Bilgi çağında “bilgi” tüm kuruluşların can damarıdır . Bugün, belediyeler için en büyük tehlike, belediyelerin bilgi varlıklarına karşı içeriden veya dışarıdan yapılan yapılan, tehdit ve saldırılardır. Belediyeler artık bilgi güvenliği yönetim sistemi kurmak ve bünyesinde kurdukları bilgi güvenliği yönetim sistemini sürekli sürekli geliştirmek durumundadırlar. Her belediye varlık yönetimi çalışması yapmak, bilgi varlıkları tanımlayıp sınıflandırmak, bilginin erişilebilirliğini, bütünlüğünü ve gizliliğini sağlayarak iş sürekliliğini sağlamak için bilgi güvenliği yönetim sistemlerini kurarak riskler karşısında sürekli önlem alarak bilgi güvenliğini sağlamak durumundadırlar.
Belediyeler için bilgi güvenliği tehditlerden bazılarına aşağıda yer veriyoruz
Belediyelerin Bilgi Güvenliği Kurumsal Riskleri:
• Başkanlık onayına sunulan çeşitli imar, ruhsat vb. proje detaylarının korunması, bilgi
sızması sonucu spekülasyonların önlenmesi
• Belediye bütçe taslaklarının, mali ve stratejik verilerinin güvenliğinin sağlanması,
kontrolü
• İhalelere ilişkin fiyat-maliyet detaylarının güvenliğinin sağlanabilmesi, uygun ihale
koşullarının oluşturulabilmesi
• Vatandaşların işlemlerini gerçekleştiren bilgisayarların sağlıklı çalışırlığının desteklenerek
zaman kaybı ve hizmet kalitesi kaybının önlenmesi, sistemlerin donma riskinin
azaltılması. İş sürekliliği, sürdürülebilir iş hayatı her zaman değerlidir.
• Personel maaş ve giderlerinin yetkisiz kişilerce erişiminin engellenmesi
• Belediye tahsilatlarının ve tahsilat bilgilerinin güvenliğinin sağlanması
• Çeşitli sebeplerden elde tutulması gereken TC Kimlik numarası, adres, telefon numarası,
kredi kart numarası gibi vatandaşın özel bilgilerinin izinsiz kullanımlardan ve yetkisiz
erişimlerden uzak tutulması
• Dijital ortamda tutulan tüm verilerin manipülasyondan korunması
Belediye Başkanlarının Bilgi Güvenliği, Siber Güvenlik Riskleri
• Belediye başkanının kişisel verilerinin internet ortamına sızması, sızdırılması (fotoğraflar, bireysel belgeler)
• Belediye başkanlarının itibar suikastı için kişisel verilerin manipülasyonu, kişisel verilerin kullanılarak itibar kaybı yaratılması
• Belediye başkanlarının odalarının, makam araçlarının çeşitli cihazlarla dinlenmesi, belediye başkanlarının bilgisayar ortamında izlenmesi, dinlenmesi ve kişisel verilerinin kaydedilerek gözden düşürme, itibarını zedeleme çalışmaları için kullanılması.
• Belediyelerde kullanılan yazılımlar aracılığı ile yetkilerinin kötüye kullanılması, kayıtlarda değişiklik yapılması
• Belediye içinde veya dedikodu yolu ile doğru olmayan bilgilerin yayılıp yöneticileri ve belediye üst yönetimini zor duruma düşürme
• Belediye yönetimleri 6698 sayılı Kişisel Verilerin Korunması Kanunu ve diğer kanunlarla ilgili olarak çok büyük sorumluluk sahibidirler. Yaşanabilecek bir bilgi güvenliği kusuru yasalar önünde belediye yönetimini ve belediye başkanını zor durumda bırakabilir.
Yukarıda anlattığımız nedenler dolayısı ile her belediye kamu bilgilerinin korunması için ISO 27001 Bilgi Güvenliği Yönetim Sistemi'ni kurumlarında uygulama almalıdır.
“Güvenlik, bir ürün değil; bir süreçtir” Bruce Schneier'ın da dediği gibi sadece TS ISO/IEC 27001 Standardı almak sizin bilgi güvenliği için süreçleri tamamladığınız anlamına gelmez. Siber güvenlik danışmanlığı süreçlerimizde sık karşılaştığımız bir konu, süreç yönetiminin olmayışıdır. Süreçlerini yönetemeyen güvenlik süreçlerini de yönetemez.
VMİ Danışmanlık olarak bilgi güvenliğinin, siber güvenliğin, teknoloji ve bilgisayar güvenliği sağlanmasıyla güvenlik sağlanmış olur anlayışının geçerli olmadığını düşünüyoruz. Bir kurumda bilgi güvenliği, siber güvenlik yönetim sistemini kurabilmeniz için: çalışanların bilinçlendirilmesi, eğitilmesi, kurumlarda süreç yönetimi anlayışının öne çıkarılması ile birlikte yeniliklerin, teknolojilerin takip edilip mevcut sistemin geliştirilmesi, yasalarla uyum içinde çalışmaların devam ettirilmesi anlayışının daha doğru olduğuna inanıyoruz.
Belediyelerde bilgi güvenliği denince nihai hedefin, bilgi yönetimi, bilgi güvenliğini ve bilgi güvenliğinin alt süreci olan siber güvenliğin zaman içinde bir kurum kültürü haline dönüştürebilmesi akla gelmelidir.
Bilgi Güvenliği Yönetimi Sitemi BGYS Nedir?
Kurumların bilgi varlıklarının tespit edilmesi, bu bilgi varlıkları üzerindeki zaafiyetlerin
belirlenmesi; kurumun bilgi varlıklarına istenmeyen kişilerin ulaşımının önlenmesi; bilgi
varlıkları üzerindeki tehdit ve tehlikelerin güvenlik analizleri yapılarak risklere önlem
alınması için gerekli sistemin tasarlanması ve uygulanmasıdır.
