Bilgi Sistemleri Güvenliği

Üst Yönetimin Bilgi Güvenliği Sorumluluğu

Üst Yönetimin Bilgi Güvenliği Sorumluluğu

Bilgi güvenliği, yalnızca teknik ekiplerin veya bilgi işlem biriminin omzuna bırakılabilecek dar kapsamlı bir konu değildir. Kurumun tüm kademelerini, tüm çalışanlarını ve tüm iş süreçlerini etkileyen yönetsel bir alandır. Bu nedenle bilgi güvenliğiyle ilgili sahiplik, kurumun en üst karar ve sorumluluk seviyesinde başlamalıdır. Kitabın bu bölümünde, üst yönetimin bilgi güvenliğine ilişkin temel sorumluluğu, yön verme görevi, politika sahipliği, risk yönetimi liderliği ve kurum genelinde güvenlik kültürü oluşturmadaki rolü ele alınmaktadır.

1) Bilgi Güvenliği Sahipliğinin En Üstte Başlaması

Bilgi güvenliği teknik bir iş değildir. Bu ifade, konunun yalnızca cihaz, yazılım, ağ ya da sistem güvenliğiyle sınırlı olmadığını gösterir. Bilgi güvenliği; iş süreçlerini, organizasyon yapısını, çalışan davranışlarını, karar alma süreçlerini ve kurumsal öncelikleri etkileyen bir yönetim konusudur. Bu nedenle kurumda bilgi güvenliğine ilişkin temel sorumluluğun en üstte olması beklenir.

Üst yönetim veya yönetim kurulu, bilgi güvenliği alanında yalnızca nihai onay makamı değildir. Aynı zamanda bu alana verilen önemin kuruma yayılmasını sağlayan, kaynak tahsis eden, öncelikleri belirleyen ve kurumun genel yaklaşımını şekillendiren yapıdır. Bilgi güvenliğinin kurumsal düzeyde sahiplenilmemesi halinde, uygulamalar genellikle teknik birimlerin çabasıyla sınırlı kalır ve kurum geneline yayılan etkili bir güvenlik kültürü oluşmaz.

Dolayısıyla bilgi güvenliğinde ilk ve en temel ilke şudur: sorumluluk aşağıdan yukarıya değil, yukarıdan aşağıya kurulur. Kurumun üst yönetimi bu alanı stratejik bir yönetim başlığı olarak ele almalı ve kendi sahipliğini açık biçimde göstermelidir.

2) Politika Oluşturma ve Onaylama Sorumluluğu

Bilgi güvenliğine ilişkin en önemli yönetsel araçlardan biri bilgi güvenliği politikasıdır. Bu politika, kurumun bilgi güvenliğine nasıl baktığını, konunun kapsamını, hedeflerini, rol ve sorumluluklarını ve temel yaklaşımını ortaya koyar. Böyle bir politikanın oluşturulması ve onaylanması üst yönetimin sorumluluğundadır.

Politika, sadece teknik ekiplerin uygulayacağı kurallar listesi değildir. Aynı zamanda üst yönetimin bu alana verdiği önemin yazılı ve kurumsal ifadesidir. Bu nedenle bilgi güvenliği politikası diğer kurumsal politikalar gibi üst yönetimce onaylanmalı, duyurulmalı ve kurum içinde erişilebilir hale getirilmelidir.

Politika onayı, üst yönetimin bilgi güvenliği alanını sahiplenmesinin somut göstergelerinden biridir. Yönetim tarafından sahiplenilmeyen ve onaylanmayan politikalar, uygulamada yeterli kurumsal güce ulaşamaz.

3) Yıllık Gözden Geçirme ve Süreklilik

Bilgi güvenliği statik bir alan değildir. Tehditler değişir, teknolojiler yenilenir, iş süreçleri dönüşür, yeni düzenlemeler yürürlüğe girer ve kurumların risk profili zaman içinde farklılaşır. Bu nedenle bilgi güvenliği politikasının ve buna bağlı yaklaşımın belirli aralıklarla gözden geçirilmesi gerekir.

Kitabın ilgili bölümünde bilgi güvenliği politikasının oluşturulması kadar her yıl gözden geçirilmesi de üst yönetime verilmiş bir sorumluluk olarak belirtilmektedir. Bu vurgu önemlidir. Çünkü bilgi güvenliğinde bir kez politika yazmak yeterli değildir; bu politikanın yaşatılması gerekir. Yıllık gözden geçirme, politikanın güncelliğini, uygulanabilirliğini ve kurumsal ihtiyaçlara uygunluğunu değerlendirme fırsatı sunar.

