Kurumsal bilgi güvenliğinin ortasında bilgi güvenliği yöneticisi (CISO – Chief Information Security Officer) ve bu yöneticiye bağlı bir bölüm (departman, müdürlük, vb) yer alır. Bu departmanın kurulma ve çalışmasındaki başarı, tüm kurumun bilgi güvenliği başarısı ile benzerlikler gösterir. Bu yazıda bilgi güvenliği yöneticiliğinde görmeyi beklediğimiz bazı özellikleri ve yaklaşımları bulabilirsiniz:
- Kurumsal Bilgi Güvenliği Hedeflerinin Belirlenmesi
- Boşluk (gap) Analizi Yapılması ve Yol Haritasının Çıkarılması
- Organizasyon Şemasının, Rol ve Sorumluluklarının Belirlenmesi
- Bölüm Çalışan ve Yöneticilerinin Eğitimlerinin Tamamlanması
- Bölüm İç ve Dış İletişiminin Tanımlanması
- Bilgi Güvenliği Komitesinin Oluşturulması
Şimdi tek tek bu başlıkları inceleyelim:
1. Kurumsal Bilgi Güvenliği Hedeflerinin Belirlenmesi
Bilgi Güvenliği, sadece bir bölümü değil, tüm kurumu bağlayan bir görevdir, herkesin sorumluluğudur. Bilgi Güvenliği bölümü ise, kurumda bilgi güvenliği ile ilgili yönlendirmeyi ve koordinasyonu üstlenir. Bu nedenle “Kurumsal Bilgi Güvenliği Hedefleri” sadece bir departmanı değil, tüm şirketi, çalışanları, hatta tedarikçileri ilgilendirir.
Kurumsal Bilgi Güvenliği vizyon ve hedefleri bağımsız olamaz. Kurumun ana vizyonuna ve hedeflerine bağlı olarak geliştirilmeli ve üst yönetimce onaylanmalıdır.
2. Boşluk (gap) Analizi Yapılması ve Yol Haritasının Çıkarılması
Yeni bir yapının kurulması sırasında olduğu kadar, günlük hayatın uzun süre yaşanması ile ortaya çıkabilecek mesleki körlüğe karşı da yapılması gereken, boşluk (gap) analizinin yapılmasıdır. Gap analizi yaparken, mevcut durum incelenir, varılmak istenen hedeflenir ve aradaki yolun nasıl kat edileceği tariflenir.
3. Organizasyon Şemasının, Rol ve Sorumluluklarının Belirlenmesi
Bilgi Güvenliği hangi pozisyona bağlı olmalı? Bilgi teknolojileri yöneticisine mi? Finans müdürüne mi? Direk genel müdür ya da yönetim kurulu başkanına mı? Yoksa, bağımsız bir yönetim kurulu üyesine mi? Hem akademik, hem de pratik yaklaşımlar bir çok farklı seçeneği, her bir seçenek de bir çok avantaj ve problemi beraberinde getiriyor. Doğru çözüm, dışarıda, bu konuda yazılmış makaleleri okumaktan çok, içeride kurum kültürü ile uyumlu bir yaklaşımın benimsenmesi ile oluşabilir.
Organizasyon şemasının bölüm içinde de belirlenmesinin ardından her bir rol için sorumluluklar belirlenir ve yazılı hale getirilir.
4. Bölüm Çalışan ve Yöneticilerinin Eğitimlerinin Tamamlanması
Bilgi güvenliği, farklı bilgi ve deneyimlerin ortak bir konu etrafında birleşmesi ile sağlanabilir. Bu nedenle, genellikle farkı disiplinlerden gelen bölüm çalışanlarının ortak dil konuşması, konulara ortak yaklaşımlar sergilemesi, kısaca birlik olmaları için, çeşitli teknik ve teknik olmayan eğitimler almaları gereklidir.
5. Bölüm İç ve Dış İletişiminin Tanımlanması
Yukarıda da geçtiği gibi, Bilgi güvenliği, herkesin sorumluluğudur. Bilgi güvenliği bölümü bu konudaki koordinasyondan sorumludur. Koordinasyon ise hem bölüm ve kurum içi, hem de kurum dışı iletişimle gerçekleşebillir. Hazırlanması ve yönetime sunulması gereken dönemsel raporlardan, kurum çalışanlarına yönelik bilgi güvenliği farkındalık mesajlarına kadar bir çok konu bu başlık altında yer alır.
6.Bilgi Güvenliği Komitesinin Oluşturulması
ISO 27001’in de ortaya koyduğu bilgi güvenliği komitesi (bazı kurumlarda bilgi güvenliği kurulu, ya da bilgi güvenliği koordinasyonu) kurumun tüm farklı bölümlerinden katılımcılarla yaratılır ve düzenli olarak toplanır. Doğru yönetilirse, bir taraftan bilgi alışverişi için bir araya gelen komite, aynı zamanda yapılan çalışmaların takibi ve yeni fikirlerin olgunlaşması için de iyi bir ortam yaratır.
Buraya kadar işlediklerimiz, bilgi güvenliği departmanının ilk kuruluşu sırasında yapılacakları içeriyordu. Özellikle boşluk analizi (bilgi güvenliği gap analizi) sonucunda ortaya çıkacak, risklere ve güvenlik açıklarına bağlı yapılacak birçok madde bu bölümün günlük çalışmasında çözülecektir. Uygulanabilirlik bildirgesi (UB – SoA) ve risk analiz sonuçlarına göre ortaya çıkacak “Risk İşleme Planı” yeni kurulan bölümün koordinasyonunda gerçekleştirilir.
Aynı anda ISO 27001 dışında da birden fazla düzenlemeye (örn: ISO 22301, YYK, KVKK, PCI/DSS, vb) uygun hareket etmek gereken durumlarla komitenin tek bir konudan sorumlu olması yerine tüm düzenlemelere uyumu garanti edecek şekilde de düzenlenmesi söz konusu olabilir. Böyle durumlarda komite isimlerinde de farklılıklar gösterilebilir. Kurumsal Yönetim Sistemi (KYS) içine bir çok standardı alabildiği için en güzel örnekler arasında yer alır.