla desteklenmesi yatmaktadır. Belirtilen bu özet süreç, daima canlı tutulmalıdır. Çünkü Bilgi Güvenliği Yönetim Sistemi, bir kere kurulup bırakılacak bir sistem değildir. PUKÖ döngüsünü devam ettirecek faaliyetleri firmaların gerçekleştirmesi gerekmektedir. Bu da firmaların kendi seviyelerini tanımlaması için belirli kriterlere sahip modelleri kullanması ve bu seviyelerini periyodik olarak ölçmeleri ile mümkün olacaktır.

Şekil 1’de BGYS’nin risk komponentinin döngüsü görülmektedir. Burada riski arttıran unsurlar varlığın değeri, varlığa ait zayıflıklar ve varlığa yönelik tehditlerdir. Tehditler, varlığın zayıflığını kullanır. İlgili riski azaltmak için kontroller uygulanılmalıdır. Bununla beraber uygulanan kontrol/korumanın etkinliğinin ölçülmesi de gerekmektedir. Böylece tehdit önlenmiş ve risk azaltılmış olacaktır. [3,4,5]

Olgunluk modeli bir firmanın bilgi güvenliği konusunda gelebileceği olgunluk seviyelerinin derecelendirilmesi ile oluşur ve firmanın bir alt adıma düşmemek aksine bir üst adıma çıkmak için neler yapması gerektiğini gösterir.

Dünyadaki yayınlanmış güvenlikle ilgili olgunluk modelleri Tablo 1’deki gibi tanımlanmıştır:

Önerilen Olgunluk Modeli

Bu olgunluk modeli Şekil 2’de görülebileceği gibi 9 katmana ayrılmıştır. Katmanlar -3’ten 5’e yıkıcı, kibirli, engelleyici, ihmal edici, fonksiyonel, teknik, işemsel, yönetilmiş ve stratejik olarak ayrılmıştır. -3’ten 0 a kadar kendi firmasına maksimum risk unsuru oluşturmuş, bununla birlikte aynı zamanda dış firmalar içinde risk unsuru taşımaktadır. 1’den 5’e kadar dış firmalara zarar vermemekle birlikte kendi firması için de giderek risk unsurlarını azaltmaktadır. [1]

SEVİYE 5 : STRATEJİK (STRATEGIC)

Firma PUKÖ döngüsü içerisinde kendini sürekli olarak geliştirmektedir. Belirli Bilgi Güvenliği protokolleri ve iş devamlılığı planları vardır ve sürekli eğitimler, denetimler ve uygulamalarla denetlenmektedir. Bilgi güvenliği firma çalışanları tarafından bir ağırlık olarak değil işin olabilirliğini sağlayan etken olarak görülmektedir. Süreçlerin gizliliği, bütünlüğü ve erişilebilirliği garanti altına alınmıştır. Verimlilik yükseltilirken riskler düşürülmüştür. [1]

Kısaca;

-    PUKÖ Döngüsü tam olarak çalışmaktadır,
-    Güvenlik Politikaları doğru tanımlanmış ve özümsenmiştir,
-    Tüm Süreçler güvenlik perspektifinde değerlendirilmiştir,
-    BG Farkındalığı organizasyonel hafızadadır,
-    Eğitimler aksamadan düzenli olarak verilmektedir,
-    Şirketin tüm BG faaliyetleri izlenebilmektedir,
-    Riskler belirlenmiş, kontrol altına alınmış ve yönetilmektedir,
-    İş Sürekliliği planları hazırlanmış ve test edilmiştir.

SEVİYE 4 : YÖNETİLMİŞ (MANAGED)

Firma bilgi güvenliği yönetim sistemini geliştirmek için yeni yöntemler aramaktadır. Gerekli olduğu ölçüde bilgi güvenliğine yatırımlar arttırılmaktadır. İzleme süreçleri iyi bir şekilde yürütülmektedir.
Bu tür firmalar bilgi güvenliği sistemini gerçekleştirmiş ama firma kültürü olarak daha yeni oturtmuş firmalardır. Bilgi güvenliği eğitimleri hazırlanmıştır ve güncelleştirilmektedir.

İş sürekliliği planları yapılmış ama tam olarak denenmemiştir. Çevresel faktörler izlenmeye başlanmıştır. [1]

Kısaca;

-    PUKÖ Döngüsü henüz tam olarak çalışmamaktadır,
-    Güvenlik Politikalarının hepsi tamamlanmamış, tamamlanmayanlar için ise örnekler araştırılmaktadır,
-    BG Farkındalığı Organizasyonel hafızaya yeni yeni alınmakta daha henüz bir kültür olarak adlandırılmamaktadır,
-    Eğitimler hazırlanmakta ve güncelleştirilmeleri yapılmaktadır,
-    İş Sürekliliği planları hazırlanmış fakat daha test edilmemiştir.

SEVİYE 3: OPERASYONEL (OPERATIONAL)

Firma bilgi güvenliği yönetimi için prosedürleri ve politikaları incelemeye başlamıştır. Bilgi güvenliği stratejik planı yapılmıştır. Uygunluğundan ve gösterilen özenden dolayı izleme faliyetleri bire bir yapılmaktadır. Bilgi güvenliği yatırım planı yapılmış, teknik olarak pozisyonlar belirlenmiştir.

