Son Haberler

Bilgi güvenliği için ne yapmalı?

Şirketlerin sahip olduğu ticari varlıkların en önemlilerinden birisi de “bilgi”dir. Bilgi, sözlü, basılı veya elektronik ortamlarda bulunabilir. Günümüzdeki hızlı teknolojik gelişmeler nedeniyle sahip olunan bilginin korunması iş dünyasının stratejik önceliklerinden birisi haline geldi. Şirketler bunun için önlemler alıyor ve önemli yatırımlar yapıyor.

Bir şirketin kendi ürünlerine, iş süreçlerine, pazarlama stratejilerine, müşterilerine yönelik her türlü bilgi, onun rakipleriyle arasındaki farkı oluşturur. Şirketler sahip oldukları bilgiyi koruyabildikleri ve kullanabildikleri ölçüde rakiplerine göre daha başarılı sonuçlar elde edebilir. Teknolojinin günümüzdeki kadar yoğun kullanılmadığı geçmiş dönemlerde, şirketlerin sahip olduğu bilgiyi koruması çok daha kolay olabiliyordu. Fakat, günümüzde şirket bilgilerinin elektronik ortamlarda tutulması zorunluluğu, bu bilgileri korumayı daha zor hale getirdi. çeşitli siber saldırı yöntemleriyle şirket bilgilerinin açığa çıkması artık çok daha kolay olabiliyor. Bu da şirketler için tam bir felaket anlamına gelebiliyor.

Bilgi kaybı iflasa götürebilir
Şirketler bilgi kayıpları nedeniyle para, zaman, müşteri ve pazar kayıpları, çeşitli cezai yaptırımlar ve itibar kayıpları ile karşılaşabiliyor. Şirketlerin bu kayıplarını yerine koyabilmesi çok maliyetli olabiliyor. Hatta bazı durumlarda şirketlerin iflas ile karşı karşıya kalabildiğini belirtmek de gerekiyor.

Bu nedenle tüm şirketler, bilgi güvenliği konusuna önem vermek durumunda. Bilgi güvenliği, kayıpların en aza indirilmesine ve ticari fırsatlardan faydalanmaya imkan sağlar. Bilgi güvenliği konusunda en özenli olması gereken kurumların başında finans kurumlarının geldiğini belirtmek yanlış olmayacak. özellikle ülkemizde bankacılık sektörünün bu konuya hassas bir şekilde yaklaşması gerekiyor. Son yıllarda BDDK’nın düzenlemeleriyle bu konuda oldukça yol alındı.

Bilgi güvenliğinde temel amaç, sahip olunan bilgilerin izinsiz erişimden, kullanımdan, başkalarıyla paylaşılmasından, değiştirilmesinden, zarar verilmesinden ve yok edilmesinden korunmasıdır. Bilgi güvenliği; bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini hedefler.

Bilgi güvenliği politikası risklere göre güncellenmeli
Şirketin bilgi güvenliği risklerini azaltmak bakımından öncelikle tutarlı bir politika geliştirmesi önemlidir. Şirketin yönetim kurulu tarafından onaylanması gereken bu politikanın, bilgi güvenliği ile ilgili tüm esasları içermesi ve özellikle yeni riskler ortaya çıktığında güncellenmesi gerekir. Ayrıca, şirketin sahip olduğu bilgi varlıklarının envanteri oluşturulmalı ve her bir bilgi türü için bir sorumlu atanmalıdır.

Bütüncül bir yaklaşım şart
Bunun yanı sıra bilgi güvenliğinin şirket bünyesinde bir veya bir kaç çalışanın sorumluluğunda olan bir konu olarak değil, tüm personelin içinde bulunduğu bir yaklaşımla ele alınması, tüm çalışanların yönetim tarafından bilgilendirilmesi, yönlendirilmesi ve eğitilmesi, bu konudaki görev ve sorumlulukların görev tanımlarında açık bir şekilde yazılması, etik kuralların bulunması, tüm personel ile şirkete ait gizlilik içeren bilgilerin korunmasına yönelik gizlilik sözleşmeleri imzalanması ve çalışanların ulaşabildikleri verinin yaptıkları işe uygun olması gereklidir.

Destek alınan kuruluşlara dikkat
Gerek şirket çalışanları, gerekse de üçüncü şahısların şirketin hangi fiziksel ortamlarına ulaşabileceğinin belirlenmesi, bilgi sistemleri donanımlarının bulunduğu alanlar gibi güvenli olarak belirlenecek diğer alanlara erişimlerin engellenmesi veya kartlı giriş gibi kısıtlamalarla erişimlerinin sağlanması ve izlenmesi de ayrıca önem taşıyor. özellikle çeşitli konularda destek hizmeti alınan kuruluşlar ile ilişkilerde dikkatli olunması ve imzalanan sözleşmelere bu konuda hükümler konulması gerekiyor.

Yetkilendirme ve erişim sınırlaması getirilmeli
Bunun yanı sıra yetkisi bulunmayan kişilerin şirket bilgilerine ulaşmasını önlemek bakımından şirket bilgisayar ağında kötü amaçlı yazılımların sızmasını önleyecek tedbirlerin alınması, kişilerin taşınabilir diskler gibi yöntemlerle şirket bilgilerini dışarıya çıkarmasının önlenmesi de alınması gereken önlemler arasında bulunuyor.

çalışanların şirket bilgisayarlarına kendi yetki seviyelerine uygun şifreler ile giriş yapmaları, kimlerin hangi bilgilere ulaştığının izlenebildiği mekanizmaların oluşturulması, erişim kayıtlarının düzenli olarak kontrol edilmesi, yetkisiz erişimlerin zamanında tespit edilerek gerekli önlemlerin alınması da gerekiyor. Ayrıca, bilgi sistemlerinin içeriden ve dışarıdan test çalışmalarıyla düzenli olarak gözden geçirilmesi önem taşıyor.

Afet riskine karşı yedekleme yapılmalı
Bilgi güvenliğinin en önemli boyutlarından birisini de arıza, yangın, deprem gibi olağanüstü durumlarda şirket bilgilerinin zarar görmemesini sağlayacak iş sürekliliği yönetimi oluşturuyor. Şirketin bu tür olayları öngörmesi, buna göre planlama yapması, şirket bilgilerinin hem şirket bünyesinde bulunan bilgisayarlarda, hem de ayrı bir lokasyonda oluşturulacak iş sürekliliği alanlarında tutulması, yaşanabilecek olası kesintilerde şirketi bir çok riskten koruyacaktır.

Gürdoğan YURTSEVER

Türkiye İç Denetim Enstitüsü
Başkan Yardımcısı
Yorum yok

Yorum Yazın

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Site Haritası