Bu konular birçok
kaynakta “iç tehdit unsurları”, “iç tehditler” olarak
anılmaktadır. Bunlar:
• Bilgi hırsızlığı ve sanayi casusluğu: Günümüzde
kullanımı kolay ve masrafsız olan
birçok bilgi hırsızlığı teknolojisi bulunmaktadır
bu işlerin özel istihbarat birimleriyle,
pahalı teknolojiler kullanarak ya da çok usta
bilişim korsanlarının desteğiyle yapılması
gerekmemektedir günümüzde sanayi casusluğu
gibi eylemler kurumların dışından çok,
içindeki sistemler ve insanlar kullanılarak
yapılmaktadır. Kurum içinden bilgi güvenliğine
zarar veren saldırılar ya da kasıtsız eylemler;
dışarıdan yapılanlara göre daha fazla
risklere, kayıplara neden olmaktadır.
• Bilgilerin depolanması: Özel sektörde,
kamu kurumlarında ya da bireysel çalışmalarda
en önemli sorunlardan biri; ticari
sırların USB bellek, DVD, CD, taşınabilir
disk, avuç içi ya da dizüstü bilgisayarlarda
yani çok kolay çalınabilecek, kaybolabilecek
aygıtlarda, koruma önlemi alınmadan
taşınması ve kullanılmasıdır. Bu tutum riskli
durumlar yaratmaktadır.
• Yetki ve erişim: Kurumlarda “bilmesi gerektiği
kadar, erişmesi gerektiği kadar” gibi
ilkelerin benimsenmesi gerekmektedir. Bu
tip ilkelere en öncelikle uyması gereken
gruplar yöneticiler ve bilişimcilerdir. Fakat
bu tip ilkelerin en az uygulandığı ve en riskli
eylemlerin gerçekleştiği birimler de bu iki
grupta çalışanlardır. İşlerin niteliği gereği
kurum genelinde en sık örnek alınan ve
daha çok dikkat çeken birimler de gene bu
iki birimdir.
• Bilgi güvenliği için doğru çözümün bulunması:
Kamu ya da özel sektörde bilgi
güvenliğinde yaşanan sorunların çözümü,
genelde bilişimci personelden beklenmekte
ve kurumun sadece teknolojik yatırımlarıyla
sorunları çözümleyeceği yanılgısı sıklıkla
yaşanmaktadır. Fakat bilgi güvenliği ile ilgili
risklerin ve sorunların çözümü sadece teknolojik
olmayabilir. Bilgi güvenliği yönetiminde,
insan ve sürecin hemen her aşamada
teknolojiyle birlikte düşünülmesi gerektiği
unutulmamalıdır.
• Bilgi güvenliğinin bir süreç olması: Bilgi
güvenliği, başlanıp bitirilecek bir çalışma
değildir. Bilgi güvenliği yönetimi, kurumlar
ve bilgiler var olduğu sürece sürekli yönetilmesi
ve denetlenmesi gereken bir yaşam
döngüsüdür.
Planla
BGYS’nin Kurulması
Önlem Al
İyileştirme ve Bakım
Kontrol Et
İzleme ve Gözden Geçirme
Uygula
Gerçekleştirme ve İşletme
Şekil 8.1 PUKÖ Modeli
Kaynak: http://www.bilgiguvenligi.gov.tr/yazilimguvenligi/yazilim-gelistirme-surecleri-ve-iso-27001-bilgiguvenligi-yonetim-sistemi.html
10.02.2012.
244
Bilgi Güvenliği Yönetimi
• Tam güvenlik: “Yüzde 100 güvenli” ya da
“sıfır risk” gibi kavramlar iş dünyasında uygulanabilir
değildir. Bilgi güvenliği hiçbir
veriyi ve iş sürecini tamamen güvenli kılamaz
ve riskleri sıfırlayamaz. Özel sektör ya
da kamu sektöründe güvenliği gereken düzeyde
sürekli sağlamak, risk analizlerinin sonucuna
göre riskleri olabilecek en alt düzeye
indirgemek ve kalan riskleri de kontrollü
bir şekilde izleyerek yönetmek gerçekçi bir
bilgi güvenliği yaklaşımıdır. Sağlık, finans
gibi sektörlerde bilgi güvenliği yönetiminde
risk odaklı yaklaşım bir gerekliliktir.
Güvenliğin teknolojiden önce insana yatırım yapılmasıyla,
bilinçlendirmeyle, kurumların en üstten
başlayarak bilgilendirilmesi, desteklenmesi ve önemsenmesi
ile sağlanacağı ve güvenliğin sürekli yönetilecek
bir süreç olduğu unutulmamalıdır. Kurumlardaki
üst yöneticilere, medyaya, yasa ve yönetmelikleri
düzenleyen yetkililere bu konuda ciddi görevler düşmektedir.

Siber saldırı dış tehdittir.