Bilgileriniz Ne Kadar Güvende?

O güne kadar bilgilerinizi kimseyle paylaşmıyor ve cebinizde taşıdığınız bir depolama aracında gittiğiniz her yere taşıyor güvende hissediyordunuz. Tabi, güvenlikten ne anladığınıza bağlı. Sizce güvenlik üçüncü bir gözün yanı başınızda bilgisayar ekranınıza bakmasına izin vermediğiniz anlamı taşıyorsa böyle düşünebilirsiniz ama ya sanal saldırılar ve kötü amaçlı yazılımlar bilgisayar ekranınızı ve bastığınız her tuşu gözetliyorsa hala bilgilerim güvende diyebiliyor musunuz? Ayrıca yanınızda taşıdığınız depolama aracını kaybettiğinizde veya fiziksel bir zarar gördüğünde bilgileriniz hala güvende olacaklar mı?

Kurumsallaşma ve Bilgi Paylaşımı

Fakat artık yeni bir sürece girdiniz. Şirketinizde kurumsallaşma çalışmalarını başlattınız. Hesap tablolarında tuttuğunuz (yaygın olarak Excel üzerinde) bilgileri bir danışman vasıtasıyla seçtiğiniz Muhasebe, Demirbaş, Bordro entegrasyonlu gelişmiş bir yazılım üzerine taşımaya karar aldınız ya da köklü bir renovasyona giderek şirketinizde ERP projesi başlattınız. Bunlar mantıklı istek ve tercihler.

Bu durumda görülüyor ki kurumsallaşmanın bir yan etkisi de bilgilerin paylaşılır hale gelmesidir.

Peki işletmelerde hangi bilgilerin güvenli bir şekilde paylaşılıp paylaşılmayacağına kim karar veriyor. Hal böyle olunca bunu bir güvenlik sorunu haline getiren neden paylaşılan bilginin nasıl ve kimler tarafından ne amaçla kullanılacağının bilinememesinde yatıyor. Güvenlik olgusu sadece bilginin paylaşılmasında mı düşünülmeli…

Bilgi Güvenliği Politikası Uygulanacak Prosedürlerin Anayasasıdır

Çözüm yine organizasyonda yatıyor. Departmanlar ve departmanlar arası ilişki düzgün tanımlandığında ve çalışanlar iş tanımlarına uygun hareket ettiğinde bilgilerin dolaşım prensipleri de oluşmaya başlıyor. Bunun için işletim sistemlerinin içinde yetki sınırlamaları için kullanılan araçlar olduğu kadar, kullandığımız yazılımlar içinde de iş tanımlarına uygun yetki kısıtlamaları yapan kontrol araçları mevcut.

Ama olay bu kadar basit değil. Danışmanlık hizmeti verdiğim şirketlerde önce farkındalık olgusunu aşılamaya çalışıyorum. Bilginin güvenliği bir kurallar, uygulamalar ve bu uygulamaları tanımlayan prosedür ve talimatlar bileşenidir ve başarısı birbiri ile ilişkili birçok faktöre bağlıdır. Bu kural ve uygulamalar için işletme içinde çeşitli politikalar oluşturulur. Kullanıcı Yetki Politikası, Bilgiye Erişim Politikası, Uzaktan Erişim Politikası, E-mail Kullanım Politikası, Doküman Yönetimi Politikası, Arşivleme Politikası, Yedekleme Politikası, Felaket Kurtarma Politikası, İletişim Sistemleri ve Network Güvenliği Politikaları vb.

İnsan Faktörü

Unutulmamalıdır ki dünyada var olan en gelişmiş yazılım ve donanımı da alsanız Kurumsal Bilgi Güvenliği Politikasında yer alan prosedürleri doğru belirlemez ve uygulamazsanız sistemin en zayıf halkası olan insan hatalarını engelleyemezsiniz. Sonuç olarak kurum içi eğitimler, bilgilendirmeler ve prosedürler ihtiyaca göre ele alınmalı ve her şirketin kendi organik yapısına göre politikalar oluşturulmalıdır. Alınacak Teknik önlemler de bu politikaların gerçekleşmesini sağlayacak nitelikte seçilmelidir.



 Naci Karabulut Danışmanlık Sistem Entegrasyon ve İş Süreçleri Mühendisliği
Copyright 2011 © Naci Karabulut