Bilgi Sistemleri Güvenliği

Bilgi Güvenliği Yönetimi

Bilgi Güvenliği Yönetimi

Bilgi güvenliği yönetimi konusu, Bilgi Sistemleri Güvenliği dersinin temel giriş kapısıdır. Bu bölüm iyi anlaşılmadan varlık yönetimi, erişim güvenliği, ağ güvenliği, veri güvenliği ve üçüncü taraf güvenliği gibi sonraki başlıkların mantığı tam olarak kurulamaz. Çünkü sonraki bütün bölümler, burada açıklanan kurumsal yaklaşımın, sorumluluk yapısının ve kontrol anlayışının devamı niteliğindedir. Bu nedenle bu bölüm yalnızca tanım bölümü değil; tüm dersin yönetim ve kontrol mantığını kuran çekirdek bölümdür.

1) Bilgi Güvenliği Kavramı

Bilgi güvenliği konusu başlangıçta daha çok teknolojik ekipmanların fiziksel korunmasıyla ilişkilendirilirken, zamanla kapsamı genişlemiş ve bugün siber güvenlik boyutunu da içine alan daha geniş bir alan haline gelmiştir. Artık bilgi güvenliği sadece bilgi sistemleri birimlerini ilgilendiren teknik bir konu olarak değil, kurumları, sektörleri, kamu otoritelerini ve hatta ülkeleri etkileyen stratejik bir alan olarak ele alınmaktadır.

Kurumsal düzeyde bilgi güvenliği yönetimi; bilgi güvenliğinin kabul edilebilir düzeyde korunmasını sağlamak amacıyla geliştirilen ve işletilen tüm mekanizmaları ifade eder. Bu mekanizmalar sadece teknik ürünlerden ibaret değildir. Organizasyon yapıları, politika ve prosedürler, süreçler, görev dağılımları ve çeşitli varlıklar da bu yapının parçasıdır.

Bilgi güvenliğinde temel amaç, bilginin üç ana özelliğini korumaktır:

• Gizlilik: Bilgiye yetkisiz erişimlerin engellenmesi.
• Bütünlük: Bilginin tam, doğru ve bozulmamış olması.
• Erişilebilirlik: Bilginin gerektiğinde yetkili kişiler tarafından erişilebilir olması.

Bu üçlü yapı sınavlarda çok sık sorulmaktadır. Gizlilik, bütünlük ve erişilebilirlik birlikte bilgi güvenliğinin temel eksenini oluşturur. Bir kurum bilgi güvenliği kurarken yalnızca verinin dışarı sızmasını değil; yanlış değişmesini, bozulmasını ve ihtiyaç anında ulaşılamaz hale gelmesini de dikkate almalıdır.

2) Bilgi Güvenliği ve Siber Güvenlik İlişkisi

Bilgi güvenliği ve siber güvenlik kavramları çoğu zaman birbirinin yerine kullanılsa da odak noktaları bakımından tam olarak aynı değildir. Bilgi güvenliği daha çok bilginin kendisinin korunmasına odaklanır. Bu koruma dijital ortamdaki verileri kapsadığı gibi, fiziksel belgeleri ve fiziksel ortamdaki bilgi varlıklarını da kapsayabilir.

Siber güvenlik ise özellikle siber uzaya, dijital altyapılara, ağlara, cihazlara ve İnternet bağlantılı sistemlere yönelen tehditlere karşı koruma yaklaşımını ifade eder. Başka bir anlatımla bilgi güvenliği, bilginin gizlilik-bütünlük-erişilebilirlik çerçevesinde korunmasını hedeflerken; siber güvenlik bu bilginin bulunduğu dijital ortamların ve bu ortamlara yönelik tehditlerin yönetimini daha güçlü biçimde öne çıkarır.

Uygulamada bu iki alan birbirini tamamlar. Kurumlar güçlü bir güvenlik yapısı kurmak istediklerinde hem bilginin korunmasına hem de bu bilgiyi taşıyan sistemlerin, ağların ve dijital altyapıların korunmasına birlikte odaklanmalıdır.

