İlk etapta soğuk görünüyor dedim çünkü maalesef uygulama açısından baktığımızda evet kurumların yazılı politikaları çoğunlukla mevcut, aslanlar gibi yazılmış, kitapçıklarla basılmış, belki de mail aracılığı ile bütün çalışanlarla paylaşılmış fakat yazılı bir metin olmaktan öteye gidememiş ise maalesef hiç bir anlamı yok.
Peki Bilgi Güvenliği Politikaları aslında nedir, nasıl olmalıdır? Nasıl daha çok uygulanabilir kılınabilir, burada asıl sorumluluk kimindir gibi soruların cevaplarını dilimiz döndüğünce vermeye çalışalım.
Önce politika (policy), standart, prosedür ve rehber (guidelines) kavramlarını ve aralarındaki ilişkiyi masaya yatırmakta fayda var. Politikalar, kurum için önemli ve gerekli olan eylemler ve davranışların yanı sıra yasaklanması gereken eylem ve davranışları içeren genel dokümanlardır. Bilgi Güvenliği Politikaları açısından baktığımız zaman literatürde çeşitli kaynaklarda iyi uygulamaları mevcuttur. Lakin bu iyi uygulamalar reçete misali al ve direkt kurum için uygula şeklinde işe yaramazlar. Kurumun büyüklüğü, kurum kültürü, kurumun risk algısı, yasal gereklilikler ve kurumun faaliyetlerine göre politikalar özel olarak belirlenmeli ve tasarlanmalıdır.
Standartlar, belirli durumlara göre politikaların yorumlanması ile vücut bulan, politikalara göre biraz daha spesifik bilgi içeren dokümanlardır.
Prosedürler, işin biraz daha uygulama tarafına yakın olan ve politika ve standartlara uygun nasıl iş yapılabileceğinin tariflendiği dokümanlardır.
Rehberler ise belirli bir duruma yönelik olarak ne yapılması gerektiğini söyleyen, daha detay seviyede tarifleyen İngilizce tabiri ile Guidance sağlayan belgelerdir.
Peki kurumlarda genel anlamda bilgi güvenliğine yönelik tasarlanan ve genel ifadeleri içeren politika başlı başına yeterli midir? (Genelde de ismi genel bilgi güvenliği politikası olur :) )
ISACA Cybersecurity Nexus Siber Güvenliğin Temelleri Çalışma Kitabı içerisinde yer alan Siber Güvenlik Kavramları'nın tanımlandığı kısımda Bilgi Güvenliği politika ya da politikaları ile yakın ilişkide olacak şekilde yaygın olarak tasarlanan politikalar aşağıdaki gibidir;
- Risk Yönetimi
- İş Sürekliliği / Felaket Kurtarma
- Varlık Yönetimi
- Temel Davranış Kuralları
- Edinim / Geliştirme / Bakım
- Tedarikçi Yönetimi
- İletişim ve Operasyon
- Uyum (Yasal Gereklilikler)
Yukarıda yer alan konulara ilişkin politikalar, içerdiği tanımlar ile Bilgi Güvenliği Politikaları ile uyumlu bir şekilde Bilgi Güvenliğinin sağlanmasına hizmet etmelidirler.
Bilgi Güvenliği Politikası içerisinde temelde neler olmalıdır?
Öncelikle kapsamın açık bir şekilde çizilmesi gereklidir. Bunun için kurum kendi açısında bilgi güvenliğinin tanımını yapmalıdır, bilgi güvenliği ile alakalı olan sorumluluklar belirlenmelidir, öncesinde belirlenmiş hedeflere, metriklere uygun, kurum vizyonunu destekleyecek şekilde bilgi güvenliğinin vizyonu çizilmelidir. Kurum politikaları ile bilgi güvenliği politikası arasındaki ilişki net bir şekilde açıklanmalı, bilgi güvenliği alanında önemli konular olan veri yönetimi, risk değerlendirmesi, yasal düzenlemeler ve sözleşme yaptırımlarına yönelik uyum gibi spesifik konular detaylandırılabilir. (Burada kastettiğim birebir politikanın içerisinde yer almasından ziyade ele alındığı belgelere referans edilmesi daha çok.) Bu konulara ek olarak, Bilgi Güvenliği Strateji Planı ve portföy yönetimi de konuları da ele alınmalıdır.
Politika bütün kurum tarafından özümsenecek şekilde bütün çalışanlara hitap etmeli ve bütün çalışanlar ile de paylaşılmalıdır. Bilgi Güvenliği tek başına IT birimlerinin sorumluluğu değildir. Hatta çalışanlara ek olarak sözleşmeli çalışanlara ve hizmet tedariği kapsamında kurum içerisinde faaliyet gösteren tedarikçi firma çalışanları ile de paylaşılmalıdır. Dokümanın gerektiği zamanlarda ve/veya periyodik olarak gözden geçirilmesi ve güncel ihtiyaçlara göre güncellenmesi önemlidir. Bu sorumluluğun kimde olduğu da açık bir şekilde tanımlanmalıdır.
Genel Bilgi Güvenliği Politikasına ek olarak erişim kontrol politikası, personel bilgi güvenliği politikası ve güvenlik ile alakalı vakaların ele alınmasına yönelik politikalar da önerilmektedir.
