TS ISO/IEC 27001:2005-A.8
A + B = C
A: Bilgi Güvenliği Yönetim Sistemi (BGYS) bilgi güvenliğinin güvenliğini sürekli kılmayı ve gelişmeyi hedefler.
B: Bilgi güvenliği üç bileşen üzerinde yükselir. Teknoloji, süreç ve insan.
C: İnsan bilgi güvenliğinde önemli bir unsurdur. İnsanı ilgilendiren güvenliğin sürekliliği ve gelişmesi önemlidir.
İnsan, biz bilgi işlemcilerin zaman zaman unuttuğu, çoğu zaman güvenliğin en zayıf halkasıdır. Oysa insan, tüm kurumsal süreçlerin içinde mutlaka yer alır. Bu yüzden TS ISO/IEC 27001 standardı da insanı temel on bir alanı içinde ele almış ve bilgi güvenliği yönetim sisteminin zorunlu konuları içinde değerlendirmektedir.
Çalışanların kurum içindeki döngülerini, standardın da yaptığı gibi, üç bölümde değerlendirebiliriz: İşe alım ya da başlama, çalışma ve işten ayrılma ya da bölüm değiştirme.
İşe Alım ve BGYS
İşe alım öncesi yapılması gerekenlere neden olarak standart “Çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların kendi sorumluluklarını anlamalarını ve düşünüldükleri roller için uygun olmalarını sağlamak ve hırsızlık, sahtecilik ya da olanakların yanlış kullanımı risklerini azaltmak.” olarak değerlendiriyor. Bunun için öncelikle ilgili kişiyi değil, bu kişinin yapacağı işin (rol ve sorumlulukların) tanımlanması gerekli. Tanımlanan rol ve sorumlukların şu sorulara cevap vermesi gerekiyor:
• Bu pozisyondan beklenenler nelerdir?
• Bu işi yapabilmek için (yapacak kişinin sahip olması) gerekli eğitim seviyesi, beceri ve tecrübeler nelerdir?
• Bu pozisyonun kendi işinin yanında bilgi güvenliği sorumlulukları nelerdir?
• Bu pozisyonun bilgi güvenliğinde aktif bir rolü var mıdır? Detayları nelerdir?
Başarılı bir BGYS uygulamasında ayrıca aşağıdaki soruların cevapları da bulunur:
• Bu pozisyonun güvenlik rol ve sorumlulukları nasıl ölçülür?
• Güvenlik rol ve sorumluluklarının başarısı nasıl ödüllendirilir, başarısızlığı nasıl değerlendirilir?
Bu rol ve sorumlulukların yazılı olması önemlidir.
Tanımlanan işe yeni biri başvurduğunda işe alım süreci içindeki gerekli güvenlik adımlarından biri de geçmiş ve referans tarama işlemidir. Tarama işleminin detayı ve buna ayrılacak zaman/kaynak, ilgili pozisyonun bilgi güvenliği adına risk
seviyesine bağlı olduğu gibi, kurumsal kültür ve iş etiği gibi konular da göz önünde bulundurulur. Ulusal güvenliği ilgilendirecen ya da stratejik pozisyonların adayları daha derin bir taramadan geçirilirken, daha risksiz pozisyon adaylarının sadece referanslarının telefonla aranmasıyla yapılacak basit bir tarama, savcılıktan istenecek basit bir adli sicil kaydının incelenmesiyle sonuçlandırılabilir.
Yeni bir adayın işe başlamasından önce yapılması gereken son önemli işlem, bir sözleşmenin imzalanmasıdır. Kurum, yapılacak işi, görev ve sorumlulukları, maaş ve diğer yan yararları bu sözleşmeye eklerken, güvenlikle ilgili aşağıdaki maddeleri de eklemelidir. Bu sayede hem bugün, hem de gelecekte çıkabilecek hukuksal problemlerin önüne geçmek mümkün olur.
• Kişinin bilgi güvenliği rol ve sorumlulukları
• Kişinin uyması gereken kurum genelindeki güvenlik politikaları ve destekleyen ikincil dokümantasyon
• (İsteğe bağlı olarak) bu dokümantasyonun bulunduğu yer.
• Politikaların okunması, anlaşılması ve uyulması yönünde çalışanın onayı.
• Güvenlik kurallarına, rol ve sorumluluklara uyulmaması durumunda söz konusu olabilecek disiplin vb durumlar.
Çalışma ve BGYS
İnsanların bilgi güvenliği ile ilgili yapılması gerekenler işe alımla birlikte bitmiyor. Çalışma süresince de gerçekleştirilmesi gereken kontroller var.
27001’in ilk talep ettiği kontrol basit olduğu kadar etkili: “Yönetim, güvenlik politika ve düzenlemelerine uyulmasını istemeli.” Yönetimin her fırsatta güvenliğin önemini belirtmesi, dahası kurallara ve yöntemlere uyması, her konuda olduğu gibi bu konuda da tüm ekibe öncülük etmesi önemlidir. Kaptanın ekibine liderlik etmesiyle oluşacak kurum kültürü yazılı olmayan konularda bile güvenliğin sağlanmasını, olaylara zamanında hızlı ve doğru müdahale edilmesini sağlar.
