Bilgi Sistemleri Güvenliği

Roller, Sorumluluklar ve Organizasyon Yapısı

Roller, Sorumluluklar ve Organizasyon Yapısı

Bilgi güvenliği yönetiminin etkin çalışabilmesi için yalnızca üst yönetim sahipliği yeterli değildir. Bu sahipliğin kurum içinde somut görevlere, açık sorumluluklara ve işleyen bir organizasyon yapısına dönüşmesi gerekir. Kitabın bu bölümünde, bilgi güvenliği alanında sorumlu kişilerin belirlenmesi, ekip yapısının kurulması, farklı birimlerin sürece dahil edilmesi, görev tanımlarının yazılı hale getirilmesi ve bu rollerin organizasyon şemasında açık biçimde gösterilmesi ele alınmaktadır.

1) Neden Açık Rol ve Sorumluluk Yapısı Gerekir?

Bilgi güvenliği konusu birçok kurumda yanlış biçimde yalnızca teknik ekiplerin alanı gibi görülebilmektedir. Oysa bilgi güvenliği; insan, süreç, teknoloji ve organizasyon boyutları olan çok yönlü bir alandır. Bu nedenle hangi görevin kim tarafından yürütüleceği, hangi kararın kim tarafından alınacağı, hangi birimin hangi konuda sorumlu olacağı açık biçimde belirlenmelidir.

Rol ve sorumlulukların açık olmadığı kurumlarda görev çakışmaları, boşluklar, yetki belirsizlikleri ve hesap verebilirlik problemleri ortaya çıkar. Bu durum bilgi güvenliği risklerinin artmasına neden olur. Kurumun bir güvenlik olayına nasıl tepki vereceği, kimlerin karar alacağı ve hangi birimin hangi aşamada sürece gireceği önceden belli değilse, iyi yazılmış politikalar bile uygulamada yetersiz kalabilir.

Bu nedenle bilgi güvenliği alanında açık roller ve yazılı sorumluluk yapısı, kurumsal güvenliğin temel yapı taşlarından biridir.

2) Bilgi Sistemleri Güvenliği Sorumlusu

Kitaba göre üst yönetim tarafından bu konuyla görevlendirilmiş en az bir kişinin sorumlu olarak belirlenmesi doğru olacaktır. Bu kişi bilgi sistemleri güvenliği sorumlusu olarak düşünülebilir. Burada önemli nokta, bu kişinin tek görevinin mutlaka bilgi güvenliği olmak zorunda olmamasıdır. Ancak görev ve sorumluluğunun açık biçimde tanımlanmış olması gerekir.

Bilgi sistemleri güvenliği sorumlusu, kurumun bilgi güvenliğiyle ilgili çalışmalarının koordinasyonunda önemli rol oynar. Politika, süreç, farkındalık, risk yönetimi, ihlal takibi ve birimler arası koordinasyon gibi birçok başlıkta bu sorumlunun etkisi vardır. Bu rolün yalnızca isim olarak belirlenmesi yeterli değildir; kurumsal olarak tanınması ve desteklenmesi gerekir.

Sorumlu kişinin belirlenmiş olması, bilgi güvenliği alanının sahipsiz kalmamasını sağlar. Böylece konu dağınık görevler bütünü olmaktan çıkar ve kurumsal koordinasyonu olan bir yönetime dönüşür.

3) Ekip Yapısının Oluşturulması

Kurumun büyüklüğüne, faaliyet çeşitliliğine ve organizasyon yapısına göre yalnızca tek bir sorumlu kişi yeterli olmayabilir. Bu nedenle bilgi güvenliği alanında bir ekip oluşturulması uygun görülür. Ekip yapısı, bilgi güvenliğinin kurumsal ölçekte sahiplenilmesini ve farklı iş alanlarının aynı çerçeve içinde değerlendirilmesini sağlar.

