Bilgi Sistemleri Güvenliği
Bilgi Güvenliği Yönetiminin Denetimi ve Değerlendirilmesi
Bilgi güvenliği yönetiminin denetimi ve değerlendirilmesi; politika ve prosedürlerin incelenmesi, eğitim kayıtları, risk yönetimi belgeleri, ölçüm sonuçları, ihlal kayıtları ve kanıt toplama yaklaşımı çerçevesinde sınav odaklı ve detaylı biçimde ele alınmaktadır.
Konu İçeriği
Bilgi Güvenliği Yönetiminin Denetimi ve Değerlendirilmesi
Bilgi güvenliği yönetiminde politika oluşturmak, görev dağılımı yapmak, eğitim vermek ve kontroller geliştirmek kadar, kurulan yapının gerçekten işleyip işlemediğini değerlendirmek de önemlidir. Denetim ve değerlendirme yaklaşımı, bilgi güvenliği yönetiminin kâğıt üzerinde kalan bir sistem mi, yoksa kurum içinde gerçekten yaşayan ve uygulanan bir yapı mı olduğunu ortaya koyar. Kitabın bu bölümünde bilgi güvenliği yönetiminin değerlendirilmesi; politika ve prosedürlerin incelenmesi, eğitim kayıtlarının gözden geçirilmesi, risk yönetimi belgelerinin değerlendirilmesi, ölçüm sonuçlarının ele alınması, ihlal kayıtlarının incelenmesi ve mümkün olduğu kadar kanıt toplanması yaklaşımı üzerinden açıklanmaktadır.
1) Denetim ve Değerlendirmenin Amacı
Kitaba göre kurumda bilgi güvenliği yönetimi değerlendirilirken ilk önce ilgili tüm politika ve prosedürler incelenmeli, daha sonra da genel olarak işletmedeki bilgi güvenliği farkındalığı değerlendirilmelidir. Bu yaklaşım, değerlendirmenin yalnızca belge kontrolü olmadığını; hem dokümantasyonu hem de uygulamadaki karşılığı birlikte ele aldığını gösterir.
Bilgi güvenliği yönetiminin denetimi ve değerlendirilmesindeki temel amaç, kurulan güvenlik sisteminin gerçekten etkin olup olmadığını anlamaktır. Yani kurumda politika bulunması, eğitim verilmesi veya süreçlerin tanımlanmış olması tek başına yeterli kabul edilmez. Bunların uygulanıp uygulanmadığı, çalışanlar tarafından bilinip bilinmediği ve kurumsal işleyişte karşılık bulup bulmadığı incelenir.
Bu nedenle değerlendirme, hem belgeye hem uygulamaya bakan çok yönlü bir süreçtir.
Bilgi güvenliği yönetiminin değerlendirilmesinde sadece doküman değil,
uygulamadaki karşılık da incelenmelidir.
2) Politika ve Prosedürlerin İncelenmesi
Kitapta değerlendirme sırasında ilk aşamada bilgi güvenliği ve varsa destek politikalarının yazılı, üst yönetimce onaylanmış, tüm personele duyurulmuş ve düzenli olarak gözden geçirilmekte olup olmadığının incelenmesi gerektiği belirtilmektedir. Bu husus sınav açısından çok önemlidir.
Yazılı, onaylı ve duyurulmuş bilgi güvenliği politikasının bulunmaması risk yaratır. Bunun nedeni, kurumsal bilgi güvenliği yaklaşımının görünür ve bağlayıcı hale gelememesidir. Politika sadece bilgi sistemleri birimine değil, tüm çalışanlara duyurulmuş olmalı ve her an erişilebilir yerde bulunmalıdır.
Ayrıca yalnızca üst düzey politika değil, bu politikayı destekleyen süreçlerin ve prosedürlerin de yazılı ve onaylı olması aranır. Böylece değerlendirme, sadece niyet beyanına değil, işleyişi yöneten dokümantasyona da bakmış olur.
Yazılı, onaylı ve duyurulmuş bilgi güvenliği politikası olmaması risk yaratır.
3) Dokümantasyonun Varlığı ve Etkin İşleyişi
Kitapta, yukarıda detayları belirtilen süreçlerin yazılı ve onaylı dokümantasyonda mevcut olduğu, bunların etkin bir şekilde işletildiği ve sahada karşılığının bulunduğu hususlarının değerlendirilmesi gerektiği ifade edilmektedir. Bu vurgu, belge varlığı ile süreç etkinliğinin aynı şey olmadığını açıkça ortaya koyar.