Büyük şehirlerimizin hemen tümünde trafik büyük bir problemdir. Özellikle sarı renkleriyle taksiler kurallara uymamak ve trafiği bozma konusunda dikkatimizi çekerler. Öte yandan taksi şoförü aslında tüm trafik kurallarını çok iyi biliyordur. Peki şoförlerin trafik kurallarına uyması nasıl sağlanır? Başlı başına bir yazı konusu olabilecek bu konunun TS ISO/IEC 27001’deki karşılığı bilgi güvenliği farkındalık eğitim ve öğretimi. Konunun önemi, yapılması gerekenler, teknik detaylar ne kadar çok tekrarlanırsa o kadar etkili olur.
Hiç gerekmese de güvenlik kurallarına uyulmaması durumunda olacakların tanımlanacağı bir disiplin süreci kurumsal bilgi güvenliği düzeni içinde önemli bir yer tutmaktadır. Yine trafik konusunda bir örnekle gidersek, “Türk şoförleri batı ülkelerinde çok iyi araba kullanırken, Türkiye’de deli gibi araba kullanırlar” cümlesini değerlendirebiliriz. Bu önerme aslında milliyetinden bağımsız tüm şoförler için doğrudur. Önemli olan doğum yerimiz değil, araba kullandığımız yerdeki kuralların ne kadar kontrol edildiği, disiplin sürecinin ağırlığı ve tanımlı olmasıdır. Sabaha karşı saat dörtte bomboş bir yolda kırmızı ışıkta bir şoförün beklemesinin arkasındaki en büyük motivasyon bulunulan ortamdaki elektronik kameralar ve beraberinde gelen ceza tehdididir. Bu sürecin tanımlı olması bile bir çok bilgi güvenliği ihlal olayının olmasını engelleyecektir.
Ayrılma ve BGYS
İşten ayrılma ya da bölüm değişikliği ister çalışanın isteğiyle, ister şirketin yaptırımıyla olsun, bazı temel güvenlik kurallarına uygun gerçekleşmelidir. Burada amaç, gerekli düzenin sağlanması ve kurumsal bilgi varlıklarının işten ayrılma sırasında korunmasının sağlanmasıdır.
İşten ayrılma sürecinde çalışacak kişilerin kimler oldukları, ne iş yapacakları, nasıl haberleşecekleri açık bir şekilde tanımlanmalı ve bu görevler kişilere atanmalıdır. Böylece bu sürecin her seferinde aynı şekilde işlemesi sağlanabilir, gerekli düzen korunabilir. İşten ayrılma süreci içinde insan kaynakları dışında aşağıdaki bölümlerden görevlilerin bulunmasını bekleriz:
• İnsan kaynakları: İşten ayrılmayı (görev değişikliğinin) koordinasyonu
• İlgili birimin yöneticisi: Birim içi düzenlemeler, gerekli görev aktarımının yapılması
• Bilgi işlem: Bilgi işlem erişimlerinin kapatılması (hakların değiştirilmesi)
• İdari işler: Fiziksel erişimin kapatılması ve kimlik kartları gibi zimmetteki eşyaların iadesi
• Güvenlik: Şirket dışına çıkışta gerekli olabilecek eşlik ve tanımlamalar.
Yukarıda da tanımladığımız gibi, işten ayrılmalar sırasında şirkete ait varlıkların iadesi koordine edilmelidir. Bu koordinasyon ilgili varlıkların kişiye zimmeti ile başlamalı ve her bir çalışanda hangi varlıkların bulunduğu takip edilmelidir. İadesi gereken varlıklardan bazı örnekler: şirket arabası, şirket kimlik kartları, taşınabilir bilgisayarlar, cep telefonları, cep bilgisayarları, bir seferlik parola cihazları(one time password token), usb hafıza kartları, …
Yine yukarıda geçen bir konu TS ISO IEC 27001 tarafından özel olarak değerlendirilmiş: “Erişim haklarının kaldırılması”. Merkezi olarak bir kişinin sahip olduğu tüm erişim hakları merkezi bir kimlik yönetim (identity management) veritabanında tutulabilse de, bu şimdilik çok yaygın bir uygulama değildir. Bu yüzden ayrı ayrı tüm uygulamalar, bilgisayar girişler ve bağlı fiziksel erişim kısıtlanmalıdır. Bu konuda yaşanan problem işten ayrılmalardan çok bölüm değişikliklerinde görülür. Yeni bölüme geçen kişiler eski bölümlerinde sahip oldukları hakları taşımaya ve kullanmaya devam ederler. Bu durum bilgi güvenliği açısından önemli sakıncalar doğurabilir ve mutlaka düzenlenmelidir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi(BGYS) Gap Analizi ve İç Denetimleri hakkında bilgi almak için lütfen tıklayınız.