Şirket ve kurumlarda gerek BT gerekse Güvenlik (makele boyunca siber ve bilgi güvenliği olarak ele alınacaktır) ; iş için, işe değer katmak onu desteklemek, korumak ve onu kendi hedefleriyle uyumlu şekilde yeni noktalara taşımak içindir. İş ve Güvenliğin entegrasyonu en zor ancak mutlaka olması gereken konulardan biridir. Yıllar önce BT ‘ nin iş için taşıdığı zorlukları şimdi Güvenlik yaşıyor ve uzun yıllar da taşıyacak. Peki neden Güvenlik ve İş entegrasyonun başarısı zor. Bunun en belli başlı nedenleri arasında aşağıdakileri temel alanları sayabiliriz.
- Güvenlik değerinin kurum ve şirketlerce anlaşılamaması veya anlatılamaması,
- Şirket ve kurumların İş Yönetişiminin yetersiz olması, iş yönetişimi ile yaşanan zorluklar varken Güvenlik ve BT ile entegrasyonun zor olması,
- Hem İş, hem güvenlik hem de BT, CT, OT (Bilgi, İletişim ve Operasyonel Teknolojileri) alanlarında her alanda yaşanan hızlı değişimler,
- Şirket ve kurumlarda stratejik, taktik ve operasyonel süreçlerin yapısal olmaması,
- Yetersiz ve yetkin olmayan insan kaynağı,
- Şirket ve kurumlardaki güvenlik kültürü ve davranışı değişimin uzun vade alması,
- Güvenliğin kısa vadede işe efor, zaman, maliyet gibi yeni ek yükler getirmesi,
Yukarıda yer alan Madde 2 ve 1 in üstesinden gelebilirsek diğer problemler ve sorunları aşmak çok daha kolay. Çünkü Madde 1 ve Madde 2 bu konuda yapılacak herşeye yön gösterir ve diğer sorunların aşılmasına yardımcı olur. ( Bazı sorunları aşmak uzun vade alsa da)
Güvenlikte en kolay yapılabilen ve benimsenen onun teknolojik boyutu. Doğru seçilmiş, tasarlanmış, yapılandırılmış ise en kolay ve hızlı devreye sokulan güvenlik teknolojileri ve ürünleri. Burada dikkat edilmesi gereken en önemli hususlar: Yeni bir teknoloji yatırımı söz konusu ise bunun iyi yapılmış ve yatırımın tüm hayat döngüsü boyunca kullanılan ve güncellenen iş olurluk raporu ve bunun sürekli işe katkısının değerlendirilmesi. Eğer yeni bir yatırım gerektirmeyen teknoloji projesinden bahsediyorsak, işimiz daha da kolay. Ancak her iki durumda bunun stratejik, taktik ve operasyonel süreçlerle desteklenmesi gerekecektir.
İşte bilgiye olan ihtiyacın gün geçtikçe artması, artan yasal gereksinimler ve düzenlemelere uyumluluk ihtiyacı, bilgi ve siber güvenlik risklerindeki artışlar yukarıda bahsedilen zorlukların aşılmasında her zaman yardımcı olur.
Yukarıda bahsedilen her zorluğu; aşağıda verilen bir dizi faaliyeti gerçekleştirerek aşmak mümkündür. Ancak bu faaliyetler, kurum ve şirketin hedeflerine, bulunduğu sektöre, şirketin sahip olduğu iş ve güvenlik olgunluk seviyesine, şirketin organizasyonel yapısına, teknolojik alt yapılara göre farklılık gösterir.
Güvenliğin işe olan değeri; güvenlik ihtiyaçlarına iş hedeflerini eşleştirmek, iş hedefleri ile bilgi güvenlik stratejileri ve planları oluşturmak, güvenliğin değerini kurumsal bilgi güvenlik değer karnesi gibi yöntemlerle ölçmek ve iletmek, gerçekleştirilecek yatırım ve işlerde kurumsal güvenlik mimarisini göz önüne almak, şirketin yapısına uygun gerekli güvenlik organizasyon yapılarını inşa etmek yolu ile artırılabilir.
Teknolojik değişimleri etkilemek mümkün olamayacağı için; bu teknolojilere ayak uydurmak gerekiyor. Bu hususta yapılacak temel faaliyetler arasında iş ve güvenlik yönetim süreçlerinde değişim yönetimini uygulamak, şirkette güvenlik alanında yetkinlik merkezi oluşturmak, bilgi ve siber güvenlik risk yönetimini iş süreçlerine entegre etmek vardır.
Şirketin stratejik, taktik ve operasyonel süreçleri yapısal değilse; en iyi uygulama ve çerçevelerini şirkete uyarlamak, güvenlik değerinin elde edilmesi sonucu gerekli organizasyonel rol ve sorumlulukları devreye almak, bilgi güvenlik stratejisi oluşturup gerekli bilgi güvenlik planları ve programları yapmak yararlı olacaktır.
Güvenlikte yetersiz kapasitede ve yetkinlik seviyesinde insan kaynağı, şu anda tüm dünyanın sorunudur. Yeni iş modellerinin devreye alınması, sürekli eğitimler, okullarda güvenlik ile dalların yaygınlaşması, eksik olan hususlarda dışarıdan hizmet almak yapılacak faaliyetler arasındadır
Şirketin var güvenlik kültür ve davranışını değiştirmek en uzun süreli ve zordur. Bunu başarmak için bilgi güvenlik yönetişiminin tüm fazlarını şirkete adapte etmek, sağlıklı, zamanında ve doğru iletişim yolları inşa etmek, üst yönetimin desteğini alarak bilgi ve siber güvenlik konusunda saydam mesajlar vermek gerekebilir.
Güvenlik kısa vadede şirkete (her işte olduğu gibi) ek efor ve maliyet getirir ancak orta ve uzun vadede değer katar. Bunun için güvenlik iş değerini anlatmak, bunu her seviyedeki organizasyonel birimine iletmek, yapılan işlerde güvenlik risk yönetimini gerçekleştirmek, güvenliğin her işte en başta ele alınmadığında şirketin göreceği maddi ve manevi zararlar ve maliyetlerin tespiti, güvenlik yatırımları yapılmadığında veya olması gereken güvenlik programları gerçekleştirilmediğinde şirketin maruz kalabileceği zararların tespiti ve bunun ilgililere gösterilmesi ile bu sorunu aşmak mümkündür.
Turhan Yükseliyor
CISA, CISM, CRISC, CGEIT, CISSP, CSXF, ISO 27K LA, ITIL v3F, Comptia Sec+