Gruppal ile Tatile kn
 
Makaleler
Türkçe English
Yeni ve Çok Önemli Bir Rol: Bilgi Güvenliği Yöneticisi
23 Ağustos 2001

Internet bugün 400 milyondan fazla kullanıcısı olan dev bir iletişim ve bilgi paylaşım ortamı olarak şirketlere azımsanamayacak faydalar sağlamaktadır.

Bir başka gerçek de Internet'e bağlanan herhangi bir bilgisayarın yada sunucunun fark edilerek, güvenlik açıkları üzerine ataklara geçilmesinin ortalama olarak 3 saat sürmesidir.

Kurumsal bilgi güvenliğinin özellikle Internet'in bu kadar yaygın olarak kullanıldığı şu günlerde ne kadar önem kazandığı açıktır. Alınması gereken teknik önlemlerin yanında acaba kurumlar nasıl bir organizasyon yapısı ile bu kadar önemli olan bilgi güvenliği konusuna yaklaşmalıdırlar ?.

Türkiye'de yaygın olarak izlenen yöntem IT departmanları içinde çalışan sistem yöneticilerinin diğer rutin işlerinin yanında, güvenlik konusu ile ilgilenmeleridir Bilgi güvenliğinin çok kapsamlı bir konu olması nedeniyle böyle bir yaklaşım çoğu zaman yetersiz kalmakta ve daha ciddi yapılanmalara gidilmesi gerekmektedir.

Öncelikle finans kurumlarından başlayarak, çok yakın bir gelecekte şirketlerin CISO - Chief Information Security Officer (Bilgi Güvenliği Yöneticisi) rolüne ihtiyaçları olacaktır.

CISO - Bilgi Güvenliği Yöneticisinin Görevi Nedir ?

Bir bilgi güvenliği politikasının başarısı teknik detaylarda saklı olduğu kadar aynı zamanda uygulanacak prosedürlerin ve süreçlerin başarısına da bağlıdır. CISO, üst yönetim kadrosunda yer alarak;

  • Şirketin iş süreçleri ve çalışma prosedürleri ile teknik taraftaki güvenlik gereklilikleri arasında köprü görevi görür


  • Bilgilerin sınıflandırılmasını yapar


  • Risk analizi yapar


  • Platformlar, uygulamalar ve kullanıcılar için gerekli bilgi güvenliği prosedürlerini ve standartlarını oluşturur


  • IT yöneticileri ile bilgi güvenliği mimarisini belirler


  • Alınan tedbirlerin ve oluşturulan alt yapının, güvenlik prosedürlerinin tamamını kapsamasını sağlar


  • Çalışanları güvenlik kavramları konusunda bilinçlendirir ve eğitir


  • Meydana gelen atakların takip edilmesi, gerekli önemlerin alınması ve raporlanmasını koordine eder


  • İnsan kaynakları bölümü ile birlikte çalışarak, işe yeni alınan kişilerin güvenlik soruşturmalarının yapılmış olmasını sağlar


  • İş geliştirme birimleri ile koordineli çalışarak yeni projelerin yada değişiklik isteklerinin oluşturabileceği güvenlik açıklarını tespit ederek, gerekli hazırlıkları yapar


  • Üst yönetimi yapılması gereken güvenlik yatırımları ve alınması gereken tedbirler konusunda bilgilendirir


  • CISO, CEO'ya (Chief Executive Officer) direkt bağlı olabileceği gibi CIO'ya (Chief Information Officer) rapor eder durumda da olabilir. Hızlı ve bağımsız karar alınabilmesi için genellikle tercih edilen yöntem CEO'ya bağlı olunmasıdır.

    CIO bilgi sistemlerinin sürekliliğini sağlamaya çalışırken, CISO bilgi sistemlerinin güvenliği ve bütünlüğünden sorumludur. Bu roller bazı zamanlarda çatışmalar yaratabileceğinden CIO'ya bağlı olunması durumu pek tercih edilmemektedir.

    CISO ve Ekibi

    CISO bütün bu çalışmaları yaparken o anki ihtiyaçlara göre aşağıdaki rollere sahip kişiler ile işbirliği yapması gerekebilmektedir:

  • Ağ yöneticileri


  • Internet ve ağ güvenliği uzmanları


  • Veritabanı yöneticileri


  • E-İş güvenliği uzmanları


  • PKI (Public Key Infrastructure) uzmanları


  • Bir zamanlar hacker olup güvenlik danışmanlığı yapar hale gelen danışmanlar


  • CISO'larda aranan başlıca özellikler:

  • CISO üst yönetim kademesinde yer almaktadır. Bu nedenle belirli bir yönetim tecrübesi gerekmektedir


  • İş geliştiriciler ve iş süreçleri ile teknik gereklilikler arasında köprü olabilecek düzeyde iş süreçleri hakkında bilgi sahibi olmalıdır


  • Bilgi güvenliği teknolojileri üzerinde 5-7 yıllık iş tecrübesi ve diğer IT teknolojileri hakkında bilgi sahibi olunması beklenmektedir


  • Analitik düşünebilme ve stratejik planlama yeteneğine sahip olunmalıdır


  • Sadece teknik beceriler bir CISO için yeterli değildir. Güvenlik politikaları çoğu zaman diğer birimler tarafından gereksiz bürokrasi olarak algılanabilmektedir. İş geliştirme birimleri ile bu ve benzeri nedenler ile çıkabilecek sorunları aşmada stratejik düşünülüp zaman zaman da politik davranılması gerekmektedir.

    Bilgi güvenliği profesyonellerinin uzmanlıklarını ölçmek için Uluslararası Bilgi Sistemleri Güvenliği Sertifikasyonu Konsorsiyumu (http://www.isc2.org) gibi kuruşlar tarafından sertifikasyon sınavları yapılmaktadır.

    © 2001 Ilker Atalay
  • Diğer Makaleler




  • Home
         ICQ #: 7318385