Yazan: H.Koray Tutkun
e-posta: [email protected]
İnsanoğlu gelişimini sürdürebilmek için yeni teknolojiler geliştirmekte, geliştirdiği bu teknolojileri iş ve gündelik yaşantısında kullanmakta, hayat akışını bu teknolojiler doğrultusunda şekillendirmektedir.
İnternet ve bilgi teknolojileri de bu şekilde geliştirilmiş ve yaşamın vazgeçilmez bir parçası haline geldi. Bunun sonucunda hemen hepimiz günlük yaşantımızın büyük bir bölümünü internete bağlı kalarak, çeşitli sosyal medya uygulamaları aracılığıyla dünyanın farklı yerlerindeki insanlarla iletişim halinde geçirmekteyiz.
İşimiz gereği üzerinde çalıştığımız konularla ilgili uygulamaları kullanırken, güvenilir olduğu söylenen uygulamalar üzerinden mali süreçlerimizi devam ettiriyoruz.
E-ticaret uygulamaları aracılığıyla aldığımız ürün ve hizmetler için internet üzerinden para aktarıyoruz. Devletin sağlamış olduğu hizmetlerle ilgili e-devlet uygulamalarını kullanarak devlet dairelerini sanal ortama taşıdık.
Tüm bu işlemleri yaparken de masaüstü bilgisayarlardan akıllı telefonlara kadar çok çeşitli cihazlar kullanmaktayız. Bu cihazları da neredeyse günün her saati yanımızda bulunduruyoruz.
Fakat tüm bu işlemleri yaparken, bir çoğumuz kullandığımız cihazlar ve teknolojileri hakkında yeteri kadar bilgi sahibi olmayabiliriz. Bu şekilde yeterli bilgi sahibi olmadan kullanılan cihazlar, sistemler, yazılımlar bilgi güvenliğimiz için en önemli risk kaynağını oluşturmaktadır.
Özellikle iş hayatında kullanılan cihazlar ve teknoljileri hakkında bilgi sahibi olmak önemlidir. Bu sayede ilgili teknolojiler doğru kullanılabilir ve yapılan işlemlerin güvenilirliği sürdürülmüş olur. Ayrıca bu süreçlerin kuruluş bünyesindeki tüm çalışanlara, kuruluşun hizmet aldığı dış kaynaklara belirli aralıklarla anlatılması faydalı olur. Çalışanların kullandığı teknolojilere uygun eğitimlerin verilmesi ise ayrıca dikkat edilmesi gereken bir konudur.
Peki kullanılan bu cihazlar ve teknolojileri hakkında ne kadar bilgi sahibiyiz? Cihazların ve yazılımlarının güncelliğini takip ediyor muyuz? Çalışanların güncel eğitimlerini almalarını sağlıyor muyuz?
Bu tür sorulara alacağımız doğru cevaplar ile kuruluşa uygun bilgi güvenliği yönetim sistemi temelini oluşturabiliriz. Bu hedef doğrultusunda;
- Kuruluş için önemli olan bilginin tanımı doğru yapılmalı,
- Bu bilginin nasıl üretildiği ve değerlendiği doğru anlaşılmalı,
- Elde edilen bu bilgiler doğrultusunda kurumsal seviyede roller belirlenmeli,
- Sorumlular ve sorumlulukları doğru tanımlanmalı,
- Tanımlar doğrultusunda yetkiler verilmek suretiyle BGYS (Bilgi Güvenliği Yönetim Sistemi) için temel oluşturacak KYS (Kalite Yönetim Sistemi) ile uyum sağlanmalıdır.
Bilgi Güvenliği ve Kalite temelinde kurulacak olan sistem ne kadar sağlam olursa üzerine inşa edilen kuruluş yapısı da o kadar sağlam olur.
Günümüz dünyasında internet tabanlı sanal uygulamalar sayesinde dosyalar elektronik olarak e-posta ve dosya aktarım programları aracılığıyla gönderiliyor, sanal ofislerde lokasyondan bağımsız toplantılarla katılıyoruz. E-ticaret uygulamaları ile kripto paraları sanal cüzdanlara yerleştiriyoruz. Tüm bu işlemlerin bilgilerini de veri merkezlerinde barındırarak ticari hayatları sanal ortamlarda yaşıyoruz. Bu işlemler gerçekleştirilrken oluşturulan büyük miktarlardaki veriler de işlenerek bilgi elde ediliyor, bilgiler sınıflandırılarak anlamlı veri haline getiriliyor ve kişi ve kuruluşun kullanımına sunuluyor. Bu sebeple veri ve bilgi arasındaki farkı doğru anlamalıyız. Kuruluş için neyin veri olarak neyin bilgi olarak tanımlandığını doru belirlemeliyiz.
İşte bu anlamlı bilginin kullanıma sunulması sırasında gözümüzden kaçan fakat art niyetli kişilerin fırsat olarak değerlendirdiği bilgi güvenliği açıkları da Bilgi Güvenliği Sorunu olarak karşımıza çıkıyor.
Bu aşamada dikkat edilmesi gereken konular da Risk Değerlendirmesi adı altında değerlendirilmek üzere toplanıyor. İşte bu değerlendirmelerden elde edilen sonuçlar doğrultusunda kuruluş yapısına uygun Bilgi Güvenliği Risk Değerlendirmesi oluşturulmaya çalışıyoruz. Çünkü bilişim dünyasında unutulmaması gereken bir kural vardır, bir system kurulduysa ve bunu siz kendiniz kurmadıysanız bir kontrol edeni muhakkak vardır. Yani her zaman sizin kontrolünüzde olmayan birşeyler olacaktır.
Tüm bu değerlendirmenin tek başına yeteri olmadığının anlaşılmasından sonra bu değerlendirmeye göre riskleri sınıflandırarak kuruluş yapısına göre işlenir hale getirmenin gerekliliği ortaya çıktı. Tüm bu çalışmalar sonucunda BGYS ve ISO 27001 standarı oluşturulmuştur.
İşte BGYS ve KYS bu aşamada birlikte devreye girer, ISO 27001 ve 9001 standartları doğrultusunda kurulmuş bir sistem sayesinde bilgi güvenliği tedbirlerinin alınması ve kuruluş genelinde tüm sistemin kesintisiz çalışabilirliği hedeflenir.
Anlaşılacağı üzere bilgiyi doğru kullanabildiğimiz sürece hayatımız kolaylaşıyor ve dünya daha güvenilir ve yaşanabilir bir yer haline geliyor. Aksi halde doğru kullanılmayan bilgiler bizi odaklarımızdan ve hedeflerimizden uzaklaştırıyor.
Şimdiye kadar veriyi kullanarak bilgi elde ettik, bilgiyi işleyerek anlamlı bilgiye ulaştık. Artık sıra anlamlı bilgiyi kullanarak bir şeyin neden olduğunu anlamaya, bunun sonucunda karar almaya ve kara sonucuna göre hareket etmeye geldi.
Tüm bu süreçleri ISO standardının ana maddelerini oluşturan;
- Kuruluşun bağlamı,
- Liderlik,
- Destek,
- İşletim veya Operasyon,
- Performans ve değerlendirme,
- İyileştirme kapsamında şekillenmiştir.
Anlaşılacağı üzere yönetim sistemi ve standardın tanımlamalarını, sadece dosya, evrak işi olarak görmemek gerekir çünkü yaşayan bir süreçtir.