3) Bilgi Güvenliğinde Başlangıç Noktası

Kurumsal bilgi güvenliğinin başlangıç noktası, bilginin kurum için korunması gereken bir varlık olduğunun kabul edilmesidir. Geçmişte birçok kurum varlıklarını sayarken bina, makine, cihaz veya araç gibi fiziksel unsurları dikkate alırken bilgiyi bağımsız bir varlık olarak değerlendirmemiştir. Oysa günümüzde bilgi hem operasyonun hem karar süreçlerinin hem de kurumsal itibarın temel unsurlarından biridir.

Bu nedenle bilgi güvenliği yaklaşımı, bilginin yalnızca teknik sistemlerde bulunan bir çıktı değil, korunması gereken temel bir kurumsal değer olarak görülmesini gerektirir. Seçilecek rehber, standart veya yöntem ne olursa olsun, esas başlangıç bu farkındalığın kurum genelinde oluşturulmasıdır.

4) Üst Yönetimin Bilgi Güvenliği Sorumluluğu

Bilgi güvenliği teknik birimlere bırakılabilecek dar kapsamlı bir konu değildir. Kurumun her kademesini ve tüm çalışanlarını ilgilendirir. Bu nedenle bilgi güvenliği sorumluluğunun en üst düzeyde sahiplenilmesi beklenir. Bilgi güvenliği politikasının oluşturulması, periyodik olarak gözden geçirilmesi, görevlendirmelerin yapılması, risk yönetiminin işletilmesi, çalışan farkındalığının sağlanması ve ihlallerin değerlendirilmesi üst yönetimin sorumlulukları arasındadır.

Üst yönetim yalnızca onay veren makam değildir. Aynı zamanda konuya verdiği önem, aldığı kararlar, kaynak tahsisi ve uygulama tarzıyla bilgi güvenliği kültürünün kurumsallaşmasını sağlayan ana mercidir. Yönetim desteği olmayan bilgi güvenliği yapıları genellikle kâğıt üzerinde kalır.

5) Roller ve Sorumluluklar

Kurumda bilgi güvenliğiyle ilgili en az bir sorumlu kişi belirlenmelidir. Bu kişinin tek görevi yalnızca bilgi güvenliği olmak zorunda değildir; ancak görev ve sorumluluğu açık biçimde tanımlanmış olmalıdır. Kurumun büyüklüğüne göre ayrıca bir ekip oluşturulması da uygun olur.

Ekip yapısında farklı birimlerden temsilcilerin yer alması önemlidir. Çünkü bilgi güvenliği yalnızca bilgi işlem faaliyetlerinden ibaret değildir; iş süreçlerinin tamamı üzerinde etkisi vardır. Her rolün görev tanımı yazılı, onaylı ve ilgililere duyurulmuş olmalıdır. Bilgi güvenliğinden sorumlu kişi ve kişiler organizasyon şemasında gösterilmelidir.

Bu yapı sayesinde bilgi güvenliği çalışmaları kişilere bağlı olmaktan çıkar, kurumsal bir mekanizma haline gelir.

6) Farkındalık ve Eğitim

Bilgi güvenliği alanında çalışan farkındalığı çok önemlidir. Çünkü ihlallerin önemli bir kısmı yalnızca teknik açıklıklardan değil, insan hatalarından, dikkatsizlikten, prosedürlerin bilinmemesinden veya sosyal mühendislik saldırılarından kaynaklanabilmektedir.

Bu nedenle tüm seviyelerdeki çalışanlara temel bilgi güvenliği eğitimi verilmelidir. Eğitimler bir defalık olmamalı; periyodik aralıklarla tekrarlanmalı ve güncel tehditlere göre yenilenmelidir. Ayrıca eğitim içeriği hedef kitleye göre düzenlenmelidir. Üst yönetime verilen eğitim ile teknik ekibe verilen eğitim aynı içerikte olmak zorunda değildir.

Amaç, kurum genelinde bilgi güvenliğine ilişkin ortak bilinç oluşturmak ve güvenli davranış biçimlerini yerleştirmektir.

