2 Mart 2012 Cuma

Bilgi Güvenliği Departmanı Nasıl Kurulur

Kurumsal bilgi güvenliginin ortasinda bilgi güvenligi yöneticisi (CISO - Chief Information Security Officer) ve bu yöneticiye bagli bir bölüm (departman, müdürlük, vb) yer alir. Bu departmanin kurulma ve çalismasindaki basari, tüm kurumun bilgi güvenligi basarisi ile benzerlikler gösterir. Bu yazida bilgi güvenligi yöneticiliginde görmeyi bekledigimiz bazi özellikleri ve yaklasimlari bulabilirsiniz.

1. Kurumsal Bilgi Güvenligi Hedeflerinin Belirlenmesi
2. Bosluk (gap) Analizi Yapilmasi ve Yol Haritasinin Çikarilmasi
3. Organizasyon Semasinin, Rol ve Sorumluluklarinin Belirlenmesi
4. Bölüm Çalisan ve Yöneticilerinin Egitimlerinin Tamamlanmasi
5. Bölüm Iç ve Dis Iletisiminin Tanimlanmasi
6. Bilgi Güvenligi Komitesinin Olusturulmasi

Simdi tek tek bu basliklari inceleyelim:

1. Kurumsal Bilgi Güvenligi Hedeflerinin Belirlenmesi
Bilgi Güvenligi, sadece bir bölümü degil, tüm kurumu baglayan bir görevdir, herkesin sorumlulugudur. Bilgi Güvenligi bölümü ise, kurumda bilgi güvenligi ile ilgili yönlendirmeyi ve koordinasyonu üstlenir. Bu nedenle "Kurumsal Bilgi Güvenligi Hedefleri" sadece bir departmani degil, tüm sirketi, çalisanlari, hatta tedarikçileri ilgilendirir.
Kurumsal Bilgi Güvenligi vizyon ve hedefleri bagimsiz olamaz. Kurumun ana vizyonuna ve hedeflerine bagli olarak gelistirilmeli ve üst yönetimce onaylanmalidir.



2. Bosluk (gap) Analizi Yapilmasi ve Yol Haritasinin Çikarilmasi
Yeni bir yapinin kurulmasi sirasinda oldugu kadar, günlük hayatin uzun süre yasanmasi ile ortaya çikabilecek mesleki körlüge karsi da yapilmasi gereken, bosluk (gap) analizinin yapilmasidir. Gap analizi yaparken, mevcut durum incelenir, varilmak istenen hedeflenir ve aradaki yolun nasil kat edilecegi tariflenir.

3. Organizasyon Semasinin, Rol ve Sorumluluklarinin Belirlenmesi
Bilgi Güvenligi hangi pozisyona bagli olmali? Bilgi teknolojileri yöneticisine mi? Finans müdürüne mi? Direk genel müdür ya da yönetim kurulu baskanina mi? Yoksa, bagimsiz bir yönetim kurulu üyesine mi? Hem akademik, hem de pratik yaklasimlar bir çok farkli seçenegi, her bir seçenek de bir çok avantaj ve problemi beraberinde getiriyor. Dogru çözüm, disarida, bu konuda yazilmis makaleleri okumaktan çok, içeride kurum kültürü ile uyumlu bir yaklasimin benimsenmesi ile olusabilir.
Organizasyon semasinin bölüm içinde de belirlenmesinin ardindan her bir rol için sorumluluklar belirlenir ve yazili hale getirilir.

4. Bölüm Çalisan ve Yöneticilerinin Egitimlerinin Tamamlanmasi
Bilgi güvenligi, farkli bilgi ve deneyimlerin ortak bir konu etrafinda birlesmesi ile saglanabilir. Bu nedenle, genellikle farki disiplinlerden gelen bölüm çalisanlarinin ortak dil konusmasi, konulara ortak yaklasimlar sergilemesi, kisaca birlik olmalari için, çesitli teknik ve teknik olmayan egitimler almalari gereklidir.

5. Bölüm Iç ve Dis Iletisiminin Tanimlanmasi Yukarida da geçtigi gibi, Bilgi güvenligi, herkesin sorumlulugudur. Bilgi güvenligi bölümü bu konudaki koordinasyondan sorumludur. Koordinasyon ise hem bölüm ve kurum içi, hem de kurum disi iletisimle gerçeklesebillir. Hazirlanmasi ve yönetime sunulmasi gereken dönemsel raporlardan, kurum çalisanlarina yönelik bilgi güvenligi farkindalik mesajlarina kadar bir çok konu bu baslik altinda yer alir.

6.Bilgi Güvenligi Komitesinin Olusturulmasi
ISO 27001'in de ortaya koydugu bilgi güvenligi komitesi (bazi kurumlarda bilgi güvenligi kurulu, ya da bilgi güvenligi kooordinasyonu) kurumun tüm farkli bölümlerinden katilimcilarla yaratilir ve düzenli olarak toplanir. Dogru yönetilirse, bir taraftan bilgi alisverisi için bir araya gelen komite, ayni zamanda yapilan çalismalarin takibi ve yeni fikirlerin olgunlasmasi için de iyi bir ortam yaratir.
Buraya kadar islediklerimiz, bilgi güvenligi departmaninin ilk kurulusu sirasinda yapilacaklari içeriyordu. Özellikle bosluk analizi (bilgi güvenligi gap analizi) sonucunda ortaya çikacak, risklere ve güvenlik açiklarina bagli yapilacak birçok madde bu bölümün günlük çalismasinda çözülecektir. Uygulanabilirlik bildirgesi (UB - SoA) ve risk analiz sonuçlarina göre ortaya çikacak "Risk Isleme Plani" yeni kurulan bölümün koordinasyonunda gerçeklestirilir.

Hiç yorum yok:

Yorum Gönder