Üst Yönetimin Bilgi Güvenliğine İlgisi Nasıl Sağlanır?
Yazar: Hayrettin Bahşi
14.05.2008
Bilgi güvenliği ile ilgilenen uzmanların en büyük problemlerinden birisi üst yönetimin bilgi güvenliğini yeterince anlamaması, bilgi güvenliği ile ilgili çalışmaları yeterince desteklememesi ve bu konuda gerektiğinde insiyatif almamasıdır. Özellikle bilgi güvenliği yönetim sistemi (BGYS) kurmak ile görevli uzmanlar bilirler ki üst yönetim desteği bu sistemin başarıya ulaşmasını sağlayacak olmazsa olmaz faktörlerinden birisidir. Bilgi güvenliği, etkin bir BGYS’nin işlemesi ile sağlanabilir.
Etkin bir bilgi güvenliği yönetim sisteminde (BGYS) bilgi güvenliği ile ilgili politikalar oluşturulur, herkesin yaptığı göreve göre rol ve sorumlulukları belirlenir ve yazılı bilgi güvenliği süreçleri oluşturulur. Herkesin, politikalara uyması, rol ve sorumluluklarını yerine getirmesi ve süreçlerin gerektirdiklerini yapması beklenmektedir. Tüm bu faaliyetlerin yapılmasına karar verecek üst yönetimdir çünkü bu çalışmaların hepsi kuruma belirli bir iş gücü ve maliyet getirecektir. Söz konusu iş gücünü ve maliyeti karşılama kararı üst yönetimindir. Ayrıca BGYS’nin süreçlerini başlatma ve bu süreçleri izleme görevi üst yönetimindir. Örneğin politikaları onaylama, kurum personelinin bu politikalara uymasını sağlama ve politikalara uymayanlara yaptırım uygulama üst yönetimin görevlerindendir.
Üst yönetim, bilgi sistemlerini iş hedeflerine ulaşmada etkin bir araç olarak kabul eder. Dolayısıyla, bilgi sistemlerinin hedeflediği iş fonksiyonlarını en iyi şekilde yerine getirmesini bekler. Bilgi güvenliği ise çoğunlukla üst yönetimin öncelikleri arasında yer almaz çünkü güvenlik doğrudan iş hedeflerine katkıda bulunan bir unsur değildir. Kurumun başına iş hedeflerini önemli derecede aksatmaya neden olan bir güvenlik olayı gelmedikçe de üst yönetim çoğunlukla bilgi güvenliğine yeteri kadar önem vermez. Bazı yöneticiler özellikle BGYS kurulması ile ilgilenirler ama çoğunlukla da söz konusu ilginin kaynağı bu alanda kurumun bir sertifikaya sahip olması ve bu yolla kurum prestijinin artmasıdır. Elbette bu düşünceye sahip olan kişiler, bilgi güvenliğine hiç önem vermeyen yöneticilere göre daha iyi bir konumda sayılabilirler ama sertifikasyon motivasyonu BGYS kurma işini başarmaya yetmez. Bu amaçla yola çıkanların büyük bir kısmı aslında yapılması gereken çok şeyin olduğuna farkına vardıklarında sertifikasyon fikrinden de vazgeçebilmektedirler. Ayrıca kurulan sistemin devam ettirilmesi bu düşünce yapısı ile de çok mümkün değildir.
Bilgi güvenliği uzmanları ya da iş tanımında bilgi güvenliği ile ilgili sorumluluklar bulunan kurum personeli ise çoğunlukla haklı olarak üst yönetimin bilgi güvenliğine gereken önemi vermediklerinden yakınırlar. Ama bu kişilere düşen en önemli görevlerden birisi üst yönetimi bilgi güvenliği konusunda bilinçlendirmenin en etkili yolunu bulup bu yolu uygulamaktır. İşe de empati yaparak üst yönetimi anlamaya çalışmakla başlamalıdırlar. Özellikle ülkemizde bilgi güvenliğinin geçmişi 8-10 seneden öteye gitmez. Böyle bir bilgi güvenliği konseptinden uzak bir ortamda yetişmiş üst yöneticilerin elbette bırakın bilgi güvenliği konusunda insiyatif almaları, bilgi güvenliği konusunda sağlıklı bilgiye sahip olması bile beklenemez. Dolayısıyla bilgi güvenliği uzmanlarının ilk hedefi yöneticilerin anlayacağı ve etkilenebileceği yöntemler kullanarak bilinçlendirilmeleri olmalıdır. İkinci hedef ise yöneticilerin bilgi güvenliği konusunda insiyatif almalarını sağlama olarak belirlenmelidir.