Bir kurumda politika ve prosedürler bulunabilir; ancak bunlar yalnızca dosya içinde kalıyorsa, çalışanlar tarafından bilinmiyorsa veya günlük iş yapış biçimine yansımıyorsa bilgi güvenliği yönetimi yeterince olgun kabul edilemez. Bu nedenle değerlendirme sırasında, yazılı dokümanın yanı sıra fiilî uygulamaya da bakılmalıdır.
Böylece denetim yaklaşımı, kâğıt üzerinde güçlü görünen ama uygulamada zayıf kalan yapıları ayırt edebilir.
Dokümantasyonun varlığı yeterli değildir;
etkin işletildiği ve sahada karşılığı olduğu da değerlendirilmelidir.
4) Eğitim Kayıtlarının İncelenmesi
Kitapta bilgi güvenliği ile ilgili çalışanlara verilen veya aldırılan eğitim kayıtlarının incelenmesi gerektiği, tüm personelin en az bir kere eğitim almış olmasının beklendiği belirtilmektedir. Bu husus, farkındalık ve eğitim faaliyetlerinin değerlendirmenin ayrılmaz parçası olduğunu gösterir.
Eğitim verildiğinin sözlü olarak ifade edilmesi yeterli değildir. Eğitim kayıtlarının bulunması, bu kayıtların izlenebilir olması ve kurum genelinde ne ölçüde kapsayıcılık sağlandığının görülebilmesi gerekir. Bu sayede kurumun güvenlik kültürüne ilişkin yaklaşımı da daha somut biçimde değerlendirilebilir.
Eğitim kayıtları aynı zamanda kurumsal disiplin ve süreklilik göstergesidir.
“Eğitim verildi” demek yeterli değildir.
Eğitim kayıtları incelenmeli ve personelin kapsanıp kapsanmadığı görülmelidir.
5) Risk Yönetimi Belgelerinin Değerlendirilmesi
Kitapta risk yönetim süreci değerlendirilirken geçmiş risk değerlendirmelerinin sonuçlarına bakılması gerektiği ve bunların mutlaka yazılı olarak mevcut olması gerektiği belirtilmektedir. Ayrıca kabul edilebilir risk seviyesinin yönetimce onaylanıp onaylanmadığının da gözden geçirilmesi gerekir.
Bu yaklaşım, risk yönetiminin yalnızca teorik bir kavram olarak ele alınmaması gerektiğini gösterir. Geçmiş değerlendirme sonuçlarının varlığı, kurumun riskleri sistematik biçimde ele aldığını ortaya koyar. Kabul edilebilir risk seviyesinin yönetimce onaylanması ise risk iştahının kurumsal sahiplik taşıdığını gösterir.
Risk yönetimi belgeleri değerlendirilmeden, bilgi güvenliği yönetiminin önemli bir boyutu eksik kalmış olur.
Geçmiş risk değerlendirmeleri yazılı olarak mevcut olmalı,
kabul edilebilir risk seviyesi yönetimce onaylanmış olmalıdır.
6) Risk İşleme Sürecinin İncelenmesi
Kitapta risk işleme sürecinin de değerlendirilmesi gerektiği, özellikle risk azaltma kararı verilen varlıklarla ilgili yapılacakların belli olup olmadığının incelenmesi gerektiği ifade edilmektedir. Bu kapsamda ne yapılacağı, kimin yapacağı ve ne zamana kadar yapacağı gibi unsurlar değerlendirilmelidir.
Bu vurgu, risk yönetiminin sadece risk tespitiyle sınırlı olmadığını; aksiyon planlarının da denetim konusu olduğunu gösterir. Eğer bir risk belirlenmiş ama buna karşı ne yapılacağı açık biçimde tanımlanmamışsa, risk yönetimi süreci tamamlanmış kabul edilemez.
Bu nedenle değerlendirme, risklerin bulunup bulunmadığı kadar bunlara ilişkin eylem planlarının somutluğunu da ele almalıdır.
7) Ölçüm Sonuçlarının ve İzleme Sürecinin Gözden Geçirilmesi
Kitapta bilgi güvenliğinin izleme ve ölçme sürecinin incelenmesi gerektiği, ayrıca ölçüm sonuçlarının üst yönetimce değerlendirilip değerlendirilmediğine dikkat edilmesi gerektiği belirtilmektedir. Bu ifade, ölçüm yapmanın tek başına yeterli olmadığını göstermektedir.
