Konu güvenlik olunca fiziksel güvenlik, çevresel güvenlik, sistem güvenliği, uygulama güvenliği, bulut güvenliği gibi birçok bileşenden bahsediliyor. Kurumsal şirketlerdeyse temelde bilgi güvenliği “Bilgi güvenliği yönetim sistemi”, siber güvenlik ise “güvenlik ürünlerinin yönetimi” olarak ayrı ele alınıyor. Çoğu şirkette güvenlik ürünlerini yöneten ekip aynı zamanda network ve sistemleri de yönetiyor ve Bilgi Teknolojileri (BT) departmanlarının içinde görev alıyorlar. Peki, BT’den sorumlu genel müdür yardımcılarının, CIO’ların ya da CTO’ların hedeflerinde bilgi güvenliğiyle ilgili operasyonel başarı hedefleri içeren maddelerin ağırlığı ne kadar? Bu bilgi güvenliği ve yönetişim açısından çok hayati bir konu.
BilgeAdam Kurumsal Bilgi Güvenliği Birim Yöneticisi Murathan Gemicioğlu, “Risklerin tamamının sahibinin tepe yönetim olduğu yadsınamaz bir gerçek. Konumuz bir regülasyona uymak değil şirketin risklerini belirleyip bunları en aza indirgemeye çalışırken, dışarıdan bir gözün de gözden bir şey kaçırıp kaçırmadığımızı bize söylemesi” diyor. ​Gemicioğlu, bilgi güvenliği ve yönetişim hakkındaki soruları şöyle yanıtladı:
Şirketlerde bilgi güvenliği nasıl ele alınıyor?​
Kurumsal şirketlerde temelde bilgi güvenliği “Bilgi güvenliği yönetim sistemi”, siber güvenlik ise “güvenlik ürünlerinin yönetimi” olarak ayrı ele alınıyor. Çoğu şirkette güvenlik ürünlerini yöneten ekip aynı zamanda network ve sistemleri de yönetiyor ve Bilgi Teknolojileri (BT) departmanlarının içinde yer alıyorlar. Oysa sistemi ayakta tutma hedefi olan ve ilişki yönetimiyle yöneticilik yapmayı tercih eden bir altyapı yöneticisi operasyonel Hizmet Seviyesi Anlaşması/ Service Level Agreement (SLA) hedeflerini düşürmemek için bilgi güvenliğini tehlikeye atan bir karar verebilir. Yılsonunda başarıyı ölçerken SLA değeri ölçülen temel hedefler arasında bulunuyorsa bu davranış güvenlik vizyonu olmayan yönetici için kaçınılmaz bir durumdur.
Bilgi güvenliği şirketler için hayati önemde. Peki, şirketler bu konuda nasıl aksiyonlar alıyorlar?
Güvenlik vizyonu gelişmiş firmalar güvenlik departmanlarını ayırarak bağımsızlaştırmayı tercih ediyor. Bu da aynı tepe yönetime raporlayan BT ve güvenlik departmanları anlamına geliyor. BT içinden kurtularak bağımsızlığını kazanan güvenlik departmanı artık risk danışmanlığı rolünü olması gerektiği gibi yerine getirebiliyor. Bağlı bulunduğu müdür ya da genel müdür yardımcısı yerine artık risk bildirimlerini riskin asıl sahibi olan tepe yönetime raporlayabiliyor.
Riskler mutlaka doğrudan tepe yönetime mi raporlanmalı?
Risklerin tamamının sahibinin tepe yönetim olduğu yadsınamaz bir gerçek. Tepe yönetime bağlı olarak işleyebilen bir güvenlik departmanının bulunduğu firmada güvenlik bilinci kurum kültürüne işler. Üst yönetim yani C Level toplantılarında masada Bilgi ve Güvenlikten Sorumlu Üst Düzey Yönetici/Chief Information Security Officer (CISO) rolü ile kurum risklerini masaya yatırabilen bir yapı bulunur. Riskler CIO ya da CTO tarafından kendi ana konularının yanında “belki” söz edilen bir konu olmaktan kurtulur. Risklerin esas sahibi tepe yönetim ile risklerden etkilenen BT ve iş birimleri hep birlikte karar alabilir duruma gelir. Kişisel Verilerin Korunması Kanunu (KVKK) ya da Avrupa Birliği’nin konuyla ilgili regülasyonu olan General Data Protection Regulation (GDPR) gibi şirketin tümünü etkileyen ve iş yapış şekillerini değiştirebilecek konular olması gereken paydaşlarla daha doğrudan konuşulabilir. Tabii farklı büyüklükteki firmalarda siber güvenlik, bilgi güvenliği, regülasyon ve uyum ayrı departmanlar halinde de yer alabiliyor.
