• VMİ Danışmanlık

ISO 27001 Danışmanlığı ve Bilgi Toplumu


TS ISO/IEC 27001:2013 Danışmanlığı

Ülkemizi Bilgi Çağı’nda nasıl bir gelecek bekliyor?

Bilişim ve iletişim teknolojileri hızla gelişmeye devam ediyor. Teknoloji kullanımı Türkiye’de oldukça yaygın. Halkımız teknolojiyi kullanmayı seviyoruz. Dileriz ki gelecekte bu teknolojilerin önemli bir kısmı da halkımızca, ülkemiz tarafından üretilir. Atı evcilleştirerek dünyayı mobilize eden atalarımız gibi belki de yeni bir mobilizasyon dalgasını yine biz oluştururuz. Bilgi toplumu yolunda ilerleyen Türkiye’de siber saldırılar da hızla artıyor. Bilgi güvenliği, siber güvenlik zararlıları sorunlarına her geçen gün bir yenisi daha ekleniyor! Teknoloji kolaylıkların yanında sorunlarıyla da gündemimizde olacak. OECD Bilgi Sistemleri Güvenliği Rehberi ile tanıştığımız sistematik bilgi güvenliği yaklaşımının üzerinden çok zaman geçti. Siber saldırılara karşı ne yapacağız? Ülkemizi Bilgi Çağı’nda nasıl bir gelecek bekliyor? Bilgi Çağı’nda ülkemizin bilgi varlıklarını nasıl koruyacağız? Bilgi güvenliği konusunda çalışacak siber güvenlik uzmanı, siber güvenlik danışmanı, bilgi güvenliği uzmanı, bilişim güvenliği uzmanı, bilişim güvenliği danışmanı, bilgi güvenliği danışmanı var mı? Kısaca bu alanda çalışacak insan kaynağımız hem sayısal olarak hem de yetenek ve beceri olarak yeterli midir?

Bilgi Güvenliği Nedir? Bilgi Güvenliği Yönetim Sistemleri Neler İçerir?

Bilgi güvenliğinin temel ilkelerini sayarak bilgi güvenliğini tam olarak ifade edebiliriz: Bilgi güveliği, bilginin bütünlüğü, gizliliği, sürekliliği, erişilebilirliğini sağlamaktır. Başka bir deyişle bilgi güvenliği bilginin yetkisiz erişime, ifşaya, bilginin değiştirilmesine, manüple edilmesine karşı alınacak önlemlerle bilgi güvenliği zafiyetlerini ortadan kaldırmak için kurulan sistem olarak da tanımlanabilir. Günümüzde bilgi varlıklarını korumak en önemli görevimizdir. Bilgi güvenliğinin en önemli unsurları, gizlilik, bütünlük, kullanılabilirlik, doğruluktur. Türkiye çok önemli bir karar vererek kritik altyapı sektörleri olarak göreceğimiz: Enerji sektörü, Bilgi ve iletişim teknolojileri sektörü, Ulaştırma ve trafik, sağlık, kamu hizmetleri altyapıları, finans sektörü gibi alanlarda bilgi güvenliği yönetim sistemi kurulmasını tavsiye etmiştir. Hatta bu sektörlerden bazılarında ISO 27001 standardı alınması zorunlu getirilmiştir.

Bilgi toplumu olma yolundaki Türkiye’de bilgi yönetimi, bilgi güvenliği, siber güvenlik konularında çalışacak daha çok bilgi güvenliği uzmanı, bilgi güvenliği danışmanı, siber güvenlik uzmanı, siber güvenlik danışmanı, bilişim güvenliği uzmanı, bilişim güvenliği danışmanına ihtiyacımız var. Hatta bilgi güvenliği, siber güvenlik alanında uzmanlaşmış siber güvenlik şirketi, bilgi güvenliği danışmanlığı firmalarına ihtiyacımız var.

Bilişim mevzuatı ve uluslararası regülasyonlar

Bilgi güvenliği konusunda hukuk başlığı ile ilgili yapılacak çok şeyler var. Bilgi ve iletişim teknolojileri politikaları ve mevzuatları sürekli geliştirilmeli. Bu alanda çalışma yapacak adli bilişim uzmanları, adli bilişimciler, avukatlar gerekli. Yine uluslararası regülasyonları takip etmek bu regülasyonlara katkı sağlamak da çok önemli bir husustur. Çoğu zaman adı olan ama uygulanmasında sıkıntı çekilen bir konu karar alma süreçlerine vatandaşın katılımını sağlamak en önemli görevlerimizden biri olmalıdır. Yurttaşlarımızı bilgi ve iletişim teknolojileri aracılığı ile kurumlarımızın karar alma süreçlerine dahil edebiliriz. Belediyeler bu konuda çok hassas olmalılar. Belediyelerin şeffaf ve hesap verebilir hale getirilmesi artık çok zor değil yeter ki bu konuda belediyeler istekli olsun. Ülkemizde bilgi ve iletişim teknolojilerinin kullanımının yaygınlaştırılması hatta bu teknolojilerin yerlileştirilmesi de ülke olarak çalışmamız gereken bir konudur.

