Bilgi Güvenliğinin Temelleri

Gerçek dünyada sahip olduğumuz yaşamımızın yanında artık sanal dünyada yeni bir yaşamımız oluşmaya başlıyor. Neredeyse daha düne kadar bütün işlemlerimizi sokağa çıkıp fiziki mekanlarda, gerçek kişilerle yüz yüze yaparken artık günümüzde hemen bütün işlemlerimizi bilgisayar veya akıllı telefon başında ama kapalı mekanlardan gerçekleştiriyoruz. Daha önce belki de hiç kullanmadığımız internet bankacılığı işlemleri gibi işlemleri, sanal toplantılar gibi sanal iş görüşme ortamlarını kullanmaya başlıyoruz. Tüm bu işlemleri yaparken belki de ne yaptığımızı tam olarak bilemiyor, yaptığımız hataların nelere sebep olacağını anlayamıyoruz.

Kurumsal seviyede de benzer endişelerden dolayı uluslararası standartla uygun sertifikasyon süreçleri ile kuruluşumuzun bilgi teknolojileri ve bilgi güvenliği süreçlerine uyumunu hızlandırmaya ve kontrol altında tutmaya çalışıyoruz.

Bilgi güvenliğindeki en büyük zorluk, güvenlik risklerinin sürekli değişen ve gelişen doğasıdır. Geleneksel olarak güvenlik dendiğinde fiziki çevre güvenliği akıllara gelmektedir. Oysa günümüz koşullarında güvenliğin sağlanabilmesi için bu yaklaşım yetersiz kalmıştır. Güvenlik kapsamı kuruluşların ayak uydurabileceğinden daha hızlı gelişip ve değiştiği için daha proaktif ve uyarlanabilir yaklaşımlara ihtiyaç duyulmaktadır.

Bilgi güvenlik cepte unutulan kağıt mendile benzer. Kıyafetin ceplerini başta kontrol etmeden yıkamak için makineye atarsanız makinedeki tüm kıyafetlere bulaşır. Mendil parçaları bir kere bulaştıktan sonra da tam olarak temizlemeniz için teker teker uğraşmanız gerekir. Bu sebeple bilişim sistemleri kurulurken BGYS (Bilgi Güvenliği Yönetim Sistemi) ve KVYS (Kişisel Veri Yönetim Sistemi) dikkate alınarak kurulmalıdır.

ISO/IEC 27001 ve 27701 standartları da BGYS ve KVYS temelinde kuruluşlara yol gösterirken kontrollerini sağlar.

BGYS ve KVYS birlikte ele alındığınde kişisel ve kurumsal seviyede bilgi güvenliği birlikte sağlanabilir. Bu sayede;

• Bilgi Güvenliği politikası, kapsamı ve hedefleri belirlenir,

• Kurallar tanımlanır, buna uygun roller belirlenir, gerek duyulacak araçlar hazırlanır,

• Bilgi güvenliği eylem planı oluşturulur ve uygulamaya geçilir,

• Uygulama doğrultusunda beklentilere uygunluğu ölçülür ve değerlendirilir,

• Bilgi Güvenliği politikası ve kapsamı gözden geçirilir ve hedefler yenilenir.

ISO/IEC 27001, 27701, 20000-1 KVKK, GDPR kapsamında kuruluşun bilgi güvenliği süreçleri oluşturulur, kurulumu sağlanır, uygulanır ve belirli aralıklarla güncellenir. ISO/IEC 27001 uluslararası standardı da bu kapsamda kendisini yeniler ve ISO/IEC 27701, 20000-1, KVKK, GDPR da ISO/IEC 27001 süreçleri temelinde düzenlenir.

ISO/IEC 27001:2022 ile birlikte kapsam denetim sürecini yürütenlerin ve danışmanların, daha teknik bilgiye sahip olmaları halinde, süreçleri daha kontrollü yürütebilmelerine olanak verir hale gelmiştir. Bu sebeple BGYS Farkındalık eğitimleri de içerik olarak doküman hazırlama süreçleri yerine temel bilgi teknolojilerini öğrenme, tekrar etme süreçlerini kapsamaya başlamıştır.

