ISO 27001 Bilgi Güvenliği Yönetim
Sistemi son yıllarda kurumlar tarafından oldukça talep gören bir standart
haline geldi. Bu talebin altında yasal gereklilikler, müşteri talepleri ve
kurumun stratejik hedefleri gibi çeşitli nedenler yatabilmekte. Ancak standarda
uygunluğun başarısında motivasyon ne olursa olsun bu sistemin uygulanması ve
işletiminde üst yönetim desteği en büyük payı almaktadır. Standart son
revizyonunda dahi yönetim desteğini ifade edebilmek için “Liderlik” maddesi
ortaya çıkmıştır. “Yönetime rağmen” yönetim sistemi kurmak ve işletmek sistemin
ömrünün kısa olmasına neden olacaktır.
Yönetim desteği ifadesi her zaman
maddi destek olarak algılanmamalıdır. Kurum bütçesine göre maddi destek ve
kaynağın önemi yadsınamaz ve olmazsa olmazdır ancak yönetimin kurum çalışanları
için motivasyon sağlayıcı davranışlar sergilemesi de başarı için oldukça
önemlidir. Proje başında yönetimin kurum çalışanlarından projeye destek
göstermelerini isteyen bilgilendirme mesajı paylaşması, sorumluluk ataması,
bazı toplantı ve eğitimlere katılım gösterip projenin önemini ifade etmesi gibi
hususlar çalışanlarda bu sistemin uygulanması konusunda motivasyon sağlamaktadır.
Belgelendirme amacı taşıyan kurumlar da bu ve benzeri durumları kayıt altına
alarak liderlik maddesi için kanıt oluşturmalıdırlar. Aynı zamanda yönetime
düzenli olarak raporlama yapılması, yönetimin sistemin içinde tutularak güncel
bilgilere sahip olmasını sağlayacaktır.
Kurumlar yatırım kararlarını
belirlerken bütçe planlamasına bilgi güvenliği ile ilgili konuları da dâhil
etmesi önemli olacaktır.
Yönetimden beklenen destek sağlanmazsa
çalışanlar üzerlerine düşen görevleri sahiplenmeyip sorumluluklarını
gerçekleştiremeyebilirler. Bu da yönetim sisteminin etkin şekilde işletilmesine
engel olabilecek sonuçlar doğurabilmektedir.
Yönetim sisteminin içerisinde yapılması
veya dikkat edilmesi gereken bir diğer husus; rol ve sorumlulukların doğru ve
tam olarak belirlenmesidir. Bu rol ve sorumluluklar gerek proje yöneticileri
gerekse de son kullanıcılar açısından doğru belirlenmelidir. Tanımlanmış olan
rol ve sorumlulukların yerine getirilmemesi başarıyı büyük ölçüde
etkileyecektir. Bu noktada tanımlanmış olan sorumlulukların yerine
getirilmemesi ve yerine getirmemenin doğuracağı sonuçlar için tanımlı bir süreç
oluşturulması ile eskalasyon yapısının işletilerek takip edilmesi, gereken
işlerin zamanında yapılması konusunda fayda sağlayacaktır.
ISO 27001 Bilgi Güvenliği Yönetim
Sistemi risk temelli bir yönetim sistemidir. Kurum için uygulanabilir bir risk
metodolojisinin oluşturulması kurumdaki herkes tarafından anlaşılıp sürdürülebilirliğinin
sağlanması adına büyük önem taşımaktadır.
Risk değerlendirmeleri sonucu risk
işleme kararlarına bağlı olarak aksiyon planlarında belirlenmiş olan
aksiyonların zamanında yapılması ve takip edilmesi, aynı zamanda bu aksiyonlar
için kaynak ayrılması risk yönetiminin başarısını sağlayacaktır. Risk
değerlendirme sonrasında alınacak risk işleme kararları için yönetim risk kabul
kriterleri doğrultusunda kabul edilebilir risk seviyesine karar vermelidir. Bu
seviyenin gelecek dönemlerde giderek düşürülmesi de sistemin daha iyi
seviyelere gelmesi açısından önemli olacaktır.