Ekipte yer alan kişilerin sadece teknik bilgiye sahip olması yeterli değildir. Kurumun faaliyetlerini, iş süreçlerini ve birimlerin çalışma biçimini anlayan kişilerin de bu yapı içinde bulunması önemlidir. Çünkü bilgi güvenliği kararları çoğu zaman teknik kontrol ile iş ihtiyacı arasında denge kurulmasını gerektirir.

Ekip oluşturulması sayesinde bilgi güvenliği çalışmaları tek bir kişinin yükü olmaktan çıkar, koordineli ve kurumsal bir çalışmaya dönüşür.

4) Birim Temsilcilerinin Sürece Dahil Edilmesi

Kitapta ekipte kurumdaki her birimden en az bir temsilcinin yer almasının önemli olduğu belirtilmektedir. Bu vurgu çok değerlidir. Çünkü bilgi güvenliği sadece bilgi işlem faaliyetlerinin değil, iş süreçlerinin bütününün güvenli işletilmesiyle ilgilidir.

Farklı birimlerden temsilcilerin ekipte bulunması, kararların kuruma yayılmasını ve alınan önlemlerin sahada uygulanabilir olmasını kolaylaştırır. Ayrıca birim temsilcileri kendi alanlarındaki işleyişi, riskleri, ihtiyaçları ve özel uygulamaları bildikleri için, bilgi güvenliği yaklaşımının sadece teorik değil, pratik açıdan da gerçekçi olmasına katkı sağlar.

Böylece bilgi güvenliği kuralları merkezden dayatılan ve uygulamada karşılığı olmayan metinler olmaktan çıkar, birimlerle birlikte şekillenen ve kurum genelinde uygulanabilen bir yapıya dönüşür.

5) Çalışma Yöntemi ve Görev Dağılımı

Sadece ekip kurmak yeterli değildir. Bu ekibin nasıl çalışacağı, kararları nasıl alacağı, alınan kararların kurum içinde nasıl uygulanacağı ve görev dağılımının nasıl yapılacağı da belirlenmelidir. Kitapta, oluşturulan ekibin çalışma yönteminin kararlaştırılması ve ekipçe alınan kararların birimlerde uygulanabilir olmasını sağlayacak mekanizmanın belirlenmesi gerektiği ifade edilmektedir.

Bu yaklaşım, bilgi güvenliğinin düzensiz toplantılarla yürütülen bir niyet alanı değil, planlı ve işletilebilir bir kurumsal sistem olması gerektiğini göstermektedir. Ekip içinde kimin koordinasyondan, kimin farkındalık faaliyetlerinden, kimin risk takibinden, kimin politika gözden geçirmelerinden veya olay iletişiminden sorumlu olduğu açık olmalıdır.

Görev dağılımı net oldukça hesap verebilirlik artar, takip kolaylaşır ve işlerin sahipsiz kalma ihtimali azalır.

6) Görev Tanımlarının Yazılı ve Onaylı Olması

Kitapta yer alan çok önemli ifadelerden biri, bilgi güvenliği kapsamındaki her rolün görev tanımlarının yazılı, onaylı ve ilgililere duyurulmuş olması gerektiğidir. Bu husus sınav açısından da kritik önemdedir.

Bir görevin fiilen bir kişi tarafından yürütülmesi, o görevin kurumsal olarak tanımlandığı anlamına gelmez. Yazılı ve onaylı görev tanımları; yetki sınırlarını, sorumluluk alanlarını, raporlama ilişkilerini ve hesap verebilirliği netleştirir. Ayrıca görev değişikliklerinde, personel ayrılıklarından sonra ve denetim süreçlerinde kurumsal süreklilik sağlar.

Duyurulmuş olmak da ayrıca önemlidir. Çünkü bir rolün sadece kâğıt üzerinde tanımlanması değil, ilgili kişilerin bu rolden haberdar olması, diğer birimlerin de bu rolün varlığını ve işlevini bilmesi gerekir.

7) Organizasyon Şemasında Konumlama

Bilgi güvenliğiyle ilgili sorumlu kişi ve kişilerin kurum organizasyon şemasında yer alması gerektiği kitapta açıkça belirtilmektedir. Bu gereklilik, bilgi güvenliği rolünün kurumsal düzeyde görünür ve tanımlı hale gelmesini sağlar.