Ölçüm sonuçları, yönetim tarafından ele alınmıyor ve kararlara yansımıyorsa, gözetim faaliyeti gerçek işlevini yerine getiremeyebilir. Bu nedenle denetim sırasında yalnızca metriklerin varlığı değil, bu metriklerin yönetsel değerlendirme ve iyileştirme süreçlerine katkı sağlayıp sağlamadığı da incelenmelidir.
Böylece izleme ve ölçme mekanizmasının kurumsal karar desteğine dönüşüp dönüşmediği anlaşılır.
Ölçüm sonuçlarının varlığı kadar,
üst yönetimce değerlendirilip değerlendirilmediği de önemlidir.
8) İhlal Kayıtlarının İncelenmesi
Kitapta ihlal yönetim süreci değerlendirilirken geçmiş ihlal kayıtlarına bakılması gerektiği belirtilmektedir. Bu kayıtlar, kurumun güvenlik olaylarına nasıl yaklaştığını ve olay yönetimi olgunluğunu gösteren önemli kaynaklardır.
Özellikle ihlalden kimin haberdar edildiği, hangi adımların atıldığı ve olayın nasıl yönetildiği gibi unsurlar, kurumun gerçek olaylara yaklaşımını anlamada büyük önem taşır. İhlal kayıtları sadece yaşanmış sorunların arşivi değildir; aynı zamanda kurumsal öğrenme ve iyileştirme kaynağıdır.
Bu nedenle ihlal kayıtları denetim ve değerlendirme bakımından güçlü kanıt niteliği taşır.
İhlal kayıtları sadece olay listesinden ibaret değildir.
Kurumun olay yönetimi olgunluğunu gösteren önemli kanıtlardır.
9) İhlal Kayıtlarında Özellikle Nelere Bakılır?
Kitapta ihlal yönetim süreci değerlendirilirken, özellikle ihlalden kimin haberdar edildiği, toplanan kanıtlar, ihlale cevaben yapılan işlemler ve kök sebebin tespit edilip edilmediğinin incelenmesi gerektiği ifade edilmektedir. Bu vurgu, ihlal kayıtlarının içerik bakımından da değerlendirilmesi gerektiğini gösterir.
Sadece “olay yaşandı” kaydı tutmak yeterli değildir. Olaya kimlerin dahil olduğu, ne tür kanıtların toplandığı, ne tür müdahale yapıldığı ve olaydan ne öğrenildiği açık olmalıdır. Böylece kurumun olay müdahalesinin ne kadar sistematik ve olgun olduğu görülebilir.
Bu unsurlar, olay yönetim sürecinin yüzeysel mi yoksa kurumsal öğrenmeye açık mı olduğunu anlamaya yardımcı olur.
İhlal kayıtlarında özellikle haberdar edilen kişiler, toplanan kanıtlar, yapılan işlemler ve kök sebep incelenmelidir.
10) Kanıt Toplama Yaklaşımı
Kitapta değerlendirme sırasında mümkün olduğu kadar kanıt toplanması gerektiği özellikle belirtilmektedir. Bu ifade, denetim ve değerlendirme yaklaşımının varsayıma değil, delile dayanması gerektiğini ortaya koyar.
Kanıt toplama yaklaşımı; politika ve prosedür belgeleri, eğitim kayıtları, risk değerlendirme dokümanları, ölçüm sonuçları, ihlal kayıtları ve uygulamadaki somut karşılıkların incelenmesi anlamına gelir. Böylece değerlendirmenin nesnelliği artar ve sonuçlar daha sağlam temele dayanır.
Kanıt odaklı denetim, bilgi güvenliği yönetiminin gerçekten işleyip işlemediğini göstermede en güçlü yöntemlerden biridir.
Denetim ve değerlendirme sırasında mümkün olduğu kadar kanıt toplanmalıdır.
11) Farkındalık ve Kurumsal Sahada Karşılık
Kitapta bilgi güvenliği yönetimi değerlendirilirken genel olarak işletmedeki bilgi güvenliği farkındalığının da değerlendirilmesi gerektiği belirtilmektedir. Bu husus, denetimin sadece belge ve kayıtlarla sınırlı olmadığını, çalışan davranışları ve kurumsal kültür boyutunu da kapsadığını gösterir.