Yöneticilerin bilinçlendirilmesine bilgi güvenliğinin temel hedefleri olan gizlilik, bütünlük ve süreklilik kavramlarını anlatarak ve bu hedeflerle ilgili gerçek hayattan örnekler vererek başlanabilir. Özellikle bu hedeflerden süreklilik üzerinde çok durulmalıdır çünkü çoğu kimse gibi yöneticiler de güvenliği bir yasaklar manzumesi olarak görebilmektedirler. Oysa, güvenliğin onların da çoğu zaman göz önünde bulundurduğu ve bilgi sistemlerinin sağlamasını şiddetle talep ettiği ‘süreklilik’ gibi önemli bir hedefi vardır. Yöneticiler ise bilgi güvenliğinin bu hedefi de sağlamaya çalıştığının farkında değildirler.
Yöneticilere özellikle karşılaşılabilecek bilgi güvenliği tehditleri teknik detaya girmeden anlatılmalıdır. İç ve dış tehdit kavramları yöneticilerde oluşturulmalı, iç tehdidin aslında tahmin edilenden çok fazla olduğu ifade edilmelidir. Bilgi güvenliğinin sadece kasıtlı davranışlardan oluşan tehditlere odaklanmadığını aslında bilinçsizlik veya ihmalkarlık sonucunda oluşan ve kasıtsız olarak gerçekleşen tehditleri de ele aldığı açıklanmalıdır. Literatürde bu konularla ilgili yapılan araştırmalardan çarpıcı sonuçlar bizzat söz konusu çalışmalar referans verilerek yöneticilere aktarılmalıdır. Eğer kurum bizzat bir güvenlik problemi yaşadıysa bu problem ve problemin kuruma olan etkileri anlatılmalıdır. Ayrıca başka kurumların yaşadıkları özellikle basına yansımış güvenlik olayları ve bu olayların sonuçlarından örnekler verilmelidir. Bu olayların hangi kurumların başına geldiğinin açıkça ifade edilmesi ve varsa konu ile ilgili haber veya yorumların yöneticilere bizzat gösterilmesi çok yararlı olacaktır.
İnsan psikolojisinde kaybetme korkusu, kazanma ihtimalinden daha kuvvetli bir motivasyon kaynağıdır (1). Bilgi güvenliği aslında kişilerde kaybetme korkusunun tetiklenebileceği önemli bir alandır. Eğer yöneticilere bilgi sistemlerinde bir güvenlik olayı olduğunda neler kaybedebilecekleri anlatılırsa, bilgi sistemlerini daha çok kar amaçlı kullanılan bir araç olarak düşünen yöneticiler bilgi güvenliği konusunda daha rahat ikna edilebilirler. Kurumda gerçekten önemli ve etkili bir güvenlik olayı olmuşsa yöneticileri ikna etme olasılığı gerçekten fazladır. Eğer böyle bir olay olmamışsa başkalarının yaşadığı olaylardan yola çıkarak kurumun neler kaybedebileceğini yöneticilere hayal ettirmek ve onların kaybetme korkusunu tetiklemek çok yararlı olacaktır. Bu konuda, bir güvenlik olayının veya saldırısının demosunu bizzat göstermek de çok etkili bir yöntem olabilir.
Bilgi güvenliği ile ilgili olası problemler ifade edilirken kesinlikle paranoyak bir tavır takınılmamalıdır. Yönetici, hiçbir zaman güvenlik açısından en iyi yöntemin bilgisayarların fişinin çekilmesi olduğunu zannetmemelidir. Yönetici, bilgi güvenliğinin erişilemez gerçekleştirilemez bir şey olduğu hissine kapılmamalıdır. Çoğu problemin de aslında belirli bir yönetim sistemi içerisinde kolaylıkla çözülebileceği ifade edilmelidir ki aslında gerçek olan da budur.