Erişim Kontrol Politikası
Erişim Kontrol Politikası, iş hedeflerine uygun olarak iç ve dış paydaşlara gerekli erişim yetkilerinin sağlanmasını düzenleyen politikadır. Politikanın başarımı; erişim ihlali sayısı, yetersiz yetkiden kaynaklanan iş kesintisi miktarı (yapılması gereken bir işe yönelik gerekli erişim yetkisinin tanımlanması gereken personele tanımlanmaması durumu), görevler ayrılığı ilkesi ihlalleri veya konuya ilişkin denetim bulguları gibi metrikler ile ölçülebilir.
Erişim Kontrol Politikası, iş hedeflerine uygun olarak iç ve dış paydaşlara gerekli erişim yetkilerinin sağlanmasını düzenleyen politikadır. Politikanın başarımı; erişim ihlali sayısı, yetersiz yetkiden kaynaklanan iş kesintisi miktarı (yapılması gereken bir işe yönelik gerekli erişim yetkisinin tanımlanması gereken personele tanımlanmaması durumu), görevler ayrılığı ilkesi ihlalleri veya konuya ilişkin denetim bulguları gibi metrikler ile ölçülebilir.
Erişim Kontrol Politikası kapsamında acil durumlarda gerekli olan erişim yetkilerinin nasıl tanımlanabileceği durumu da tanımlanmalıdır. Bunlara ek olarak ilgili politika içerisinde fiziksel ve mantıksal yetki tahsis mekanizması ve yaşam döngüsü (nasıl tanımlanacağından - ara ara nasıl gözden geçirileceğine -nasıl geri alınacağına kadar olan sürecin tariflenmesi), gerektiği kadar yetki / bilinmesi gerektiği kadar bilgi prensibi (yöneticiler tarafından kullanılmayan ve Türk Yönetim anlayışına uygun bir şekilde kendilerine tahsis edilmiş yetkilerin geri alınması), görevler ayrılığı ilkesidir. Güncellemeler sadece görev atanan birimi değil; insan kaynaklarını, veri ve sistem sahiplerini ve bilgi güvenliği fonksiyonunu ilgilendirdiği için değerlendirmelerin daha geniş bir kitle ile yapılması önemlidir.
Personel Bilgi Güvenliği Politikası
Özellikle kritik pozisyonda yer alan çalışanlar için düzenli sicil kaydı incelemesi yapılmalıdır. Bu hedef, inceleme yapılan kritik pozisyonda çalışan sayısı ile ölçülebilir. IT kritik süreçlerinde yer alan personel için de ayrıca inceleme yapılması önemlidir. Kritik Bilgi Güvenliği pozisyonları için halef (successior) planlaması yapılması bir diğer önemli konudur. Bu pozisyonların belirlenmesi (genelde bu planlama olmaz, biz de insan kaynağı asla yitirme olasılığı olmayan kaynakmışcasına iş yapış tercih edildiği için) iyi bir başlangıç olabilir. Gözden geçirme ve güncelleme konusunda sorumluluk her kimde olursa olsun süreçte İnsan Kaynakları, Yasal Uyum fonksiyonu (Hukuk müşavirliği olur, ayrı bir uyum birimi olur), Bilgi Güvenliği ve Bina Güvenliği fonksiyonu temsilcilerinin olması, güncellemelerin bütün çalışanlara ek olarak sözleşmeli personel ve tedarikçi firma çalışanları ile paylaşımı önerilir.
Bilgi Güvenliği ile alakalı vakaların ele alınması konusunu ise bir başka yazımda bulabilirsiniz.
Özellikle kritik pozisyonda yer alan çalışanlar için düzenli sicil kaydı incelemesi yapılmalıdır. Bu hedef, inceleme yapılan kritik pozisyonda çalışan sayısı ile ölçülebilir. IT kritik süreçlerinde yer alan personel için de ayrıca inceleme yapılması önemlidir. Kritik Bilgi Güvenliği pozisyonları için halef (successior) planlaması yapılması bir diğer önemli konudur. Bu pozisyonların belirlenmesi (genelde bu planlama olmaz, biz de insan kaynağı asla yitirme olasılığı olmayan kaynakmışcasına iş yapış tercih edildiği için) iyi bir başlangıç olabilir. Gözden geçirme ve güncelleme konusunda sorumluluk her kimde olursa olsun süreçte İnsan Kaynakları, Yasal Uyum fonksiyonu (Hukuk müşavirliği olur, ayrı bir uyum birimi olur), Bilgi Güvenliği ve Bina Güvenliği fonksiyonu temsilcilerinin olması, güncellemelerin bütün çalışanlara ek olarak sözleşmeli personel ve tedarikçi firma çalışanları ile paylaşımı önerilir.
Bilgi Güvenliği ile alakalı vakaların ele alınması konusunu ise bir başka yazımda bulabilirsiniz.
1 yorum:
Cobit standartlarında PO2 de yer alan data syntax rules (veri söz dizim kuralları) için bir örnek bulamadım. Bu konuda yardımcı olabilir misiniz?
Yorum Gönder