Organizasyon şemasında gösterilmeyen roller çoğu zaman kurumsal öncelik bakımından zayıf algılanabilir. Buna karşılık organizasyon şemasında yer alan roller, raporlama ilişkileri ve kurumsal konumlarıyla birlikte daha net anlaşılır. Bu durum hem sorumluluk zincirini hem de karar alma yapısını güçlendirir.

Bilgi güvenliği rolünün şemada görünür olması, bu alanın teknik yan görevlerden biri değil, kurumsal yapı içinde gerçek bir yönetim fonksiyonu olarak ele alındığını da gösterir.

8) Yazılı ve Onaylı Sorumluluk Matrisi Mantığı

Kitapta doğrudan “sorumluluk matrisi” ifadesi geçmese de, her rolün yazılı ve onaylı biçimde tanımlanması, görev dağılımının netleştirilmesi ve organizasyon yapısında gösterilmesi esasen bir sorumluluk matrisi mantığına işaret eder. Bu yaklaşım sayesinde kurum, hangi görevin kimde olduğunu, kimlerin destek verdiğini ve hangi süreçte hangi birimlerin devreye gireceğini açık biçimde belirleyebilir.

Yazılı ve onaylı sorumluluk düzeni; özellikle risk yönetimi, ihlal yönetimi, politika gözden geçirme, eğitim planlama ve kontrol takibi gibi alanlarda büyük kolaylık sağlar. Bu yapı olmadan bilgi güvenliği süreçleri kişilere bağımlı hale gelir ve kurumsal sürdürülebilirlik zayıflar.

Bu nedenle kurumda görevlerin, yetkilerin ve raporlama çizgilerinin yazılı hale getirilmesi, bilgi güvenliği yönetiminin olgunluk göstergelerinden biridir.

9) Yetkinlik ve Uygulanabilirlik Meselesi

Kitapta ayrıca ekipte birimleri temsilen bulunan kişilerin, kendi birimlerindeki çalışmaları ve fonksiyonları bilgi güvenliği ilkeleri özelinde gözden geçirecek ve gerekirse revize edecek ya da edilmesini sağlayacak yetkinlikte olması gerektiği vurgulanmaktadır. Bu husus son derece önemlidir.

Çünkü yalnızca unvan sahibi olmak, bilgi güvenliği ekibinde etkili olmak için yeterli değildir. Temsilci kişilerin kendi birimlerinin işleyişini bilmesi, riskleri anlayabilmesi, bilgi güvenliği ilkelerini yorumlayabilmesi ve gerekli değişikliklerin uygulanmasına katkı sağlayabilmesi gerekir.

Bu da rol tanımları kadar rol sahiplerinin yetkinliğinin de önemli olduğunu gösterir. Kurumsal organizasyon yapısı ancak yetkin kişilerle desteklendiğinde gerçek anlamda işler hale gelir.

Final Özet (Sınavlık)

• Bilgi güvenliği alanında roller ve sorumluluklar açık biçimde belirlenmelidir.
• Üst yönetim tarafından görevlendirilmiş en az bir bilgi sistemleri güvenliği sorumlusu bulunmalıdır.
• Kurumun büyüklüğüne göre bilgi güvenliği ekibi oluşturulabilir.
• Ekipte farklı birimlerden temsilcilerin yer alması önemlidir.
• Ekip çalışma yöntemi ve görev dağılımı önceden belirlenmelidir.
• Her rolün görev tanımı yazılı, onaylı ve ilgililere duyurulmuş olmalıdır.
• Bilgi güvenliğinden sorumlu kişi ve kişiler organizasyon şemasında gösterilmelidir.
• Yazılı ve onaylı sorumluluk düzeni, kurumsal hesap verebilirliği ve sürdürülebilirliği güçlendirir.
• Birim temsilcilerinin yetkin olması ve kendi alanlarında uygulamayı yönlendirebilmesi gerekir.