Üst yönetimi bilgi güvenliği konusunda bilinçlendirmenin daha etkili yapılması isteniyorsa, bu iş, güvenilir konusunda uzman bir danışman kuruma yaptırılabilir. Danışman kurumların yöneticiler nezdinde çok önemli bir yeri vardır. Bir kurum çalışanı olarak sizin belki bir çok kez ifade ettiğiniz düşüncelerin aynısını danışman kurumdan bir kişi ifade ettiğinde yöneticiler söz konusu düşüncelere çok daha fazla değer verirler. Bilinçlendirme ile ilgili aktiviteler, yöneticinin hiyerarşik olarak altındaki bir kişi tarafından yapıldığında yöneticiler bu duruma sessiz bir tepki göstererek ifade edilen düşünceleri önemsemeyebilirler. Oysa danışman statüsündeki bir kişi yöneticinin ait olduğu hiyerarşi dışında bir kişidir ve onun tarafından ifade edilen düşüncelere karşı yönetici çok açıktır.
Yöneticilerin bilinçlendirilmesi sırasında sadece bilgi güvenliği ile ilgili problemlere değinilmemelidir. Bu problemlerin nasıl çözüleceği ile ilgili bir yol haritası da ortaya konmalıdır. İlk olarak bilgi güvenliğini sağlamanın günümüzde bir risk yönetimi tabanına oturduğu anlatılmalıdır. Bu metodla risklerin ortaya konduğu ve derecelendirildiği, çıkan risklere göre de tedbirlerin alındığı ifade edilmelidir. Böylelikle asıl amacın güvenlik ile kullanılabilirlik arasında bir denge kurulması olduğu anlatılmalıdır. Risklerin azaltılması veya ortadan kaldırılması ile ilgili tedbirlere karar verilirken söz konusu tedbirlerin maliyetinin de hesaba katıldığı açıkça izah edilmelidir. Hatta astarı yüzünden pahalı tedbirler almaktansa bazen riskin tamamen kabul edilebileceği belirtilmelidir. Tüm bu açıklamalar, amacın güvenliği sağlamak için bir çok kural ve mekanizma oluşturarak çalışma hayatını cehenneme çevirmek değil asıl amacın gerektiği kadar kural ve mekanizma oluşturmak ile bunları uygulamak olduğu gerçeğini yöneticilere iletmeye yardımcı olacaktır.
Kurumda oluşturulması gereken bilgi güvenliği süreçleri hakkında yöneticiler kısaca bilgilendirilmelidir. Bilgi güvenliği süreçlerinde hedefin daima daha iyiye gitmek olduğu belirtilmelidir. ‘Daha iyiye gitmek’ düşüncesi yöneticileri en çok etkileyen düşüncelerden birisi olduğu unutulmamalıdır. Yöneticilerin en çok sevdiği diğer bir şeyin yapılacak işlerin önceliklerinin belirlenmesi, bu işlerin bir zaman planlamasının yapılması ve bu zaman içerisinde gereken iş gücü ve karşılanması gereken maliyetin belirlenmesi olduğu unutulmamalıdır. Bu çalışmanın yapılması ile bilgi güvenliği uzmanları bu işe ne kadar hazır olduklarını ispat etme fırsatı bulurlar.
Kurumda kısa vadede etkisini geniş çapta gösterebilecek önemli bilgi güvenliği çalışmalarının yapılması, yöneticilerin bilgi güvenliği çalışmalarına verecekleri desteği artıracaktır. Kurum kullanıcılarının bilgi güvenliği eğitimleri ile bilinçlendirilmesi ilk yapılacak faaliyetlerden olmalıdır. Çünkü, bu çalışma bilgi güvenliğini sağlamada kısa vadede çok etkilidir ve bu çalışmanın etkisini yöneticiler hemen gözlemleyecektir. Örneğin sekreterinin eğitimlerden sonra parolalarını değiştirmesini ve artık parola paylaşmaya yanaşmamasını gözlemlemek yönetici açısından etkileyici olacaktır.
Sonuç olarak, bilgi güvenliği uzmanları etkili bir strateji izleyerek üst yönetimlerini bilgi güvenliği çalışmalarının içerisine çekebilirler. Uzmanlar, yöneticilerin bilgi güvenliğinden anlamamaları konusunda yakınmak yerine, onları ikna etmenin yollarını aramalıdırlar.
[1] Science of Influence, Kevin Hogan
keywords: bilgi güvenliği, yönetim sistemi, bgys, üst yönetim, yönetici, güvenlik, politika, süreç, sertifika, gizlilik, bütünlük, süreklilik, kurum
Yazının devamı..
Bir araştırma, “en tehlikeli” alan adlarının Hong Kong'da olduğunu ortaya koydu.
