Günümüzde şirketlerin globalleşmesi sonucu ortaya çıkan tehditlerde bir hayli fazladır. Özellikle 2010'lu yıllar sonrası internetin her yere yayılmasından itibaren bu risk bir sanal riske dönüşmüş ve bu sanal risk şirketlere maddi ve manevi çok büyük kayıplar vermiş/vermektedir. Buna karşılık birçok önlemler alınmıştır (Vpn kullanımı,farkındalık eğitimleri,vs.) ama bu önlemlere rağmen halen günümüzde büyük şirketler de dahil olmak üzere veri kaybına veya siber saldırılara maruz kalabilmektedir. Bu soruna global olarak bir çözüm bulmak adına Bilgi Güvenliği Yönetim Sistemi adı verilen bir standart oluşturulmuştur. Bu standart ile en azından şirketlerin maddi ve manevi kayıplarını, kullanıcı verilerinin sızıntıları en az seviyeye indirerek korunmasını hedeflemektedir. Bu konumuzda bu standartı yani Bilgi Güvenliği Yönetim Sistemi diğer adıyla ISO/IEC 27001 inceleyeceğiz iyi okumalar
Bilgi Güvenliği Yönetim Sistemi Nedir?
Bilgi güvenliği yönetim sistemi (BGYI)ya da uluslarası mecralarda ISO/IEC 27001 bilinen bir standart türüdür. Bu standart türü bir şirketin kişisel,müşterinin,şirketinin veri ve bilgilerini gizli tutarak şirketin hassas bilgilerini koruma adına ortaya çıkmış bir sistemdir. Bu sistem temel olarak bir şirketin finansal bilgileri, müşteri bilgileri gibi önemli ve bir saldırı sonucu maddi kayıp yaşanabilecek verilerin risklerini belirleyebilir ve bu riskleri mümkün olan en az seviyeye indirmeye çalışmaktadır. Böylece hem şirketin maddi ve manevi kayıp yaşanma seviyesini hem de verilerinin sızdırılma seviyelerini düşürebilmektedir.
Konumuzun pekişmesi açısından bir örnek üzerinden ilerleyelim. A ve B şirketlerimiz olsun ikisi de saygın ve büyük şirketler olsun. A şirketi BGYS kullanırken B şirketi kullanmıyor diyelim. Bu iki şirkete de büyük bir saldırı olduğunu varsayalım. A şirketi BGYS kullandığı için zaten olası bir saldırının farkında oldukları için gerekli tedbir ve önlemleri aldılar ve bunun sonucunda ne veri kaybı/sızıntısı ne de işlerde aksama oldu. A şirketi durumu en az zararla atlattı.
Bir de B şirketine bakalım BGYS kullanmadığı için potansiyel tehditlere karşı bir savunma mekanizması yok. Saldırı olduğu gibi B şirketinin kullanıcı verileri illegal forumlara sızıldı ve parayla bilgiler ulaşılabilir hale geldi. Bunun sonucu böyle bir global şirketin veri sızıntısı yaşadığı için iş yaptıkları diğer firmalarla güvenlik sebebiyle antlaşmaları iptal edildi. Bunun sonucunda para ve saygınlık kaybetti şirketimiz. Ayrıca bu saldırının verdiği hasarları düzeltmek için IT ekibi işi gücü bırakıp buna yöneldi. Yani bir nevi iş ve zaman kaybı da yaşandı.
Bu iki örnek size BGYS'nin önemini daha da kafada oturtabileceğini söyleyebilirim
Bilgi Güvenliği Yönetim Sisteminin Faydaları
Veri sızıntılarını engelleyerek maddi/manevi kaybı önler
Şirketin IT departmanın işini kolaylaştırır
Şirket çalışanlarının siber saldırılar hakkında farkındalığını arttırır
Riskleri tespit edip en az seviyeye indirger
Kesintisiz güvenlik sağlar
Gereksiz iş yükünü engeller zamandan tasarrufu sağlar
Bilgi Güvenliği Yönetim Sistemini Kimler Kullanabilir ?
Kamu kurumları
Bilişim sektöründe faaliyet gösteren şirketler
Gümrük işlerinde
Haberleşme üzerine kurulu şirketler (operatörler gibi)
İnternet servis sağlayıcıları
Altyapı işletmeciliği yapan şirket ve türevleri
Bilgi Güvenliği Yönetim Sistemi ile Alakalı Bilmeniz Gereken Temel Kavramlar
Bilgi Güvenliği Yönetim Sistemi : En temel olan kelimemiz aslında konumuzun başlığıdır. Bilgi güvenliğini sağlayarak veri kaybını engellemeye çalışır
Risk analizi : Veriler arasında risklerin tespit aşamasını içerir
Risk değerlendirme: Riskin gerçekten bir sorun yaratıp yaratmayacağını yaratacaksa potansiyel sonuçlarının ne olacağını değerlendiren tanımdır
Risk derecelendirme: Veriler arasında bulunan risklerin değerlendikten sonra ilk hangi risk üzerine çalışacaklarını belirler
Risk yönetimi: Derecelendirilen riski şirketin diğer departmanlarıyla olası saldırı sonucu yapılacakları koordine ettikleri tanımdır
Risk işleme: Riski engelleyebilmek için bulunan çözümlerin uygulanmasıdır
Bugün sizlere Bilgi Güvenliği Yönetim Sistemini anlattım. BGYS büyük veya küçük şirket olması fark etmeksizin önemli bir kavramdır. Bu kavramla tanışıp çalışan şirketler bu kavramla tanışmayan ve çalışmayan şirketlere nazaran daha güvenli, verimli ve güvenilebilir bir imaj çizebiliyorlar.