Risk değerlendirme ve işleme karalarının
sonucunda oluşturulması gereken sistemin daha iyi bir noktaya gelmesini
sağlayacak bilgi güvenliği amaçlarının sadece bilgi teknolojilerini
ilgilendiren amaçlar olmaması, her departman ile ilgili olabilecek amaçların da
belirlenmesi bilgi güvenliğinin sadece bilgi teknolojileri departmanına özel
bir uygulama olduğu düşüncesinin ortadan kaldırılmasını sağlayacaktır. Bilgi
güvenliği amaçlarının ölçülebilir ve gerçekleştirilebilir amaçlar olarak seçilmesi
sisteme faydalı olacaktır.
Bilgi güvenliği yönetim sisteminin
uygulanması ve işletilmesi konusunda proje yöneticileri ile birlikte her
çalışan için görev ve sorumlulukların belirlenmesi standart tarafından
istenmektedir. Bunun sağlanabilmesi için ihtiyaç olan yetkinliklerin doğru
belirlenerek iyi analiz edilmesi gerekmektedir. Eğitim takvimlerinin oluşturularak
yetkinliklerin arttırılması sağlanmalıdır. Ancak alınan eğitimlerin veya diğer
yetkinlik tanımlarının istenilen seviyeye gelip gelmediğinin kontrolü birçok
firmada göz ardı edilmektedir. Gerçekleştirilmiş olan işlemlerin ihtiyacı ve
beklentiyi karşılayıp karşılamadığının ilgili ve yetkili kişilerce
değerlendirmesinin yapılması gerekir.
Son kullanıcıların dikkat etmesi
gereken konular ile sorumluluklarının anlatıldığı farkındalık eğitimlerinin
ilgili taraf analizi sırasında ortaya çıkmış olan kapsam dâhilindeki her
çalışan ile birlikte kapsam dışında kalan çalışanlara da verilmesi oldukça
önemlidir. Farkındalık eğitimlerinin hedef kitlesi belirlenirken kurumların genellikle
gözden kaçırdığı stajyerler ve kurum içindeki ve dışındaki taşeronların da
eğitimlere dâhil edilmesi gerekmektedir.
Farkındalık eğitimleri sadece sınıf
eğitimi olarak değerlendirilmemelidir. Kişilere atanacak online eğitimler, verilecek
broşürler, düzenlenecek etkinlikler, ödül sistemleri gibi çözümler ile farklı
şekillerde farkındalık sağlanabilir. Farkındalık çalışmaları sonrasında bu
çalışmaların etkinliğinin değerlendirilmesi unutulmamalıdır. Bu değerlendirme sınav
olarak yapılabileceği gibi karşılıklı mülakatlar ile de yapılabilir. Önemli
olan çalışanların bir konu ile ilgili aynı ve doğru fikre sahip olmasının
sağlanmasıdır.
ISO 27001 Bilgi Güvenliği Yönetim
Sistemi standardı diğer ISO standartlarından farklı olarak 2 bölümden
oluşmaktadır. Standart ana maddelerine ek olarak hazırlanmış olan EK-A kontrol
maddeleri belirlenmiş kapsam ile ilgili olan kontrollerin seçilerek ilgisiz
olanların hariç bırakılmasını mümkün kılmaktadır. Örneğin kurum içinde BGYS
kapsamı dahilinde yazılım geliştirme yapılmıyorsa yazılım geliştirme ile ilgili
kontrol maddeleri hariç bırakılabilir.
Yönetim sisteminin başında kurum ile
ilgili olabilecek tüm tarafların doğru analiz edilmesi gerekmektedir. Bu analize
hem kurum içi hem de kurum dışındaki tüm tarafların dâhil edilmesi önemlidir.
Müşteriler, tedarikçiler, devlet ve düzenleyici kuruluşlar, çalışanlar,
paydaşlar, iş ortakları vb. ilgili tüm tarafların BGYS açısından ihtiyaç ve
beklentilerinin doğru analizi yönetim sisteminin kapsamının doğru
belirlenmesine ve işletilmesine fayda sağlayacaktır.