Kurumlarımız “bilgi” varlıklarımızı koruyabilmek için sistemli çalışmak zorundadır. Bilgi sadece siber ortamda değildir. Dolayısı ile elektronik ortamlarda olmayan kıymetli bilgilerimiz de korunmalıdır. Bunun için VMİ Danışmanlık olarak başlangıçta dünyada yaygın olarak kullanılan standartların, framework’lerin kullanılmasını öneriyoruz. Örneğin ISACA, ISO tarafından geliştirilen frameworkler, standartlar kullanılabilir. Örneğin ITIL, COBIT, PCI DSS, TS ISO/IEC 27001:2013 gibi uygulamaların kurumlarda varolması bilgi güvenliği açısından önemlidir.

ISO 27001:2013 Danışmanlığı ve Bilgi Güvenliği Yönetim Sistemi

Belki dilimiz alıştı bilgi güvenliği yerine siber güvenlik kavramını kullanıyoruz. İki kavram arasında önemli bir fark var. Bilgi güvenliği daha üst bir kavram iken siber güvenlik kavramı daha dar bir kavramdır. VMİ Danışmanlık olarak biz bilgi güvenliği kavramı etrafında bilgi güvenliği yönetim sistemleri tasarlıyoruz. Sahada gördüğümüz olaylar ve yapılan araştırmalar gösteriyor ki bilgi güvenliği önlemleri sadece antivirüs, firewall, sandbox kullanarak alınmış olmaz. Burada insan unsuru çok önemli, sonuçta yazılımları, teknolojileri de kullanan insandır. Çalışanlardan kaynaklı sorunları: Kasıt olmadan kazara gerçekleşen eylemler, kasıtlı bilgi güvenliği eylemleri, ihmallerden kaynaklı bilgi güvenliği riskleri şeklinde sıralayabiliriz. Risk demişken, bilgi sistemlerinden kaynaklı riskleri: Donanımsal riskler, altyapılardan kaynaklı riskler, yazılımsal riskler, sistemden kaynaklı riskler şeklinde tasnif edebiliriz. Biz kamu kurumlarına ve hizmet sektöründeki birçok kuruma ISO 27001:2013 Danışmanlığı yapıyoruz. Bu standardın geliştirilmesi gereken birçok yönü olsa da uygulama kolaylığı açısından standardı tavsiye ediyoruz.

BT/IT bölümleri işimizin ana omurgasını oluşturmaktadır

Kurumlar ISO 27001 Danışmanlığı almadan da bu standardı çalışabilirler. Fakat gerçekçi olmak gerekirse bu çok fazla zaman ve emek harcamak demektir. Saha tecrübelerimiz gösteriyor ki bilgi güvenliği zafiyetlerinin çok önemli bir bölümü insan faktöründen kaynaklanıyor. İşte bu nedenle çalışanların bilgi güvenliği konusunda her yıl bilinçlendirilmesi bilgi güvenliği için ileri bir adımdır. Bugün Kişisel Verileri Koruma Kanunu uygulamada birçoğumuz bu kanunu okumadı. Belki 1 saatimizi sadece bu kanuna ayırarak kanun önündeki yükümlülüklerimizi, haklarımızı öğrenmekle işe başlayabiliriz.

Bugün kişisel ve kurumsal bilgiler üzerindeki tehdit ve riskler artarak devam ediyor. Geçmiş yıllarda BT/IT bölümlerine ayrılan kaynaklar destek hizmetleri kaleminde çok küçük bir ayrıntı olarak görülürken artık BT/IT bölümleri işimizin ana omurgasını oluşturmaktadır. İş sürekliliği için IT bölümlerinin önemi ortada. Bilgi güvenliği iş süreçlerinin önemli bir parçası, işte bu nedenle VMİ Danışmanlık olarak kurumlara ISO 27001:2013 Danışmanlık hizmeti veriyoruz. Şirketlerimize, kurumlarımıza teknoloji danışmanlığı, siber güvenlik hizmetleri veriyoruz.

ISO 27001 Danışmanlığı Hizmeti ve VMİ Danışmanlık

Bu yazımızın konusu olan ISO/IEC 27001 Standardı uluslararası kabul görmüş ve yaygın olarak kullanılan bir standarttır. Bilgi güvenliği yönetim sistemi kısaca BGYS olarak adlandırdığımız bu sistemi kurmak isterseniz, bizimle iletişime geçebilirsiniz. ISO 27001 Danışmanlığı alanında kamu kurumları, özel şirketler, hizmet firmaları, sanayi kuruluşlarına hizmet veriyoruz. Bilgi güvenliği mevcut durum tespiti ile işe başlıyor. Risk analizi, altyapı kontrolü, dokümantasyonun oluşturulması, iç denetçilerin yetiştirilmesi, kontrol noktalarının belirlenmesi, kurulan sistemlerin test edilmesi, penetrasyon testlerinin ardından sertifikasyonun tamamlanması ile kurumdaki ISO 27001 Danışmanlık hizmetimizi tamamlıyoruz.

Bilgi güvenliği, siber güvenlik ile ilgili üniversitelerimizden edu.tr uzantılı daha çok makale, tez okumak istiyoruz.

Son Paylaşımlar

Hepsini Gör

VERBİS'e kayıt süresi uzatılacak mı?

VERBİS'e kayıt süresi uzatılacak mı? Kişisel Verileri Koruma Kurumu (KVKK) Başkanı Prof. Dr. Faruk Bilir, KVKK'ya hem yurt içi hem de yurt dışı olmak üzere toplam 4 bin 839 ihbar ve şikayet başvurusu