Akıllı Şebekeler ve Siber Güvenlik: Kurumsal Bilgi Güvenliği

Kişilerin bilgi güvenliği çok önemlidir, ancak kişilerin güvenliğini doğrudan etkileyen kurumsal bilgi güvenliği de en az onun kadar önemlidir. Her birey bilgi sistemleri üzerinden hizmet alırken veya hizmet sunarken kurumsal bilgi varlıklarını doğrudan veya dolaylı olarak kullanmaktadır. Bu hizmetler kurumsal anlamda bir hizmet alımı olabileceği gibi, bankacılık işlemleri veya bir kurum içerisinde yapılan bireysel işlemler de olabilir. Kurumsal bilgilerin güvenliği sağlanmadıkça, kişisel güvenlikte sağlanamaz.

Kurumsal bilgi güvenliği, kurumların bilgi varlıklarının tespit edilerek zafiyetlerinin belirlenmesi ve istenmeyen tehdit ve tehlikelerden korunması amacıyla gerekli güvenlik analizlerinin yapılarak önlemlerinin alınmasıdır. Kurumsal bilgi güvenliği insan faktörü, eğitim, teknoloji gibi birçok faktörün etki ettiği tek bir çatı altında yönetilmesi zorunlu olan karmaşık süreçlerden oluşmaktadır.

Bilgi Güvenliği Yönetim Sistemleri (BGYS) insanları, süreçleri ve bilgi sistemlerini içine alan ve üst yönetim tarafından desteklenen bir yönetim sistemidir. Bilgi varlıklarının korunabilmesi, kurumların karşılaşabileceği risklerin en aza indirgenmesi ve iş sürekliliğinin sağlanması, ancak üst yönetimin desteğiyle BGYS’nin hayata geçirilmesiyle mümkündür.

BGYS’nin kurulması demek, olası risk ve tehditlerin tespit edilmesi, güvenlik politikalarının oluşturulması, denetimlerin ve uygulamaların kontrolü, uygun yöntemlerin geliştirilmesi, örgütsel yapılar kurulması ve yazılım/donanım fonksiyonlarının sağlanması gibi bir dizi denetimin birbirini tamamlayacak şekilde gerçekleştirilmesi anlamına gelmektedir.

ITU tarafından önerilen BGYS modeli aşağıdaki gibidir:

Bu modele göre BGYS, Yönetim, Denetim ve Son kullanıcı düzeyinde tüm güvenlik boyutlarına yönelik tehdit ve saldırıları algılamayı ve önlemeyi, bunlara fırsat veren açıkları belirlemeyi ve kapatmayı güvence altına alacak bir yönetim sistemi oluşturulmasını hedeflemelidir.

Bu hedefe ulaşmak için olmazsa olmazlar şunlardır;

• Yönetimin kararlılığı ve desteği
• Politika ve prosedürlerin açıklığı ve tutarlılığı
• Her seviyedeki çalışanların bilgili ve bilinçli olması
• Uygulamaların sürekli izlenmesi, denetimi ve iyileştirilmesi

Bu süreçlerin yönetilmesi, güvenlik sistemlerinin uluslararası standartlarda yapılandırılması ve yüksek seviyede bilgi güvenliğinin sağlanması amacıyla tüm dünyada kurumsal bilgi güvenliğinin yönetiminde standartlaşmaya gidilmektedir. Bu amaçla geliştirilen ve uluslararası kabul görmüş rehber ve standartlar vardır.  Bu standartların en başında Uluslararası Standartlar Organizasyonu (ISO) tarafından  yayınlanan ve TSE tarafından da Türkçeleştirilip ülkemizde de uygulamaya konulan “ISO 27000 Bilgi GüvenliğiYönetim Sistem Standardı Ailesi” gelmektedir.

ISO 27001 standardı genel olarak aşağıdaki amaçları gerçekleştirmektedir.

• Kurumun bilgi güvenlik risklerini, bilgi varlıklarına yönelik tehditleri, varlıkların açıklıklarını sistematik olarak denetlemek;
• Risk işleme planları, artık risklerin transferleri ile tutarlı bilgi güvenliği kontrollerini tanımlamak ve gerçekleştirmek, riskleri kabul edilebilir seviyeler çekmek
• Bilgi güvenliği kontrollerinin sürekliliğini bilgi güvenliği esaslarına göre sağlamak üzere yönetim süreçlerini kabul etmek ve uygulamak

 Standart yukarıdaki amaçları gerçekleştirmek üzere aşağıdaki konuları kapsamaktadır;

1. Risk Değerlendirme ve Tehditlendirme
2. Güvenlik Politikası
3. Güvenlik Organizasyonu
4. Varlık Yönetimi ve Sınıflandırma
5. İnsan Kaynakları Yönetimi
6. Fiziksel ve Çevresel Güvenlik
7. İletişim ve Operasyon Güvenliği
8. Erişim Denetimi
9. Bilgi Sistemleri Temini, Geliştirilmesi ve Yönetimi
10. Güvenlik İhlal Yönetimi
11. İş Devamlılık Yönetimi
12. Yasalar ve Standartlarla Uyumluluk

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı, ISO 27000 Bilgi Güvenliği Yönetim Sistemi standartlar ailesinin ana standardı olup sistem kurulumu ve belgelendirme bu standarda göre yapılmaktadır.  Kurumlar, oluşturdukları Bilgi Güvenliği Yönetim Sisteminin standartlara uygunluğunu ve uygulamalarının etkinliğini akredite edilmiş (ülkemizde TURKAK tarafından) belgelendirme kuruluşlarına (TSE, TUV, SGS vb.) denetlettirerek belgelendirebilmektedirler.

Yapılan çalışmalar hala pek çok kurumda bilgi güvenliği açıkları ve kayıplarının artması sebebiyle bu konunun henüz doğru olarak anlaşılmadığını, bireyler ve kurumlar tarafından konuya gereken önemin verilmediğini ve bilinçlenmenin gereken seviyede olmadığını göstermektedir.

Bağımsız araştırma kuruluşlarının raporları kurum ve kuruluşların güvenlik teknolojilerine yeterli ölçüde yatırım yapmadıklarını göstermektedir. Kurumsal bilgi güvenliğinin üst seviyede sağlanabilmesi için bilgi güvenliğinin devamlılık gerektiren bir süreç olduğu ve bu sürecin kurumsal bilgi güvenliği standartları çerçevesinde yönetilmesi gerektiği unutulmamalıdır.

Bilgi güvenliğinin sağlanmasında aşağıdaki hususlara gözden kaçırılmamalıdır:

• %100 güvenlik mümkün değildir.
• Kurumsal bilgi güvenliğini sağlamanın dinamik bir süreçtir, süreklilik ve sebat gerektirir.
• Kurumsal bilgi güvenliği sadece teknolojik bir süreç değil, topyekün bir yaklaşım gerekirir.
• BGYS uluslararası standartlara uygun olarak oluşturulmalı, uygulanmalı ve sürekli iyileştirilmelidir.

Ahmet Hamdi ATALAY
NETAŞ İcra Komitesi Üyesi