CISO’lar konuda zorluk yaşıyor?
ISO/IEC 27001 gibi regülasyonların ve denetimlerin kurumlara kazandırabileceklerini anlatırken en zorlanılan konulardan bir tanesi tepe yönetimi ikna etmek noktasında yaşanır. Eğer başka bir regülasyon ya da bariz bir ihalelere girme şartı yoksa üst yönetimi kendisini denetletmek için para harcama konusunda ikna etmek gerekir. Karşılığında alacağımız faydaları matematiksel olarak ortaya koymak bazı durumlarda mümkün olmasa da risk yönetimi yaklaşımlarındaki farklı yöntemlerle bu durum aşılabilir.
Bilgi güvenliği için denetim ne kadar önemli? Buraya ayrılacak kaynaklar yeterince önemseniyor mu?
Aslında konumuz regülasyona uymak değil, şirketin risklerini belirleyip en aza indirgerken, dışarıdan bir gözün kaçan bir şey olup olmadığını analiz etmesidir. Bu da şirketin ulaşmaya çalıştığı hedefe daha emin adımlarla ulaşması anlamına gelir. Denetim kelimesi her zaman kişilere antipatik gelir. Denetim, teftiş, sonunda bir rapor hazırlanan ve hataların sahiplerinden hesap sorulan bir süreç olarak görüldüğünde bu çok normal. Eğer durum buysa buradaki tek suçlu tepe yönetimdir. Eğer tepe yönetimin vizyonu denetim sonucunda eksiklerin görülmesi ve bu eksiklerin giderilmesi için gerekli kaynağın ayrılmasını sağlamak üzerine ilerliyorsa şirket şanslı sayılıyor. Ancak unutulmaması gereken konu, her fırsatta vurgulamaya çalıştığım gibi riskin sahibinin tepe yönetim olduğudur. Eğer tepe yönetim risklerinin farkında ise ve bunları aza indirgemek için suçlu aramak yerine gerekli kaynağı ayırıyorsa kendine fayda sağladığının bilincinde demektir.
​Eğer evdeki kapınız kapanmıyorsa bunun için yetkin birini çağırıp riskten kurtulmayı mı tercih edersiniz yoksa kapının kapanmamasının suçlusunu mu ararsınız? Ya da kapı kapanmıyorken evdeki konforda düşüş olmuyorsa bu riskle yaşar mısınız? Hırsız girme riskini değerlendirip bir an önce evin kapısını kapanır hale getiren bir tepe yönetim zaten riskleri en aza indirgemek için kaynakları ayırır ve bir an önce önlem alınmasını sağlar. Belki de konuyu biraz daha anlaşılır cümlelerle tepe yönetime anlatamayan CISO burada gelişmesi gereken kişidir.
“GÜVENLİK İSTİSMARININ ETKİLERİ ÖLÇÜLEBİLİR”
Matematiksel Yöntemler
Olası bir güvenlik istismarının kuruma etkisinin matematiksel olarak ölçülebilmesinin yöntemleri var. Örneğin bunlardan biri son kullanıcı farkındalık eğitimleri sonucu gerçekleştirilen testler ve bu testlerin ortaya çıkardığı son kullanıcı perspektifli bilgi güvenliği olgunluk seviyesidir. Buradaki problemler eğitim kalitesinden ya da ölçümlenmemesinden kaynaklanabilir.
Eğitim Sonuçları
Online eğitim olarak verilen bir bilgi güvenliği eğitimi bazı çalışanlar için arka planda çalışan ve dinlenmeyen bir eğitim olarak sonuca ulaşmayabilir. Bir diğer konu ise sonunda bir test yapılıp başarı puanı çıkartılmaması. Bu puanlar üst yönetimle paylaşıldığında ve şirket için bir hedef belirlendiğinde eğitimlerin etkinliği matematiksel olarak ortaya konulabilir.
Ağır Bedeller
​Başarısı belli olmayan ya da eğitim almamış bir çalışanın olası bir oltalama postasını çalıştırması sonucu yaşanacak iş gücü kaybı matematiksel olarak ortaya konulabilir. Aynı şekilde süreçlerin denetiminin yapılmadığı bir ortamda değişiklik yönetimine girmeyen ya da doğru kontroller olmadan yapılan bir değişiklik sonucu yaşanacak sistem, uygulama ya da servis kesintisinin bedeli matematiksel olarak ortaya konulabilir.​