Fundamental Information Security Rules / Temel Bilgi Güvenliği Kuralları

Bilgi güvenliği kuralları, bilgiyi korumak amacıyla, çalışanlar için adeta bir yol gösterici niteliğindedir. Olası güvenlik ihlallerini bertaraf etmek içinse oldukça etkilidir. Bu yazımızda “Bilgi güvenliğinin temel kuralları ne olmalıdır?” ve “Şirket içerisinde nasıl önlemler alınmalıdır?” sorularına cevap vereceğiz.

Aşağıda belirtilecek olan kuralları, bir evin inşaatındaki temel atma işlemi olarak düşünebilirsiniz. Siz temeli atarsınız ve üzerine istediğiniz gibi (yine belirli kurallar çerçevesinde tabiki) bir ev inşa edebilirsiniz.

Herşeyden önce şirketiniz için bir risk ölçümü yapmanız gerekiyor;

-Şirketin hangi varlıklarının korunması gerekiyor?

-Bu varlıklara karşı ne gibi tehditler vardır?

-Bu olası tehditler gerçekleştiği durumda şirkete ne gibi zararlar gelebilir?

Burada karar merci şirketin üst yönetimi olduğundan dolayı (maliyet-kar analizi), bilgi güvenliğinin desteklenmesi, yapılan çalışmaların dikkatle takip edilmesi ve hızlı bir şekilde aksiyon alınması son derece önem arz etmektedir.

Kurallar bütünü hazırlandıktan ve çalışanlara deklare edildikten sonra belirli periyotlar da gözden  geçirme ve güncelleme çalışmaları yapılmalıdır. Ayrıca bu kurallar bütününe çalışanlar her zaman erişebilmelidir. Her yazımda da belirttiğim gibi şirket içi bilgi güvenliği eğitimleri dönem dönem tekrarlanmalıdır. Bir diğer önemli husus ise, şirketin bir “Veri Sınıflandırma” politikası olmalıdır. Bu politika hassas bilgilerin korunmasında oldukça faydalı olacaktır.

Şirket yönetimi KVKK kapsamında bir Veri Sorumlusu ve Veri Sahibi belirlemelidir. Üçüncü şahıslara (iş ortakları vs) hassas bilgiler verilmeden önce mutlaka gizlilik anlaşması yapılmalıdır. Hassas bilgi vermesi istenen bir çalışan mutlaka “Onay ve Yetkilendirme Süreçlerine” tabi olmalıdır.

Not #1: Bu aşamadan sonraki adım çok daha kapsamlı bir çalışmadır. Domain Controller’da yapılması gerekenler, kullanıcı bilgisayarlarına uygulanacak politikalar (password policy, disable guest user, disable local administrator vs), güvenlik duvarı politikaları, e-posta güvenilirliği, kartlı giriş sistemleri, acil müdahale merkezi, fiziksel güvenlik, verilerin yedeklenmesi ve şifrelenmesi gibi…

Not #2: Siber güvenlik ve bilgi güvenliği başlı başına uzun soluklu bir süreçtir. Yaptım oldu diye bir tanım hiç bir zaman yoktur. Eskilerin tabiriyle kilim veya halı dokur gibi ilmek ilmek işlemek gerekir.

Referans