Her kurumun bir bilgi güvenliği politikası vardır. Ama yalnızca küçük bir yüzdelik politikayı uygulanabilir kılmaktadır. Dosya klasörlerinde unutulan PDF’ler, ISO 27001 BGYS denetimi için son anda hazırlanmış prosedürler, kimsenin okumadığı e-posta bildirimleri… Size de tanıdık geldi mi?
Oysa bir güvenlik politikası, sadece varlığıyla değil, davranışa etkisiyle anlam kazanır. Bu yazımda, bilgi güvenliği politikalarının çekmeceden çıkıp hayata geçmesi için yapılması gerekenleri sade ve uygulamalı bir dille ele alacağım.
Politika Kağıt Üzerinde Değil, Davranışta Yaşamalı
Birçok şirkette bilgi güvenliği politikası vardır, evet. Ama şu 3 sorun sık görülür:
- Yalnızca BT departmanı bilir. – Oysa politika tüm şirket çalışanlarını kapsar.
- Tek seferlik duyurulmuştur. – Sonrasında kimse bir daha hatırlamaz.
- Gerçek hayata uyarlanmaz. – Prosedür ile pratik farklıdır.
ISO 27001, bu konuyu açıkça ifade eder:
A.5.1: Politika oluşturulmalı, onaylanmalı, yayımlanmalı ve duyurulmalıdır.
Bilgi Güvenliği Politikasının Hayata Geçmesi İçin Adımlar
Yönetim Taahhütnamesi Şarttır
Politikanın altında sadece “Genel Müdür” imzası olması yetmez.
Yönetim, bu politikanın arkasında olduğunu göstermeli, sürekli iyileştirme için kaynak gereksinimi konusunda taahhüt vermelidir.
Örneğin: Genel müdürden yılda bir kez tüm çalışanlara kurumsal güvenlik mesajı yayınlanabilir. Böylelikle bilgi güvenliği politikasındaki hedeflerin yönetim tarafından desteklendiği ve çalışanların bu konuda titiz olmaları gerektiği mesajı verilmiş olacaktır.
Politikayı Basitleştirin ve Anlaşılır Kılın
Politika belgesi hukuki bir metin değil, çalışanların anlayacağı pratik bir yol haritası olmalı.
Departmanlara Göre Rol Bazlı Yayılım
Her departmanın güvenlik politikası ile ilişkisi farklıdır. Pazarlama farklı tehditlerle karşılaşır, İK farklı. Bu yüzden genel politikadan sonra departmanlara özel rehberler (birim politikaları) hazırlanabilir.
Farkındalık Eğitimleri
Politikayı duyurduktan sonra tabiiki de tüm süreçler bitmedi. Yılda en az bir kez farkındalık eğitimleri, eğitim sonu değerlendirme sınavları, e-posta hatırlatmaları ve posterler ile tekrar edilmesi gerekir.
Politikanın Yaşadığı Kanıtlanmalı
ISO 27001 uygulayıcı firmalarından bir tanesi de sizseniz eğer biliyorsunuz ki denetçiler sadece “dokümana” değil, uygulanabilirliğe de bakar. Örneğin erişim politikası yazılı olarak mevcut ancak gerçekten erişim kontrolleri uygulanıyor mu? Ayrıca çalışanlar veri sınıflandırma konusunda farkındalık sahibi mi ve verileri doğru bir şekilde sınıflandırıyorlar mı? Tüm bunların kanıtlanabilmesi için;
Politika içeriğiyle uyumlu dokümanlar,
Politikanın uygulandığına dair kayıtlar,
Eğitim katılım listeleri doküman yönetim portalinizde toplanmalı ve güncel tutulmalıdır. Aynı zamanda tüm çalışanlar dokümanlara ulaşabilecekleri doküman yönetim portaline hakim olmalı ve gerekli düzeyde yetkilerle dokümanlara erişimleri sağlanmalıdır.
Geribildirim Mekanizması
Politika yaşayan bir dokümandır. Çalışanlardan gelen öneriler, yaşanan ihlaller ve teknolojik gelişmelere göre güncellenmelidir. Gözden geçirme komitesi ile belirli aralıklarla gözden geçirilmesi doğru olur.
Gerçek Bir Senaryo
Bir şirkette, tüm çalışanlara güvenli erişim kontrolü sağlanması gerektiği bilgisi iletilmişti; ancak pratikte, finans raporları herkese açık bir paylaşım klasöründe tutuluyordu. Neden mi? Çünkü:
Çalışanlar politikayı okuduğunu hatırlamıyordu. Dosya erişim yapısı politika ile uyumlu değildi. Ne yazık ki, BT departmanı bu ihlalin farkında bile değildi. Politika vardı ama yaşamıyordu. Oysa bir iç tetkik, bir farkındalık eğitimi ve erişim yetkilerinin düzenlenmesiyle bu sorun kolayca önlenebilirdi.
Güvenlik, Dokümanda Değil Kültürde Başlar
Bir güvenlik politikası, kurum kültürünün yazıya dökülmüş halidir. Ama o yazı sadece duvardaki panolarda, davranışı değiştirmez. Kritik olan şey, çalışanlar politikayı okuyor ve anlıyor mu? Günlük iş süreçleri politikanız ile uyumlu mu? Politikanın yaşadığını gösterecek kayıtlarınız mevcut mu? Cevaplar sizi tatmin ediyorsa işte o zaman bu yaşanabilir bir süreç haline geliyor. Güvenle kalın.
