ISO 27001 BGYS bir Bilgi Islem konusu degildir!
Kuruluşların, ISO 27001 Bilgi Güvenliği Yönetim Sistemi’ni (BGYS) hayata geçirme aşamasında yaptıkları önemli hatalardan birisi, BGYS’nin yalnızca bilgi teknolojileri departmanlarının konusu olduğunu düşünmeleridir.
BGYS'nin benimsenmesi stratejik bir karar olmalıdır!
BGYS'nin benimsenmesi, kuruluşlar için stratejik bir karar olmalıdır ve doğal olarak kuruluşların stratejik kararları tek başlarına Bilgi Teknolojileri departmanları tarafından alınmazlar.
Bilgi teknolojileri, günümüzde e-devlet’ten bankacılığa, alışverişten seyahat organizasyonuna kadar, gerek kişisel gerekse kurumsal hayatın her alanında yer alıyor.
Dolayısıyla, BGYS’nin bir çok aşamasında da bilgi teknolojilerinin karşımıza çıkması doğaldır.
BGYS'nin temel amacı kuruluşların bilgi varlıklarının güvenliğini sağlamaktır.
ISO 27001 BGYS'ye göre varlık, bir kuruluş için değeri olan herhangi bir şeydir. Bilgi varlıkları yazılı, basılı, görüntülü ya da sözlü olabilir. Bu kapsamda, örneğin çalışanlarının özlük bilgileri, yönetim kurulu raporları, tedarikçilerle yapılan sözleşmeler, ürün reçeteleri, fiyat listeleri, reklamlar, tasarımlar, çalışanların bilgi birikimi, kuruluşun bilgi varlıklarıdır.
Kuruluşlar, ISO 27001 BGYS ile bilgi varlıklarının korunması için gerekli sistemi planlamayı, kurmayı, işletmeyi ve sürekli geliştirmeyi hedeflerler. Teknolojik gelişmelere paralel olarak, yaşam döngüsü içerisinde bilginin yaratılması, işlenmesi, barındırılması, iletilmesi ve yok edilmesi gibi bir çok aksiyonda bilgi teknolojilerinden yararlanılmaktadır.
Burada gözden kaçırılmaması gereken, bilginin varlıklarının korunmasındaki asıl sorumluluğun varlığın sahibinde olduğudur. Bilgi varlıklarının sahibi ise çoğunlukla BT departmanları değildir.
Bilgi varlıklarının sahibi, çoğunlukla BT departmanları değildir.
Bilgi sahipleri, BGYS'nin kuruluş aşamasında,
Bilgi varlıklarının tanımlanması
Varlıklara ilişkin gizlilik sınıflandırmasının yapılması
Risk analizinin gerçekleştirilmesi
Risklerin azaltılması için önlemlerin belirlenmesi
gibi bir çok önemli adımda proje sürecinin içinde olmalıdır.
BGYS projelerinde, BT dışındaki departmanlardan katılan ekip üyelerinin genellikle çekimser davrandıklarını gözlemliyoruz. Bunun nedeni, BGYS'nin tümüyle teknolojik bir kapsamı olduğunu düşünmeleri ve kendilerini katılımcıdan çok dinleyici gibi hissetmeleridir. Halbuki, BGYS'nin amacı olan bilgi varlıklarını korumak için bir çok yöntem mevcuttur, bunlardan bazıları teknolojik, bazıları ise değildir.
Örnek vermek gerekirse,
Yeni ürün kampanyasına ait reklam filmindeki bilgileri korumak için reklam şirketiyle gizlilik anlaşması yapmak,
Piyasaya henüz sürülmemiş ve kağıtta yazılı olan bir ürünün reçetesini korumak için kasaya saklamak,
İnsan kaynakları departmanlarındaki özlük dosyalarında bulunan hassas verileri korumak için dolabı kilitlemek,
Gizli dokümanları masa üstünde bırakmamak, yok ederken çöpe atmak yerine kağıt öğütücüden geçirmek
son derece basit ve çok da teknoloji içermeyen yöntemlerdir.
İş süreci temsilcilerinin yeterli katılımı sağlamadığı BGYS projeleri, bilgi teknolojileri departmanlarının üstüne kalmakta ve bu durum, hedeflerine ulaşamamış, verimsiz projeler üretilmesine yol açmaktadır.
Ne yapmalı?
Projenin henüz başında, kuruluş üst yönetimi ile iş süreci sahiplerinde, Bilgi Güvenliği'ne ilişkin farkındalığın yaratılması, çözüm için basit ve etkili bir yoldur.
Böylece, projeyi gerçekten katkı sağlayabilecek ekip üyeleriyle yürütmek mümkün olabilir...