Yönetim sisteminin kapsamına karar
verilirken ilgili taraf analizinde ortaya çıkan tedarikçiler iş ihtiyacına
bağlı olarak hizmet sürekliliği açısından kritik olanlar için Hizmet Seviye Anlaşmaları
(SLA), bilgi paylaşımı konusunda kritik tedarikçiler için Gizlilik Sözleşmeleri
yada gizlilik maddeleri içeren Hizmet Sözleşmeleri yapılması gerekmektedir. Sözleşme
yapılma ihtiyacı doğru belirlenmelidir. Örneğin kurum ofis sarf malzemeleri
alımı yaptığı bir firma ile sözleşme imzalama ihtiyacı duymayabilir. Gizli
bilgi paylaşımı yapılmamakta ve alternatif tedarikçiler bulunabildiği için
kritik tedarikçi sınıfında olmayabilir. Ancak kurum içinde tedarikçiler
tarafından sağlanan yemek, servis, temizlik gibi hizmetler için mutlaka
gizlilik sözleşmeleri yada gizlilik maddeleri içeren hizmet sözleşmeleri
yapılmalıdır.
Tedarikçi sözleşmelerinin yapılması
her zaman kurumun inisiyatifinde olamayabilir. Tedarikçiler sözleşme
koşullarından ötürü sözleşmenin düzenlenmesi taraftarı olmayabilirler. Kurum bu noktada sözleşme şartlarını değiştirerek
sözleşme yapılmasını teşvik edebilir. Ancak yine de sözleşmenin düzenlenmesi
mümkün olamayabilir. Sözleşmelerde dikkat edilmesi gereken tedarikçi ile gizli
bilgi paylaşımının yapılıp yapılmadığı, hizmet sürekliliği açısından
kritikliği, alternatif tedarikçi mevcudiyeti gibi konulardır.
Tedarikçilerden alınan hizmetlere göre
ihtiyaçlar doğrultusunda kriterler belirlenmeli ve periyodik olarak hizmet değerlendirmelerinin
yapılması gerekmektedir.
Bilgi güvenliğinin sağlanabilmesi için
uygulanacak olan teknik kontrollerin yürütülmesi için büyük yatırımların
gerçekleştirilmesi standart tarafından şart koşulmamaktadır. Teknik kontrol uygulamaları
hususunda birçok kurum için akla gelen ilk soru ciddi maddi kaynak yatırımının
gerekli olup olmadığıdır. Bu konu tamamen üst yönetimin risk iştahına ve
süreçlerin işletilebilmesi ve iyileştirilebilmesi için ihtiyaç duyulan hizmet
ve kaynaklara bağlıdır. Standart hiçbir zaman bir ürün ya da hizmetin kullanımını
zorunlu tutmamaktadır. Piyasa içerisinde ihtiyaç duyulan hizmetler için hem
ücretli hem de ücretsiz uygulamalar ile farklı çözüm yolları bulunabilmektedir.
Dikkat edilmesi gereken şey iş süreçlerinin yönetiminin etkin ve verimli
olmasını sağlayacak çözümün bulunmasıdır. İhtiyaçların doğru belirlenerek karar
verilmesi bu süreçte büyük önem taşımaktadır.
ISO 27001 Bilgi Güvenliği Yönetim
Sistemi, standart gereklilikleri doğrultusunda “yaptığını yaz, yazdığını yap
mantığı” ile işletilebilir. Yönetim sisteminin ilk kurulduğu dönemlerde
dirençle karşılaşılabilmektedir. Gerçekleştirilecek olan aksiyonlar ve alınan
kararlar çalışanların motivasyonunu etkileyebilmektedir. Bu noktada ihtiyaç
doğru belirlenerek çalışanlara doğru aktarılmalıdır. Çok sıkı kontroller ile
tasarlanan süreçler yönetim sisteminin başarısına engel olabilir. Bu şekilde
yönetilen sistemler bir süre sonra işletilemez hale gelebilmektedir.