Organizasyonel Veri Güvenliği: Stratejik Önemi ve Yaklaşımlar
Bilgi ile Var Olan Organizasyonlar
Modern iş dünyasında, her organizasyon veri ile şekillenir. Küçük ya da büyük her organizasyon kuruluş sözleşmesi isimli genele açık bir bilgi ile varlığını ilan eder ve yine fesih sözleşmesi isimli genele açık bir bilgi ile yok olur.
Organizasyonların hayatta kalabilmesi için bu iki nokta arasında inanılmaz miktarda veri üretilir, saklanır, çoğaltılır ve paylaşılır. Veri güvenliği, bu sürecin her adımında kritik bir öneme sahiptir.
Gizlilik Hassasiyeti ve Kısıtlamalar
Bir organizasyonun rekabetçi bir ortamda başarılı olabilmesi için bazı bilgilerin gizli kalması gerekmektedir. Bu bilgilerin kimlerle paylaşılacağı, veri güvenliği stratejisinin merkezinde yer alır. Gizlilik hassasiyeti, organizasyonların hangi bilgileri saklaması ve kimlerle paylaşması gerektiği konusunda rehberlik eder.
Veri Bütünlüğü ve Onun Kanıtlanması
Veri güvenliği denildiğinde sadece gizlilik değil, aynı zamanda bütünlük de ön plana çıkar. Bir bilginin güvenilir ve değiştirilmemiş olması, organizasyonlar için son derece kritiktir. Bütünlük, bir bilginin doğruluğunun ve güvenilirliğinin sürekli olarak korunması anlamına gelir.
Erişilebilirlik, Kullanılabilirlik ve Raporlama
Veri güvenliği, sadece bilgilerin korunmasıyla sınırlı değildir. Aynı zamanda, yetkili kişilerin bu bilgilere gerektiğinde hızlı ve kolay bir şekilde erişebilmesi gerekmektedir. Bilgi güvenliği her ne kadar gizlilik, bütünlük ve kullanılabilirlik olarak tanımlanıyor olsa da belirtilen kaygıların ortadan kaldırıldığının ve hassas bilgilerin güvende olduğunun kanıtlarının raporlanabilir olmalı, bir zafiyet oluşmuşsa alarma ve rapora dönüştürülebilir olmalıdır.
Veri Güvenliğinin Tanımı ve Geleceğine Dair Tahminler
Tanım olarak, bilgi güvenliği bir bilgi sisteminin bütünlüğünü, gizliliğini ve kullanılabilirliğini hedef alabilecek her tehdidi ve her türlü güvenlik açığını belirlemek ve bertaraf etmektir.
Veri güvenliği, bilgi sistemlerine karşı olası tehditlere karşı koruma sağlama sürecidir. Ancak, etkili bir veri güvenliği stratejisi, sadece mevcut tehditleri değil, aynı zamanda potansiyel gelecekteki tehditleri de değerlendirmelidir.
BGYS ve PUKÖ Döngüsü
Sürekli olarak bilgi güvenliğinin geri besleme almasını sağlayan alarm ve raporlar ile oluşabilecek yeni tehditler konusunda tahminler yapılmasını kolaylaştırır ve tedbirler geliştirilmesini sağlarken, BGYS (Bilgi Güvenliği Yönetim Sistemi) içinde ifade edilen PUKÖ döngüsünün güvenlik açısından gerekliliğini kanıtlar.
Bilgi Güvenliği Yönetim Sisteminin Oluşturulması ve Uygulanması
BGYS'nin başarılı bir şekilde uygulanabilmesi için bir dizi adıma ihtiyaç vardır. Bu adımlar arasında güvenlik politikalarının oluşturulması, bilgilerin sınıflandırılması, fiziksel güvenlik uygulamaları ve erişim kontrolleri bulunmaktadır. Ancak, en önemlisi, organizasyonun bu adımları kendi özel ihtiyaçlarına göre uyarlamasıdır.
(BGYS) Bilgi Güvenliği Yönetim Sistemi ilkeleri ve kapsamı;
• Güvenlik politikası,
• Bilgi güvenliği örgütlenmesi,
• Varlıkların sınıflandırılması ve yönetimi,
• İnsan kaynakları güvenliği,
• Fiziksel güvenlik ve çevre güvenliği,
• Erişim kontrolü,
• Bilgi sistemi kurulumu, bakım ve idamesi,
• Bilgi güvenliği olay yönetimi,
• İş sürekliliği planı,
• Uyumluluk
BGYS Yol Haritası ve Önceliklendirme
Organizasyonlar, sınırlı kaynaklara sahip oldukları için, veri güvenliği çabalarını doğru bir şekilde önceliklendirerek en büyük etkiyi yaratmalıdır. Örneğin, fiziksel güvenlik mi daha önemlidir yoksa erişim kontrolü mü? Bu soruların cevapları, organizasyonun özel ihtiyaçlarına bağlı olarak değişiklik gösterecektir.
Sonuç
Organizasyon tarafından belirlenecek strateji gereği önceliklendirme nasıl olursa olsun veri merkezli (data-centric) bir yapı oluşturulmaya ve asıl verinin korunması ihtiyacına yönelik bilgi güvenliği hedefine hızlı ilerlenebilecek bir strateji belirlenmeli, yapılacak kontrollerle her dönem iyileştirmelerle katkıda bulunulmalıdır.
Unutmamak gerekir ki hiçbir zaman tam güven ortamı mümkün olmayacaktır. Bu sebeple, organizasyon hedefi tam güven ortamına en yakın durumda olabilmek olmalıdır.