Gerektiğinde yıllık dönem beklenmeden de gözden geçirme yapılabilir. Ancak en azından düzenli ve planlı bir periyodik gözden geçirme mekanizmasının bulunması, üst yönetimin bu alandaki süreklilik sorumluluğunun parçasıdır.

4) Görevlendirmeler ve Organizasyonel Yapının Kurulması

Üst yönetimin sorumluluğu yalnızca politika onaylamakla sınırlı değildir. Bilgi güvenliği alanında görev yapacak kişi ve ekiplerin belirlenmesi, organizasyonel sorumlulukların dağıtılması ve bu yapının işler hale getirilmesi de üst yönetimin görev alanına girer.

Bu çerçevede kurumda bilgi güvenliğiyle ilgili en az bir sorumlu kişinin belirlenmesi gerekir. Kurumun büyüklüğüne göre ayrıca bir ekip oluşturulması da uygun olur. Ekipte farklı birimlerden temsilcilerin bulunması önemlidir; çünkü bilgi güvenliği tüm birimlerin çalışma biçimini etkiler. Yalnızca bilgi işlem birimi merkezli bir yaklaşım, kurumsal yayılım açısından yetersiz kalabilir.

Görevlendirmelerin açık, anlaşılır ve uygulanabilir olması gerekir. Üst yönetimce yapılan bu görevlendirmeler sayesinde bilgi güvenliği kişisel inisiyatiflere bağlı olmaktan çıkar ve kurumsal bir sisteme dönüşür.

5) Risk Yönetimine Liderlik

Bilgi güvenliği yönetiminin temel taşlarından biri risk yönetimidir. Kurumda bilgi sistemlerinden ve bilgi varlıklarından kaynaklanan risklerin belirlenmesi, değerlendirilmesi ve uygun şekilde işlenmesi gerekir. Bu sürecin sahipliği ve yönlendirilmesi de üst yönetimin sorumluluk alanındadır.

Üst yönetim risk yönetimine yalnızca sonuç raporlarını görmek için dahil olmaz. Risk iştahının belirlenmesi, kabul edilebilir risk seviyesinin kurum adına değerlendirilmesi, öncelikli risk alanlarının ele alınması ve gerekli kaynakların tahsis edilmesi gibi stratejik kararlar yönetim seviyesinde şekillenir.

Risk yönetimi alt kademelere tamamen bırakıldığında, bilgi güvenliği öncelikleri kurumsal hedeflerle uyumsuz hale gelebilir. Bu nedenle üst yönetimin risk yönetimi sürecine aktif liderlik göstermesi, bilgi güvenliği yönetiminin etkinliği açısından belirleyicidir.

6) Çalışan Farkındalığına ve Güvenlik Kültürüne Yön Verme

Kurumda bilgi güvenliğinin etkin olabilmesi için sadece kurallar koymak yetmez. Çalışanların konuya ilişkin farkındalığının sağlanması, güvenlik ilkelerinin davranış biçimine dönüşmesi ve bu yaklaşımın kurumsal kültür haline gelmesi gerekir. Bu da doğrudan üst yönetimin sahipliğiyle ilişkilidir.

Kitapta çalışanların farkındalığının sağlanması üst yönetime verilmiş sorumluluklar arasında sayılmaktadır. Bu yaklaşım, güvenlik kültürünün tepeden başlayan bir yönetsel duruşla geliştiğini gösterir. Üst yönetim konuya önem verirse, çalışanlar da bu alanın kurumsal öncelik olduğunu görür. Buna karşılık yönetim ilgisiz kalırsa, bilgi güvenliği çoğu zaman sadece teknik bir formalite gibi algılanır.

Güvenlik kültürü; eğitim, iletişim, örnek davranış, karar süreçleri ve yönetim yaklaşımıyla oluşur. Üst yönetimin aldığı kararlar ve sergilediği tutum, güvenlik kültürünün kurum genelinde nasıl yerleşeceğini belirler.

