Günümüzde özellikle IT sektöründe iş yapıyorsanız ya da kurumuzun IT fonksiyonu iş yapışınızda önemli paya sahipse başka bir deyişle stratejik ortağınız durumundaysa Bilgi Güvenliği ve Bilgi Güvenliğinin Yönetişimi kavramı bir çok noktada önünüze çıkacaktır. Peki tam olarak bilgi güvenliği kavramı nedir? Bunun yönetişimi ile ifade edilmek istenen nedir? Operasyonel birimlerinde yer alan bir çalışan olarak sizinle kavramın ne alakası olacaktır?
İşe bilgiden başlayacak olursak öncelikle bilgi bir amaca hizmet eden ve anlamlı olan veri bütünüdür. Hayatımızın bir sürü aşamasında kritik öneme sahiptir. Şöyle düşünün, özellikle İstanbulda yaşayanların büyük çoğunluğu trafik bilgisi sağlayan uygulamalardan gerekli bilgiyi aldıktan sonra rotasını çizmekte ve trafiğe çıkmaktadır. Ya da daha basiti sabah evden çıkacaksanız sabah sizi sıcacık karşılayan güneş gösterge olsa da büyük ihtimalle siz yine de hava durumuna bir göz gezdirip, ona göre hazırlıklı olmayı tercih edeceksinizdir. Örnekleri artırmak mümkün.
Günümüzde bilgi dijitalleşen Dünyada her geçen gün daha kritik öneme sahip hale gelmiştir. Hatta günümüzde öyle bir hal almıştır ki artık çoğu işletme için iş direkt bilgi üzerinedir. İstihbarat firmaları, bankalar, anket şirketleri, pazarlama ajansları vs. gibi.
Her şey bu derece bilgi odaklı hale gelmişken bazı noktalarda doğru, kesin, eksiksiz ve bozulmamış bilginin değeri paradan çok daha fazla olabilir. İşletme açısından zarar edeceği tutarın ötesinde itibar ve beraberinde gelecekteki iş kayıpları anlamına gelebilir. Bu durum beraberinde bilginin yeterli mekanizmalar ile korunması gerekliliğini ortaya çıkarmaktadır. Hem de kurumun yönetim seviyesinde ele alınması gereken bir gerekliliğe. İhtiyaçlar göstermektedir ki; bilgi güvenliği kurum içerisinde ele alınabilecek en üst seviyede ele alınmalıdır.
Bilgi güvenliği yönetişimi kavramına gelince öncesinde strateji ile belirlenen hedefe ulaşılmasını sağlamak, kurum risklerinin yeterli seviyede ele alındığından emin olmak ve kurumun kaynaklarının sorumlu bir biçimde kullanılmasını sağlamak gibi hedeflerin gerçekleştirilebilmesi için yönetim kurulu ve yöneticilerin tarafından ele alınması gereken sorumlulukların ve uygulamaların tamamıdır. Daha açmak gerekirse kurum içerisinde en üst seviyede ele alınması gereken, üst yönetimin ve iş başında olan yöneticilerin sorumluluğunda olan bir kavramdır Bilgi Güvenliği Yönetişimi. Peki amacı nedir? Amacı strateji kapsamında belirlenmiş hedeflere varılması için, risklerin uygun seviyede ele alınması ve yönetilmesi için, kurumun sahip olduğu kaynakların uygun ve sorumlu bir biçimde kullanıldığından emin olmak için sorumlulukların tanımlanması ve gerekli uygulamaların gerçekleştirilmesidir.
Bu doğrultuda üst yönetim ve senior seviye yöneticiler gerekli yönlendirmeyi ve liderliği yapmak, gerekli organizasyon yapısını oluşturmak ve gerekli süreçleri oluşturmakla mükelleftirler. Tabii ki sayılanların kurum ile özdeşleşmesi (emanet durmaması ya da yapmış olmak için yapılmaması) ve şeffaf bir yaklaşımın sergilenmesi çok önemlidir.
Geleneksel yaklaşımda nasıl ki üretim yeri/iş yapılan yer, depo, hammadde gibi fiziksel varlıklar önemseniyor ise çağımızda BİGLİ de önemsenmesi ve bu öneme uygun muamele edilmesi gereken bir varlık (asset) olarak karşımıza çıkmaktadır. Fiziksel öğeler için güvenliğe, bütünlüğe ve erişilebilirliğe yönelik alınan önlemlerin bilgi için de alınması günümüz koşullarında elzemdir.
Genellikle koruma deyince akla Bilgi Sistemlerinin korunması (sunucu, ağ gibi fiziksel öğeler) gelmektedir. Açıktır ki bu anlayış artık demode olmaktadır. Çünkü işin temelinde aslında bilgi yer almakta ve bilgi de sadece fiziksel unsurların üzerinde yer almamaktadır. Bilgi üretilmekte (kaynak), bilgi aktarılmakta, bilgi saklanmakta, bilgi işlenmekte ve bilgi ömrünü tamamladığında ise imha edilmektedir. Bilgi bütün yaşam evresi boyunca gerekli kontrollerin tasarlanması ve işletilmesi gereken değerli bir varlıktır.
Uzun lafın kısası çağımız modern işletme anlayışında bilginin stratejik önemi uzun süreli olarak kurumunuz başarısını etkileyebilecek, sizi rakiplerinize göre avantajlı duruma sokabilecekken, belki de o bilgiye erişmek için tonlarca yatırım yapılmış, aylarca araştırmalar yapılmışken bilginin korunmasına yönelik adımlar atılması ve bu adımların kurumun tamamının uygulama sorumluluğunda olduğu bilinerek, gerekli farkındalığın sağlanması çok ama çok önemlidir.