ISO/IEC 27001:2022 ile birlikte kapsam, kontrol ve denetim süreçleri daha net hale gelmiştir.

Kontrol başlıkları;

• Temel Gereklilikler (Anex-SL),

• Teknolojik Kontroller (Anex-A),

• Fiziksel Kontroller (Anex-A),

• Organizasyonel Kontroller (Anex-A),

• Kişi Kontrolleri (Anex-A)

ISO 27001 denetiminin amacı da BGYS sisteminin düzenli bir şekilde denetlenmesini ve standarda uygunluğunun belgelendirilmesidir.

Bu kontrol başlıkları sebebiyle ISO/IEC 27001 standardı BGYS gereksinimlerini 360 derecelik bilgi güvenliği kapsamında ele almaktadır. Bu kontrol başlıklarına;

• USOM ile koordineli çalışan SOME ekiplerinin kurulumu, eğitimi ve koordinesi süreçleri,

• KVKK, GDPR ve KVYS uyumluluğu,

• Fiziki alan güvenlik gereklilikleri,

• Bilgi güvenliği proje yönetim süreçleri de dahil edilmiştir.

Bu kontrol başlıklarının doğru anlaşılması, BGYS sisteminin doğru kurulması için temel seviyede teknik bilgiye ihtiyaç gerekir. Yani iyi bir bilişim okuryazarı olmak gerekir.

Kapsama dahil olan konularla ilgili güncel hayattan birkaç örnek vermek gerekirse;

• Okullarda karne dağıtıldıktan sonra sosyal ortamda okul, karne, öğrenci-veli fotoğrafları paylaşılıyor. Karneyi paylaşmadan önce üzerine bakıp hangi bilgilerin olduğunu, bu bilgilerle neler yapılabileceğini değerlendirmek gerekiyor. Çocukla birlikte okulda çekilip paylaşılan fotoğraflar ve videolar kişisel verilerin paylaşılmasına neden oluyor. Burada çocuğun hangi okula gittiği ve velisinin kim olduğu gibi bilgiler okul yetkililerini zor durumda bırakabiliyor, velilerin ise hiç ummadığı sorunlarla karşılaşmasına neden olabiliyor. ISO/IEC 27001:2022 kapsamında bilgi güvenliği politikasına velilere ve çalışanlara konunun önemini belirten duyuruların, bilgilendirmelerin yapılmasının gerektiği yeni bir kontrol başlıklarının eklenmesi gerekiyor. Çünkü fotoğrafın çekildiği fiziki alan güvenliği okul yönetiminin sorumluluğuna giriyor.

• Çevre ve alan güvenliği için kullanılan VMS (Video Yönetim Yazılımları) ile kameralardan alınan görüntülerin analitiklerle işlenmesi aşamasında, görüntüleri depolarken ve gerçek zamanlı işlerken bazı teknik kontrollerin yapılması gerekiyor. Görüntüleri analitiklerle işlerken KVKK ve GDPR kapsamında kişisel verileri korumak için yazılım üzerinde uygun filtrelerin olması gerekiyor. Alan güvenliğini sağlayan güvenlik birimlerinin kullandığı sayısal telsiz, analog telsiz veya PTT özellikli donanım ve yazılımlar için teknik kontrollerin yapılması gerekiyor.

• Günümüzde hemen her yerde kullanılmaya başlanan drone sistemleri kolluk güçleri ve devlet güvenlik birimleri harici kullanımlarda belli kurallar dahilinde havalanıp görüntü alabiliyor. Bu görüntülerin alınması aşamasında, özellikle meskun mahalde kullanımında, kurumsal ve kişisel veri güvenliği kapsamında uyulması gereken kontroller devreye giriyor.

Anlaşılacağı üzere bilgi güvenliği süreçlerinde idari süreçler ve dokümantasyon aşamaları kadar teknik bilgi yeterliliği de önemli hale gelmiştir.