7) Bilgi Güvenliği Politikası

Kurumlar bilgi güvenliğini hangi yaklaşım veya standart çerçevesinde uyguluyor olursa olsun, mutlaka bir bilgi güvenliği politikası oluşturmalıdır. Bu politika; üst yönetimin bakışını, konuya verilen önemi, kapsamı, temel hedefleri ve rol dağılımlarını yansıtmalıdır.

Bilgi güvenliği politikası üst yönetim tarafından onaylanmalı, uygun şekilde duyurulmalı ve çalışanların erişebileceği yerde bulunmalıdır. Belirli dönemlerde gözden geçirilmeli ve gerektiğinde güncellenmelidir.

Politika asgari olarak şu unsurları içermelidir:

• Bilgi güvenliğinin tanımı, kapsamı ve kurumsal hedefleri
• Roller ve sorumluluklar
• Risk yönetimi yaklaşımı
• Tabi olunan yasal ve düzenleyici hükümler
• Farkındalık ve eğitim yaklaşımı
• Üst yönetimin bağlılığı
• Politika ve süreçlere aykırı davranışların sonuçları

Ayrıca bilgi güvenliği yalnızca çalışanları değil; tedarikçileri, servis sağlayıcıları, müşterileri ve iş ortaklarını da etkileyebilir. Bu nedenle politika uygun yöntemlerle dış paydaşlara da duyurulmalıdır.

8) Risk Yönetimi

Bilgi güvenliği yönetiminin ayrılmaz parçalarından biri risk yönetimidir. Risk yönetimi sürecinde öncelikle bilgi sistemleri kapsamındaki varlıklar belirlenir. Bunlar sunucular, depolama ortamları, kullanıcı cihazları, ağ cihazları ve yazılımlar gibi unsurları içerebilir. Bu varlıkların üzerinde işlenen, saklanan ve iletilen veri de dolaylı olarak korumanın merkezindedir.

Varlıkların belirlenmesinden sonra bu varlıklara ilişkin zafiyetler ve bu zafiyetlerden yararlanabilecek tehditler tespit edilir. Böylece risk belirleme süreci tamamlanır. Sonraki aşamada risk değerlendirmesi yapılır ve kurumun kabul edilebilir risk seviyesi belirlenir.

Risk işleme seçenekleri dört başlıkta toplanır:

• Riski azaltma: Kontrollerle risk seviyesini düşürme.
• Riski engelleme: Riske neden olan ürün veya hizmetin kullanımına son verme.
• Riski paylaşma: Riski üçüncü taraflarla paylaşma.
• Riski kabul etme: Risk bilindiği halde faaliyete devam etme.

Burada önemli nokta, risk yönetiminin sıfır risk yaratma amacı taşımamasıdır. Kurum, kabul edilebilir risk seviyesini belirler ve bu seviyenin üzerindeki riskler için uygun işleme yöntemlerini seçer. Ayrıca tüm risk değerlendirme çalışmaları yazılı dokümantasyonla desteklenmelidir.

9) Bilgi Güvenliği Gözetimi, Ölçümü ve Değerlendirmesi

Bilgi güvenliği konusunda yalnızca politika ve kontrol kurmak yeterli değildir. Bu kontrollerin çalışıp çalışmadığı, hedeflerin ne ölçüde karşılandığı ve süreçlerin etkinliği de düzenli olarak izlenmelidir. Bu nedenle gözetim, ölçüm ve değerlendirme faaliyetleri periyodik olarak yürütülmelidir.

Bu faaliyetlerde amaç; bilgi güvenliği süreçlerinin etkinliğini belirlemek, hedeflerin başarımını ölçmek, risk değerlendirme sürecini ve uygulanan kontrollerin yeterliliğini test etmektir. İç ve dış denetimler, performans göstergeleri, teknik açıklık testleri, senaryo uygulamaları, kırmızı-mavi takım çalışmaları ve sızma testleri bu kapsamda değerlendirilebilir.

Özellikle sızma testleri, sistemlerdeki zafiyetlerin önceden tespit edilmesi ve giderilmesi açısından önemli bir araçtır. Bulgular etki seviyesine göre raporlanmalı ve takip edilmelidir.

