|
Yeni ve Çok Önemli Bir Rol: Bilgi Güvenliği Yöneticisi
23 Ağustos 2001
Internet bugün 400 milyondan fazla kullanıcısı olan dev bir iletişim ve bilgi paylaşım ortamı olarak şirketlere azımsanamayacak faydalar sağlamaktadır.
Bir başka gerçek de Internet'e bağlanan herhangi bir bilgisayarın yada sunucunun fark edilerek, güvenlik açıkları üzerine ataklara geçilmesinin ortalama olarak 3 saat sürmesidir.
Kurumsal bilgi güvenliğinin özellikle Internet'in bu kadar yaygın olarak kullanıldığı şu günlerde ne kadar önem kazandığı açıktır. Alınması gereken teknik önlemlerin yanında acaba kurumlar
nasıl bir organizasyon yapısı ile bu kadar önemli olan bilgi güvenliği konusuna yaklaşmalıdırlar ?.
Türkiye'de yaygın olarak izlenen yöntem IT
departmanları içinde çalışan sistem yöneticilerinin diğer rutin işlerinin yanında, güvenlik konusu ile ilgilenmeleridir
Bilgi güvenliğinin çok kapsamlı bir konu olması nedeniyle böyle bir yaklaşım çoğu zaman yetersiz kalmakta ve daha ciddi yapılanmalara gidilmesi gerekmektedir.
Öncelikle finans kurumlarından başlayarak, çok yakın bir gelecekte şirketlerin CISO - Chief Information Security Officer (Bilgi Güvenliği Yöneticisi) rolüne ihtiyaçları olacaktır.
CISO - Bilgi Güvenliği Yöneticisinin Görevi Nedir ?
Bir bilgi güvenliği politikasının başarısı teknik detaylarda saklı olduğu kadar aynı zamanda uygulanacak prosedürlerin ve süreçlerin başarısına da bağlıdır. CISO, üst yönetim kadrosunda yer alarak;
Şirketin iş süreçleri ve çalışma prosedürleri ile teknik taraftaki güvenlik  gereklilikleri arasında köprü görevi görür
Bilgilerin sınıflandırılmasını yapar
Risk analizi yapar
Platformlar, uygulamalar ve kullanıcılar için gerekli bilgi güvenliği prosedürlerini ve standartlarını oluşturur
IT yöneticileri ile bilgi güvenliği mimarisini belirler
Alınan tedbirlerin ve oluşturulan alt yapının, güvenlik prosedürlerinin tamamını kapsamasını sağlar
Çalışanları güvenlik kavramları konusunda bilinçlendirir ve eğitir
Meydana gelen atakların takip edilmesi, gerekli önemlerin alınması ve raporlanmasını koordine eder
İnsan kaynakları bölümü ile birlikte çalışarak, işe yeni alınan kişilerin güvenlik soruşturmalarının yapılmış olmasını sağlar
İş geliştirme birimleri ile koordineli çalışarak yeni projelerin yada değişiklik isteklerinin oluşturabileceği güvenlik açıklarını tespit ederek,
gerekli hazırlıkları yapar
Üst yönetimi yapılması gereken güvenlik yatırımları ve alınması gereken tedbirler konusunda bilgilendirir
CISO, CEO'ya (Chief Executive Officer) direkt bağlı olabileceği gibi CIO'ya (Chief Information Officer) rapor eder durumda da olabilir. Hızlı ve bağımsız karar alınabilmesi için
genellikle tercih edilen yöntem CEO'ya bağlı olunmasıdır.
CIO bilgi sistemlerinin sürekliliğini sağlamaya çalışırken, CISO bilgi sistemlerinin güvenliği ve bütünlüğünden sorumludur. Bu roller bazı zamanlarda çatışmalar yaratabileceğinden CIO'ya bağlı
olunması durumu pek tercih edilmemektedir.
CISO ve Ekibi
CISO bütün bu çalışmaları yaparken o anki ihtiyaçlara göre aşağıdaki rollere sahip kişiler ile işbirliği yapması gerekebilmektedir:
Ağ yöneticileri
Internet ve ağ güvenliği uzmanları
Veritabanı yöneticileri
E-İş güvenliği uzmanları
PKI (Public Key Infrastructure) uzmanları
Bir zamanlar hacker olup güvenlik danışmanlığı yapar hale gelen danışmanlar
CISO'larda aranan başlıca özellikler:
CISO üst yönetim kademesinde yer almaktadır. Bu nedenle belirli bir yönetim tecrübesi gerekmektedir
İş geliştiriciler ve iş süreçleri ile teknik gereklilikler arasında köprü olabilecek düzeyde iş süreçleri hakkında bilgi sahibi olmalıdır
Bilgi güvenliği teknolojileri üzerinde 5-7 yıllık iş tecrübesi ve diğer IT teknolojileri hakkında bilgi sahibi olunması beklenmektedir
Analitik düşünebilme ve stratejik planlama yeteneğine sahip olunmalıdır
Sadece teknik beceriler bir CISO için yeterli değildir. Güvenlik politikaları çoğu zaman diğer birimler tarafından gereksiz bürokrasi olarak algılanabilmektedir. İş geliştirme
birimleri ile bu ve benzeri nedenler ile çıkabilecek sorunları aşmada stratejik düşünülüp zaman zaman da politik davranılması gerekmektedir.
Bilgi güvenliği profesyonellerinin uzmanlıklarını ölçmek için Uluslararası Bilgi Sistemleri Güvenliği Sertifikasyonu Konsorsiyumu (http://www.isc2.org) gibi kuruşlar
tarafından sertifikasyon sınavları yapılmaktadır.
© 2001 Ilker Atalay
|