Bu organizasyonlarda kültür olarak bilgi güvenliğinin ve risklerin yönetildiği umudu vardır. Bilgi güvenliği genel olarak BT’nin görevi olmuştur. Bilgi güvenliği eğitimleri ise bire bir yöntemlerle anlatılmaktadır. [1]

İş sürekliliği planları yapılmış ama denenmemiştir.

Kısaca;

-    PUKÖ Döngüsü tasarım aşamasındadır,
-    Güvenlik Politikaları yazılması planlanmıştır,
-    BG Farkındalığının arttırılma yöntemleri planlanmış, diğer yöntemler araştırılmaktadır,
-    Bilgi Güvenliği genel olarak BT nin sorumluluğundadır. Bir çok şey teknik olarak düşünülmektedir.
-    İş Sürekliliği planları hazırlanmış fakat daha test edilmemiştir.

SEVİYE 2 : TEKNİK (TECHNICAL)

Firma bilgi güvenliği yönetim sistemini tam olarak belirlememiştir. Bilgi güvenliğini kapsayan politikalar yoktur. Bilgi güvenliği sistemine yatırım düşünülmektedir. Teknik kontroller ve iç güvenlikler oluşturulmuştur. Bilgi güvenliği ile ilgili görevler belirlenmemiştir. [1]

Bilgi güvenliği işleri BT’nin işleri olarak gözükmektedir. BT ise sadece belirli konularda eğitim almıştır.

Firma risklerini bilmektedir ve risk yönetimi uygulamaktadır. Aynı zamanda dış firmaların riskleri de gözetilmektedir.

SEVİYE 1 : FONKSİYONEL (FUNCTİONAL)

Firma bilgi güvenliği üzerinde hiçbir politika veya prosedür belirlememiştir. Sadece özel bilgiler antivirüs ve firewallarla güvenlik altına alınmıştır. Firma kültürü içinde bilgi güvenliği kültürü yoktur. Aynı zamanda firma kültürü bilgi güvenliği kültürünün artmasını desteklememektedir. Firma bilgi güvenliğini tamamen BT’nin sorunu olarak görmektedir. [1]

Firma risklerini bilmektedir ve risk yönetimi uygulamaktadır. Aynı zamanda dış firmaların riskleri de gözetilmektedir.

SEVİYE 0 : İHMAL EDİCİ (NEGLIGENT)

Firma belli kişilerin denemelerini engelleyerek kısmen bir koruma sağlamaktadır. Genellikle bu tür firmalar kişilerin yapmak istediklerini engelleyerek bilgi güvenliğini sağlamaya çalışır. Eğer herhangi bir yöntem veya yönetim belgesinde değişiklik olursa, o bilgileri tekrar elde edemezler. [1]

Bu tür firmalardaki kültür genellikle kanıtların yönetimine dayanır. Bilgi güvenliği BT’nin sorumluluğu olarak görünür. Firmanın genellikle bir vizyonu ve hedefi yoktur.

Firma sadece kendi güvenliğini değil iş yaptığı dış firmalarında güvenliğini düşünüyor gibi görünür.

SEVİYE -1 : ENGELLEYİCİ (OBSTRUCTIVE)

Bu tür firmalarda bilgi güvenliği yöneticiler tarafından engellenmiştir. Yönetimdeki bütün işler fazlasıyla formaldir. Firma kültürü tamamen eylemsizlik üzerine kurulmuştur. Risk yönetimi uygulaması ve bilgi varlıklarının değerlendirilmesi bu şekilde engellenmiş olur. [1] Firmada hiçbir farkındalık ve bilgi güvenliği eğitimi yada dökümanı bulunmamaktadır. İşlerin nasıl yapıldığına dair dökümanlar vardır ve bunlar bire bir uygulanmalıdır. Aktif katılım engellenmiştir.

Bu firmalar sadece kendilerine değil başka firmalara da risk oluşturmaktadır.

SEVİYE -2 : KİBİRLİ (ARROGANT)

Bu tür firmalar kendilerinin tek ve bilgi güvenliği sistemlerinin ise tartışmasız doğru olduklarına inanır. Hiçbir şekilde iyileştirme veya değiştirme yapılmasına izin vermez. [1]

Bu tür firmalar kendi bünyelerinde maksimum seviyede riskler barındırmakta, bununla birlikte diğer firmalara da ciddi anlamda risk unsuru oluşturmaktadırlar.

SEVİYE -3 : YIKICI (SUBVERSIVE)

Bu tür firmalar diğer firmaların işlerini yapamaması için aktif olarak yol arayan firmalardır ve kendi varlıklarını da hiç önemsemezler. Bu firmalar suç örgütleri ya da uluslar arası şebekeler olabilir. [1]

SONUÇ

Bugünün belirsiz şartlarında bilgi güvenliği çok önemli bir rol oynamaktadır. Sürekli yeni tehditler ortaya çıkarken firma kendini sürekli olarak geliştirmelidir. Bu modelin amacı firma kültürünün bilgi güvenliği için ne kadar önemli olduğunu vurgulamaktadır. [1]

Çalışanların Bilgi Güvenliği Politikalarını önemsemeleri ve bu kuralların uygulanmasında olabildiğince aktif rol oynamaları, konunun organizayonel hafızaya alınması anlamına gelmektedir. Bu durum, organizasyonel öğrenmeyi de Bilgi Güveliği perspektifinde yapmalarını sağlayacaktır.

Saygılar..