TS ISO/IEC 27001:2005-A.6.1. Bilgi Güvenliği Yönetim Sistemi (BGYS) bilgi güvenliğini sürekli kılmayı ve gelişmeyi hedefler. Bu amaçla hem kurum içinde bilgi güvenliğini yönetmek, hem de kurum dışındaki uzmanlarla yakın ilişkiler kurmak gerekir, ama nasıl?
TS ISO/IEC 27001:2005 standardının kontrol hedefleri ve kontrollerinin sıralandığı “Ek A” bölümü tüm kontrolleri onbir ayrı ana başlıkta (domain) ele alır. Bu yazı ve ilgili ana başlık temel olarak iki kontrol hedefini, kurum içindeki organizasyonu ve dış taraflarla koordinasyonu hedefliyor.
Gün geçtikçe bilgiye bağımlı hale gelen kurumlardaki yöneticiler aynı zamanda karmaşıklaşan iş süreçleri nedeniyle klasik yönetim biçimlerini matriks yönetime ya da yatay ve dikey kritik başarı faktörlerine (KPI) bırakırken benzer bir ihtiyacın bilgi güvenliğinin başına da geleceğini planlamamışlardı. Ancak üretimden satışa, finanstan araştırma geliştirmeye hemen tüm iş süreçleri nasıl eskiden bir departman ismi iken, bugün farklı çalışma gruplarının bir arada çalışmalarını ve etkileşim gerektiriyorsa, bilgi güvenliği de farklı grupların bir arada çalışmasına bağlı olarak ilerleyebilir. Üstelik sadece bilgi güvenliği kapsamı içindeki süreçler yönetimleri ve bölümler değil, ilgili tüm destek bölümleri de genel bilgi güvenliği organizasyonu içinde yer almalılar.
Hemen her konuda olduğu gibi, bilgi güvenliği konusunda da üst yönetim kurum içi organizasyonun parçası olmalı. Gerekli kurumsal yönlendirmeyi, sorumluluk atamalarını gerçekleştirmeli. Kurumun büyüklüğüne ve kurumsallaşma düzeyine göre bu destek farklılaşabilir. Az kişinin çalıştığı, hiyerarşik yönetim yapısının gelişmediği kurumlarda direk üst yönetim bu görevi üstlenirken, büyük, hiyerarşik düzenin yer aldığı kurumsal organizasyonlarda bu görev bir “üst yönetim temsilcisi” tarafından da gerçekleştirilebilir.
Yönetimin birinci önceliği bilgi güvenliği hedeflerinin açık ve net biçimde tüm çalışanlara aktarılmasıdır. Bu işlem öncelikle bilgi güvenliği politikası ile gerçekleştirilse de, farkındalık eğtimleri ve diğer bilgilendirici mesajlar (e-mail ve diğer kurumsal iletişim araçları) bu amaçla kullanılabillir. Bilgi güvenliği politikasının onaylanması ve yayınlanması kadar güncel kalması ve gözden geçirilmesi de üst yönetim sorumlulukları arasında yer alır. Bu sayıda detaylandırmayacak olsak da üst yönetimin önemli görevlerinden biri de gerekli iş gücü ve kaynakları bilgi güvenliği yönetim sistemi için ayırmaktır.
Üst yönetim tek başına bilgi güvenliği yönetim sisteminin koordinasyonunu üstlenemez. Bu yüzden kurum içindeki tüm ilgili departman temsilcilerinden oluşan bir “bilgi güvenliği forumu” (BGF) (isim önemli değil, işlevi aynı olduğu sürece herhangi bir isim kullanmak mümkün) kurulmalıdır. BGF üyeleri, farklı departmanlardan ve süreç sahiplerinden oluşur. Genellikle bilgi güvenliği kapsamında yer alan tüm bölümlerin ve kapsamda yer almasa bile bilgi işlem, idari işler gibi destek süreçleri temsilcilerinden oluşur.
Bilgi güvenliğinin kurum içinde koordinasyonu bir çok kişinin birlikte hareket etmesi ile mümkündür. Bu amaçla düzenlenen bilgi güvenliği politika beyannamesine ek olarak görev ve sorumlulukların tanımlanması gereklidir. Görev ve sorumluluklar sadece bilgi güvenliği forum üyelerinin çalışmalarını değil, BGYS ile ilgili tüm tam zamanlı, yarı zamanlı ve dış kaynak personelini düzenleme içine almalıdır. Burada bahsi geçen görev ve sorumluluklar sadece “bilgiyi korumalı” gibi genel beklentileri değil, bilgi güvenliği süreçlerinin çalışmasını sağlayacak “değişim yönetimi”, “olay yönetimi” gibi temel süreçler içinde bireylerin görev ve sorumluluklarını da içermelidir.