Belediyelerde Bilgi Güvenliği Yönetim Sistemi Projesi Neleri İçeriyor?
Belediye sınırları içindeki Okullarda İlçe Milli Eğitim Müdürlükleri ile işbirliği içinde okullar, ilçe sınırları içindeki kamu kurumları ve belediye çalışanlarına bilgi güvenliği bilinçlendirme eğitimi.
Bilgi Güvenliği Sistemi Tasarımı: ISO 27001 Danışmanlığı hizmetimiz sistem tasarımı ile başlar. Çünkü her kurumun bilgi güvenliği yönetimi ve süreçleri farklıdır. VMİ Danışmanlık olarak kurumla mutabık kalarak her işletmeye özel bilgi güvenliği tasarımı yaparız.
Bilgi Güvenliği Dokümantasyonu: BGYS Dokümantasyonunda hedef sadelik, kolay yönetilebilirliktir. Mümkün olduğu kadar net, akıcı ve teknik cümlelerle BGYS dokümantasyonu oluşturur onu yönetilebilir bir şekilde kuruma teslim ederiz.
Bilgi Güvenliği Eğitimleri – Bilinçlendirme ve Denetçi Eğitimleri: Proje gruplarının eğitimi, iç denetçilerin eğitimi, çalışanların bilgi güvenliği bilinçlendirme eğitimi, size özel çalıştaylar, kıyaslamalar her projemizin temel eğitim modülüdür.
Kurumsal Risk Hesaplama Eğitimi: Kurumların çoğu kurumsal risk yönetimi konusunda hassastır, biz size gerçek bir kurumsal risk analizi oluşturarak nasıl yöneteceğiniz konusunda kafanızda soru işareti bırakmayız.
Etik Hackerlık Penetrasyon Testleri: Her projemizde, ISO 27001 Danışmanlık hizmetimizin içinde penetrasyon testi vardır. VMİ danışmanlık olarak öncelikli hedefimiz kurumunuzun güvenlik seviyesini geliştirmektir, hiç bir işimiz "mış gibi" değildir. Penetrasyon testlerimizin içinde sosyal mühendislik çalışmaları yer alır.
Bilgi Güvenliği Vaka Çalışmaları: Bilgi güvenliğini daha iyi kavrayabilmeniz için yaşayabileceğiniz tehlikeleri simüle ederiz. Siber güvenlik vaka çalışmalarımızı her zaman uzmanlarla birlikte gerçekleştiririz.
Acil Eylem Planı Çalışmaları: Kurumunuzun Acil Eylem Planlarını Bilgi Güvenliği, Siber Güvenlik Yönetim Sistemleri ile uyumlu hale getiririz. Acil eylem planları felaket senaryolarını bulunduğunuz koşulları göz önüne alarak yaparız.
Bilgi Güvenliği Çalıştayları: Bilgi güvenliği yönetim sistemi, siber güvenlik önlemleri konusunda size daha geniş bir bakış açısı kazandırmak için çalıştaylar hazırlar konuları uzmanlarla birlikte değerlendiririz.
Ağ Güvenlik Analizi: Sistem yönetimi, network yönetimi, ağ yönetimi en dikkat edilmesi gereken alanlardan biridir. Bu alanda sisteminizi yöneten BT bölümü veya IT birimi, bilgi işlem bölümü adı ne olursa olsun sisteminizi yönetenlerle birlikte sizden izin alarak sisteminizi iyileştirmek, geliştirmek için ağ güvenliği analizi yaparız.
Belediyelerde Neden Bilgi Güvenliği Yönetim Sistemi Kurmalıyız?
Uzun yıllar çıkması için mücadele verdiğimiz 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) nihayet 2016 yılında yürürlüğe girdi. Belediyelerimizin bu kanunu kurum içinde hayata geçirmesi gerekiyor. Bilgi güvenliği ile ilgili olarak çoğu zaman bu kanunun uygulanması ile ilgili çeşitli yaklaşımlar görüyoruz. Bu kanunun uygulanması için belediye içinde bazı çalışmalar yapmak gerekir. Bilginin sınıflandırılması, veri işleme sorumlularının belirlenmesi, veri koruma sorumluların belirlenmesi gerekmektedir. Kurumsal bilginin güvenliği ancak bilgi güvenliği yönetim süreci ile ilgili bir sistemin tasarımı
ve uygulanmasıyla mümkündür.
Bilgi Güvenliği Yönetim Sistemi Belediyelere Ne Kazandıracak?
Bilgi Güvenliği Yönetim Sistemi bugün dahi dünya genelinde çok az kurum tarafından uygulanan bir yönetim sistemidir. VMİ Danışmanlık ISO 27001 Danışmanlık hizmetleri konusunda kamu alanında, özel şirketlerde, hizmet şirketlerinde ve üretim şirketlerinde önemli tecrübelere sahiptir. ISO 27001 Danışmanlığı hizmetimiz saha uygulamalı olarak gerçekleştirilir. Kolay yönetilebilir bir bilgi güvenliği yönetim sistemi BGYS dokümantasyonunun oluşturulması hedeflerimizden sadece biridir.
VMİ Danışmanlık olarak Bilgi Güvenliği Yönetim Sistemi uyumlaştırma, TS ISO/IEC 270001 standart çalışmaları, IT/ BT güvenlik teknolojileri danışmanlığı, IT/ BT güvenlik vaka yönetimi, kurumlarda iş Sürekliliği çalışmaları, Kişisel Verilerin Korunması Kanunu (KVKK) ve bilişim mevzuatı uyum çalışmalarımızla ilgili bizimle iletişime geçebilirsiniz.