Politika ve prosedürlerin sahada gerçekten karşılık bulup bulmadığı, çalışanların bilgi güvenliği konusunda bilinçli olup olmadığı ve kurumsal uygulamaların günlük iş akışına yansıyıp yansımadığı önemlidir. Böylece değerlendirmenin sonucunda kurumun sadece kağıt üstü değil, fiilî güvenlik düzeyi de anlaşılabilir.
Kurumsal farkındalık, bilgi güvenliği yönetiminin olgunluk göstergelerinden biridir.
12) Denetim Sonucunda Ne Anlaşılmak İstenir?
Bilgi güvenliği yönetiminin denetimi ve değerlendirilmesinde asıl amaç, kurumun güvenlik yapısının gerçekten etkin, sürdürülebilir ve uygulamada yaşayan bir sistem olup olmadığını anlamaktır. Bu nedenle politika, eğitim, risk yönetimi, ölçüm ve ihlal yönetimi gibi bütün başlıklar bir arada ele alınır.
Denetim sonunda değerlendirilmek istenen şey, kurumun bilgi güvenliğini yalnızca yazılı metinler üzerinden mi yönettiği, yoksa bu alanı süreçleri, kayıtları, ölçümleri ve olay yönetimi ile birlikte gerçekten kurumsallaştırıp kurumsallaştıramadığıdır.
Bu nedenle değerlendirme yaklaşımı parçalı değil, bütüncül olmalıdır.
Final Özet (Sınavlık)
- Bilgi güvenliği yönetiminin değerlendirilmesinde ilk olarak politika ve prosedürler incelenir.
- Bilgi güvenliği politikası yazılı, onaylı, duyurulmuş ve erişilebilir olmalıdır.
- Dokümantasyonun varlığı kadar etkin işletildiği ve sahada karşılığı olduğu da değerlendirilmelidir.
- Eğitim kayıtları incelenmeli, tüm personelin en az bir kere eğitim almış olması beklenmelidir.
- Geçmiş risk değerlendirmeleri yazılı olarak mevcut olmalıdır.
- Kabul edilebilir risk seviyesi yönetimce onaylanmış olmalıdır.
- Risk işleme sürecinde ne yapılacağı, kim tarafından yapılacağı ve ne zamana kadar yapılacağı belirli olmalıdır.
- İzleme ve ölçüm süreci incelenmeli, sonuçların üst yönetimce değerlendirilip değerlendirilmediğine bakılmalıdır.
- Geçmiş ihlal kayıtları incelenmeli; haberdar edilen kişiler, toplanan kanıtlar, yapılan işlemler ve kök sebep gözden geçirilmelidir.
- Değerlendirme sırasında mümkün olduğu kadar kanıt toplanmalıdır.
Öğrenim Hedefleri
- Bilgi güvenliği yönetiminin denetim ve değerlendirme amacını kavramak
- Politika ve prosedürlerin hangi açılardan incelenmesi gerektiğini öğrenmek
- Eğitim kayıtlarının neden önemli değerlendirme kanıtı olduğunu anlamak
- Risk yönetimi belgeleri ve kabul edilebilir risk seviyesi incelemesini açıklayabilmek
- Ölçüm sonuçlarının yönetsel değerlendirme boyutunu kavramak
- İhlal kayıtlarının denetim açısından önemini öğrenmek
- Kanıt toplama yaklaşımının neden kritik olduğunu açıklayabilmek
- Bilgi güvenliği değerlendirmesinde belge ile uygulama arasındaki farkı anlayabilmek
Önemli Notlar
EZBER: Bilgi güvenliği yönetiminin değerlendirilmesinde ilk olarak politika ve prosedürler incelenir.
EZBER: Yazılı, onaylı ve duyurulmuş bilgi güvenliği politikası olmaması risk yaratır.
EZBER: Eğitim kayıtları incelenmeli ve tüm personelin en az bir kere eğitim almış olması beklenmelidir.
EZBER: Geçmiş risk değerlendirmeleri yazılı olarak mevcut olmalı, kabul edilebilir risk seviyesi yönetimce onaylanmış olmalıdır.
EZBER: Ölçüm sonuçlarının üst yönetimce değerlendirilip değerlendirilmediğine dikkat edilmelidir.
EZBER: İhlal kayıtlarında haberdar edilen kişiler, toplanan kanıtlar, yapılan işlemler ve kök sebep incelenmelidir.
EZBER: Değerlendirme sırasında mümkün olduğu kadar kanıt toplanmalıdır.
Bu Konudaki Tüm Sorular
Aşağıda, ilgili konuya ait veritabanında kayıtlı tüm aktif sorular listelenmektedir.