10) Bilgi Güvenliği İhlal Yönetimi

Bilgi güvenliği ihlali; bilgi sistemlerinde bilgiye veya bilgi barındıran ortamlara zarar vermiş veya zarar verme ihtimali çok yüksek olan olayları ifade eder. Bu olay bir arıza, yanlış kullanım, suiistimal veya dış saldırı olabilir. İhlal olarak değerlendirilmesi için bilgi güvenliğini tehlikeye atmış olması yeterlidir.

Kurum içinde çalışanların şüpheli durumları bildirebileceği işler bir mekanizma kurulmalıdır. Bu mekanizma çağrı hattı, yardım masası uygulaması, özel e-posta adresi veya benzeri bir yapı olabilir. Önemli olan, herkesin kullanabileceği kadar açık ve basit olmasıdır.

İhlal gerçekleştiğinde işletilecek mekanizmalar, sorumluluklar ve iletişim yolları önceden yazılı ve onaylı biçimde tanımlanmış olmalıdır. İhlalin gerçekten gerçekleşip gerçekleşmediği değerlendirilir; gerekiyorsa iç ve dış bilgilendirmeler yapılır. Sürecin en kritik aşamalarından biri de kanıt toplama faaliyetidir.

İhlal çözümlendikten sonra yapılan işlemler kayıt altına alınmalı, kök sebep bulunmalı ve gerekli düzeltici-iyileştirici faaliyetler gerçekleştirilmelidir. Kurum her ihlalden öğrenen bir yapı kurmalıdır.

11) Bilgi Güvenliği Yönetiminin Değerlendirilmesi

Kurumda bilgi güvenliği yönetimi değerlendirilirken öncelikle ilgili politika ve prosedürler incelenir. Bunların yazılı, onaylı, duyurulmuş ve düzenli olarak gözden geçiriliyor olması gerekir. Sadece dokümanın varlığı değil; uygulamada gerçekten işletilip işletilmediği de önem taşır.

Eğitim kayıtları, risk değerlendirme dokümanları, kabul edilebilir risk seviyesinin yönetimce onaylanıp onaylanmadığı, risk işleme kararlarının nasıl izlendiği, ölçüm sonuçlarının yönetim tarafından değerlendirilip değerlendirilmediği gibi hususlar gözden geçirilir.

Ayrıca geçmiş ihlal kayıtları da incelenir. Özellikle kimin haberdar edildiği, hangi kanıtların toplandığı, ihlale karşı hangi işlemlerin yapıldığı ve kök sebebin bulunup bulunmadığı önemli değerlendirme alanlarıdır. Amaç, bilgi güvenliği yönetiminin kâğıt üzerinde değil, sahada yaşayan bir sistem olup olmadığını anlamaktır.

Final Özet (Sınavlık)

• Bilgi güvenliğinin temel amacı bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini korumaktır.
• Bilgi güvenliği ile siber güvenlik ilişkili ama aynı odak noktasına sahip olmayan kavramlardır.
• Bilgi güvenliği yönetimi yalnızca teknik ürünlerden değil; organizasyon, politika, süreç ve sorumluluklardan oluşur.
• Bilgi güvenliğinde sorumluluk en üst yönetimden başlar.
• Roller ve görev tanımları yazılı, onaylı ve duyurulmuş olmalıdır.
• Tüm çalışanlara uygun seviyede bilgi güvenliği eğitimi verilmelidir.
• Bilgi güvenliği politikası yazılı, üst yönetim onaylı ve erişilebilir olmalıdır.
• Risk yönetimi; varlık, zafiyet ve tehdit ilişkisi üzerinden yürütülür.
• Risk işleme seçenekleri azaltma, engelleme, paylaşma ve kabul etmedir.
• Gözetim, ölçüm ve değerlendirme olmadan bilgi güvenliği yönetimi tamamlanmış sayılmaz.
• İhlal yönetiminde bildirim, analiz, kanıt toplama, kayıt tutma ve kök sebep analizi önemlidir.
• Bilgi güvenliği yönetiminin değerlendirilmesinde yazılı belgeler kadar uygulamadaki karşılık da incelenmelidir.