İkinci Beyaz Şapka sayısına gönderdiğim yazıda Bilgi güvenliğinin üç ana bacak üzerinde yükseldiğini ve bu bacakların eşit güçte olmaları ile dengeli ve sağlam bir yapı kurulabileceğini anlatmıştım: “Teknoloji”, “Süreç” ve “İnsan”. Teknolojinin getirdiklerini değerlendiremiyorsak, yapının düzgün çalışması için gerekli süreçleri devreye alamıyorsak ya da çalışanlarımız görev ve sorumluluklarının bilincinde değillerse bilgi güvenliğinin kalıcılığından bahsetmek doğru olmaz. Bu yazıda da insanlarla ilgili koordinasyon ve organizasyonu ele aldığımıza göre, kişilere görev ve sorumlulukların iyi anlatılmasını sağlayacak, bu konudaki “farkındalık”larını artıracak çalışmaların önemini vurgulamak gerekli. Basit bir sınıf eğitiminden kapsamlı bir ESAM çalışmasına kadar yapılabilecekler oldukça geniş bir yelpazeye dağılıyor. Ancak önemli olan sadece eğitim yapmak değil, sürekliliğini sağlarken başarısını ölçecek altyapıyı kurmak ve takip etmek…
Hem kurum içindeki çalışanlar, hem dışarıdan gelen danışmanlar, dış kaynak personeli hem de tedarikciler (ve hatta müşteriler) bilgi varlıklarına işleri doğrultusuna erişebilirler ve erişmeliler. Ancak bu varlıkları korumak için sorumlu olduklarının vurgulanması önemlidir. Gizlilik anlaşmaları (non-disclosure agreement) bu amaçla yapılır. Hatta ABD’deki silikon vadisinde rakip firmalarda çalışanların, hatta çiftlerin, akşam yemekleri öncesinde içki ile ağızlarından kaçırabilecekleri sırları korumak için birbirlerine gizlilik anlaşmaları imzalattıkları söylenir. Gizlilik anlaşmaları bir kurum için standart maddelerden oluşmalıdır. Bu farklı anlaşmalarda hukuk, bilgi güvenliği gibi ilgili tüm grupların işini kolaylaştırır. Bu maddeler herhangi bir anlaşmanın içine eklenebilecekleri gibi, tek başına bir doküman olarak hazırlanıp imzalanabilir.
İlgili anlaşma metinlerinin hazırlanması ve güncel tutulması kadar kimlerle ne zaman imzalandığı nerede arşivlendiği gibi kayıt bilgilerinin de tutulması önemlidir. Bu takibin zoruluğu nedeniyle bugün bir çok büyük kurum, benim de desteklediğim uygulamayla, arşıvlerle uğraşmak yerine her fırsatta aynı kişilere bile benzer metni imzalama şartı getiriyorlar. Farkındalık çalışmalarına da yardımcı olan bu durum dışarıdan gelen kişilerin kurum bilgi güvenliği kurallarını hatırlamalarına ve özen göstermelerine de neden oluyor.
Bilgi güvenliğinin kapalı bir kutu gibi kurum içindeki bilgi ile sağlanması oldukça güç. Nasıl büyük fabrikalar kendi itfaiye birimlerini kuruyorlar, yine de uzmanlık görüşü için bölgesel itfaiye birimlerinden düzenli yardım alıyorlarsa, bilgi güvenliği konusunda da benzer bir çabanın gösterilmesi oldukça yararlıdır.
Bu amaçla ilk yapılması gereken, kimlerle bağlantıya geçileceğinin tespit edilmesidir. Kapsam içindeki varlıkların incelenmesi, farklı varlık türleri, işletim sistemleri, fiziksel riskler, vb sıralanmalıdır. Bu liste genellikle fiziksel güvenlik için güvenlik güçleri, belediye, itfaiye ve sağlık hizmetlerini, bilgi işlem konusunda üretici firmaları ve genel bilgi güvenliği ile ilgili olarak da SANS.org ve BilgiGuvenligi.org gibi organizasyonları içerir. Daha sonra kurum içinde görev tanımında belitrilmiş kişiler ve gruplar kendi sorumluluk/ilgi alanlarına göre hangi yöntemle düzenli bilgi alışverişi içinde bulunabildiklerini belirlerler. Teknolojiye yakın konular genellikle RSS ve e-posta grupları gibi Internet tabanlı çözümleri seçerken, hukuk, devlet gibi bağlantılar dönemsel toplantılar şeklinde gerçekleşebilir.
Aşağıda bu yazdıklarımızın kısa bir özeti yer almakta. Bu yazıda bilgi güvenliği yönetim sistemi kuruluş, işletim ve ilerletme aşamalarında önemli bir konunu detaylandırmaya çalıştım. Önümüzdeki sayıda görüşmek üzere, güvenli günler.
Bilgi güvenliğinin koordinasyonu için gerçekleştirilmesi gerekenler*:
(*:Bu liste örnektir. Her kurum kendi kültürüne uygun çözümü geliştirmelidir.)
1. Bilgi Güvenliği Forumu (BGF) kurulması
2. Bilgi Güvenliği (ve BGF) görev ve sorumluluklarının tanımlanması
3. Bilgi güvenliği farkındalık çalışmalarının başlatılması/sürdürülmesi
4. Güncel gizlilik anlaşma taslaklarının hazırlanması, ilgililere imzalatılması ve takip edilmesi
5. Kullandığımız teknoloji ve bulunduğumuz sektörle ilgili uzman gruplarla düzenli iletişimin kurulması