7) Bilgi Güvenliği İhlallerine Yaklaşım ve Yönetim Desteği

Üst yönetimin sorumluluk alanlarından biri de bilgi güvenliği ihlallerinin değerlendirilmesidir. Bir ihlal meydana geldiğinde bunun yalnızca teknik düzeltme olarak ele alınması yeterli değildir. İhlalin kurumsal etkisi, hukuki ve itibari sonuçları, gerekli iletişim adımları ve sonraki iyileştirme faaliyetleri de değerlendirilmelidir.

Yönetimin bu alandaki desteği, ihlallerin ciddiyetle ele alınmasını sağlar. Aynı zamanda kurum içinde “güvenlik ihlali olsa da üstü kapatılır” anlayışı yerine, “tespit edilir, değerlendirilir, ders çıkarılır ve iyileştirilir” yaklaşımının yerleşmesine yardımcı olur.

Böylece bilgi güvenliği, yalnızca önleyici kontrollerden oluşan dar bir alan olmaktan çıkar; öğrenen ve gelişen kurumsal güvenlik yönetimine dönüşür.

8) Yönetimin Kararlarıyla Örnek Olması

Kitapta üst yönetim ve yönetim kurulunun aldığı veya alacağı kararlarla, uygulama tarzıyla ve bireysel yaklaşımıyla konuya verdiği önemi göstermesi gerektiği belirtilmektedir. Bu ifade son derece önemlidir. Çünkü bilgi güvenliği kültürü yalnızca yazılı dokümanlarla değil, yönetsel davranış biçimiyle de şekillenir.

Üst yönetim kuralları destekliyor, güvenlik gerekliliklerini ciddiye alıyor, gerekli kaynakları sağlıyor ve kendi davranışlarıyla bu alanı önemsediğini gösteriyorsa, kurum geneli de bu alanı doğal olarak daha ciddiye alır. Ancak yönetim kendi koyduğu ilkelere uymuyor veya bunları ikincil görüyorsa, çalışanların da güvenlik kurallarına bağlılığı zayıflar.

Bu nedenle üst yönetim bilgi güvenliğinde yalnızca karar verici değil, aynı zamanda örnek teşkil eden aktördür.

9) Kurum Genelinde Güvenlik Kültürü Oluşturma

Bilgi güvenliğinde kalıcı başarı, kurum genelinde güvenlik kültürü oluşturulmasına bağlıdır. Güvenlik kültürü; çalışanların güvenlik kurallarını yalnızca zorunluluktan değil, işin doğal parçası olarak benimsemesini ifade eder. Bunun oluşabilmesi için üst yönetimin bilgi güvenliğini stratejik ve sürekli bir kurumsal öncelik olarak görmesi gerekir.

Güvenlik kültürü; eğitim, iletişim, organizasyon, denetim ve liderlikle birlikte gelişir. Üst yönetim tarafından sahiplenilen bir güvenlik yaklaşımı, kurumun her birimine yansır. Böylece bilgi güvenliği yalnızca prosedürlerde yer alan bir konu olmaktan çıkar ve günlük iş yapış biçiminin parçası haline gelir.

Bu açıdan bakıldığında üst yönetimin rolü sadece başlangıç yapmak değildir; güvenlik kültürünü kalıcı hale getirecek kurumsal ortamı sürdürmektir.

Final Özet (Sınavlık)

• Bilgi güvenliği teknik bir iş değil, kurumsal düzeyde yönetilmesi gereken bir konudur.
• Bu nedenle bilgi güvenliği sorumluluğunun kurumda en üstte olması beklenir.
• Bilgi güvenliği politikasının oluşturulması ve onaylanması üst yönetimin sorumluluğundadır.
• Politika her yıl gözden geçirilmeli, gerektiğinde güncellenmelidir.
• Bilgi güvenliği için sorumlu kişiler ve gerektiğinde ekipler üst yönetim tarafından görevlendirilmelidir.
• Risk yönetimine liderlik etmek, kabul edilebilir risk yaklaşımına yön vermek yönetimin görevleri arasındadır.
• Çalışan farkındalığının sağlanması ve kurum genelinde güvenlik kültürü oluşturulması üst yönetimin sahipliğiyle mümkündür.
• Bilgi güvenliği ihlallerinin değerlendirilmesi de üst yönetime verilmiş sorumluluklar arasındadır.
• Üst yönetim bilgi güvenliğine verdiği önemi aldığı kararlarla ve uygulama tarzıyla göstermelidir.