Günümüzde İnternet ve Teknoloji kullanımının hayatımızın her noktasında yer bulması ile Siber Güvenlik hem kurumlar hem de bireyler için en önemli kavramlardan birisi haline geldi. Dijital ortamdaki verilerin kolaylıkla işlenebilmesi ve paylaşılabilmesi yeni riskleri de beraberinde getiriyor. Kullandığımız teknolojilerin ve internet ortamında işlenen verilerin güvenliğini sağlamak, herkes için önem taşımakta. Verilerin güvenli şekilde işlenmesinin anahtar kelimesi ise “Bilgi Güvenliği” dir. Gerek bireyler gerekse kurumlar Bilgi güvenliğini sağlamak için, bilginin üzerindeki Gizliliğe, Bütünlüğe ve Erişebilirliğe yönelik risklerini yönetmesi gerekir.
Bilgi güvenliğine zarar veren unsurların başında siber saldırılar geliyor.
Veri kayıpları ya da veri sızıntıları gibi istenmeyen durumlara neden olabilen siber saldırılar, kurumların iş akışlarını durdurarak maddi kayıplara neden olabilecekleri gibi kuruluşa duyulan güveni zedeleyerek itibar kaybına da neden olmaktadır.
Kurumlarda bilgi güvenliğine yönelik faaliyetler gerek iş süreçleri gerek sektör ve müşteri gereksinimleri nedeniyle gündeme gelmekte. Fakat bir diğer önemli husus ise yasal gereksinimlerdir. Günümüzde birçok ülke kişisel verilerin önemini ön plana çıkaracak veri koruma regülasyonları yayınlıyor. Ülkemizde 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Avrupa Birliğinde ise Genel Veri Koruma Regülasyonu (GDPR) kişisel verilerin korunmasını hedefleyen yasal gereksinimlerdir. İlgili yasal gereksinimler kurumların bilgi güvenliğini sağlayabilmeleri için gerekli teknik ve idari tedbirleri azami seviyede alınmasını zorunlu tutmakta. Gerekli teknik ve idari tedbirlerin yerine getirilmemesi nedeniyle bilgi güvenliği ihlali yaşayan kurumlar ilgili kanunlar kapsamında yaptırımlarla karşı karşıya kalacaktır.
Kuruluşların bilgi güvenliğini etkileyecek siber saldırılardan korunmak adına atacakları en temel adımları şu şekilde sıralayabiliriz:
Farkındalığın Arttırılması: En zayıf halkanız kadar güçlüsünüz! Bilgi Güvenliği risklerinin en temelinde farkındalık eksikliği yatmaktadır. Bu nedenle Bilgi Güvenliğinin en zayıf halkası olan insan faktörünün siber güvenlik farkındalığı konusunda eğitilerek sıklıkla denetlenmesi ve değerlendirilmesi gerekmektedir. Kurum çalışanlarının Bilgi Güvenliği risklerine karşı devamlı eğitilmesi ve farkındalık seviyelerinin en üst düzeyde tutulması savunmayı güçlendirecek en önemli adımdır.
Risklerin Belirlenmesi ve Güvenlik Politikalarının Oluşturulması: Bilgi güvenliğini sağlamak için atılacak bir diğer adım ise nelerin, kimden korunması gerektiğini belirlemektir.
Bu noktada kurum için değer ifade eden veriler, dijital ya da fiziki varlıklar belirlenmelidir. Bu varlıkları etkileyebilecek riskler ve tehditler tanımlanmalı ve alınabilecek tedbirler belirlenerek bir “güvenlik politikası” oluşturulmalıdır. Oluşturulan politikaya uygun olarak alınması gereken teknik ve idari tedbirler en kısa sürede uygulanmalıdır.
Denetim: Alınmış olan teknik ve idari tedbirlerin gerçekten işe yarayıp yaramadığını tespit edebilmek için uygulanan Bilgi Güvenliği önlemlerinin etkinliği iç ya da Dış kaynaklarca değerlendirilir ve bu sayede yeni riskler ya da yöntemlerin etkisi denetlenerek olası problemler ortaya çıkartılır. Bilgi Güvenliği risk yönetimi “bir defa yaptık, bitti” denilebilecek bir şey değil. Sürdürülebilir bir Risk yönetim sürecinin sağlanması gerekir. Bu da risklerin belirli aralıklarla gözden geçirilmesi ile sağlanabilir. Riskler belirli aralıklarla gözden geçirilerek, ihtiyaca göre yeni teknik ve/veya idari tedbirler planlanır. Sürdürülebilir bir bilgi güvenliği yönetimi kuruluşlarda Siber Güvenlik seviyesinin de yükseltilmesini sağlar. Risk yönetimini sürdürebilir kılmanın bir unsuru Bilgi Güvenliği Standartları iken bir diğer unsuru ise Güvenlik Testleridir.
Devamlılık: “Bilgi Güvenliği” bir süreç olarak ele alınması gerekir. Bu süreci ele alırken Planlama, Uygulama, Kontrol Etme ve İyileştirme aşamalarını göz dönünde bulundurmak gerekir. Her bir adımı için gerekli aksiyonlar planlanarak bu döngünün sağlıklı işletilmesi sağlanır. Şayet bu dört adımı efektif işletebiliyorsak Bilgi Güvenliğinde sürdürülebilirliği sağlayabiliriz.
Özetlemek gerekirse, Bilgi Güvenliği dediğimiz kavram bilgisayarlara anti virüs yazılımı kurmaktan ibaret değildir. Öncelikle bunun farkına varmakla başlamak gerekir. Ardından bu kavramın kurum kültürüne sirayet etmesi için gerekli çalışmaları planlamak gerekir.