Siber güvenlik gerek BT departmanları gerekse üst yönetimler için artık en önemli gündem maddelerinden biri. Siber güvenlik politikası belirlemek ise şirketlerin öncelikleri arasında. TÜV Austria SyberCode Bilgi Güvenliği Bölüm Başkanı (CISO) Barkın Kılıç, siber güvenlik politikası oluşturmak için atılması gereken adımları paradergi için kaleme aldı...
Siber güvenlik gerek BT departmanları gerekse üst yönetimler için önemli bir mesele. Buna karşın güvenlik sadece BT uzmanları ve üst düzey yöneticiler için değil, kurumlardaki her bir çalışan ve üst düzey yönetici için de öncelikli konulardan biri olmalıdır. Çalışanları, güvenliğin önemi için eğitmenin en etkin yolu, her bir ferdin BT sistemleri ve verisini korumaya yönelik sorumluluklarını net bir şekilde açıklayan siber güvenlik politikalarıdır. Bir siber güvenlik politikası, eposta eklentilerinin şifrelenmesi ya da sosyal medya kullanımı ile ilgili bireysel kısıtlamalar getirilmesi gibi faaliyetleri de içeren davranış standartlarını belirler. Bu politikaların önemli olmasının bir diğer sebebi ise siber saldırı ve veri ihlallerinin maliyetli olmasıdır. Buna ek olarak çalışanlar çoğunlukla bir kurumun güvenliğindeki en zayıf halkalardır. Çalışanlar parolaları paylaşır, kötü niyetli URL ve eklentilere tıklar, onaylanmamış bulut uygulamalarını kullanır ve hassas dosyaları şifrelemeyi ihmal ederler. Tam da bu durumdan yola çıkarak bu politikalar özellikle sağlık, finans ya da sigorta gibi belirli kurallara ve mevzuata göre yönetilen sektörlerde faaliyet gösteren kamu - özel sektör kurumlarında ve kuruluşlarında kritiktir. Bu kurumlar eğer güvenlik politikaları yetersiz olarak değerlendirilirse çok yüksek ceza risklerini göze almak durumundadırlar. Yasal gerekliliklere tabi olmayan küçük firmalarından bile BT güvenliğinin asgari standartlarını karşılamaları beklenmektedir ve ihmalkar olarak değerlendirilmeleri durumunda tüketici verisinin kaybına yol açan bir siber saldırıdan dolayı haklarında soruşturma açılabilir. Siber güvenlik politikaları, bir kurumun kamuoyu nezdindeki imajı ve güvenilirliği açısından da kritiktir. Kurum Müşterileri, ortakları, hissedarları ve çalışan adayları bu kurumlardan hassas bilgilerini koruyabildiklerine dair yasal olarak kanıt isteyebilirler. Siber güvenlik politikaları olmaksızın böyle bir kanıtın temin edilmesi mümkün değildir.
BİR GÜVENLİK POLİTİKASININ BELİRLENMESİ
Siber güvenlik prosedürleri (bir kurumadaki) çalışanların, danışmanların, ortakların, yönetim kurulu üyelerinin ve diğer son kullanıcıların çevrimiçi uygulamalar ve internetteki kaynaklara nasıl erişeceği, (çeşitli) ağlar üzerinden nasıl veri göndereceği ve bunun dışında sorumluluk taşıyan güvenlik anlayışını nasıl hayata geçirecekleriyle ilgili kuralları izah eder.
Siber güvenlik politikası kurumdaki genel güvenlik beklentileri, rolleri ve sorumlulukları tanımlamaktadır. Bu, politikanın "roller ve sorumluluklar" ya da "bilgi sorumluluğu ve hesap verebilirlik" bölümüdür. Bu durumda politika antivirus yazılımı gereklilikleri ya da bulut uygulamalarının kullanımı gibi siber güvenliğin çeşitli alanlarını içerebilir.
SANS Institute birçok tipte siber güvenlik politika örneği sunmaktadır. Bu SANS örnekleri uzaktan erişim politikası, kablosuz iletişim politikası, parola koruma politikası, eposta politikası ve dijital imza politikasını içerir. HIPAA Journal'daki HIPAA Uygunluk Kontrol Listesi ya da BT Yönetişimi'nin GDPR uyumlu politika taslağı oluşturulması makalesi gibi düzenlemeye tabi sektörlerdeki şirketler çevrimiçi kaynaklara başvurabilirler. Büyük şirketler ya da regülasyona tabi sektörlerdekiler için bir siber güvenlik politikası sıklıkla onlarca sayfa uzunluğundadır. Buna karşın küçük şirketler için güvenlik politikası birkaç sayfa olabilir ve temel güvenlik uygulamalarını kapsayabilir.
Bu tür uygulamalar aşağıdakileri içerebilir:
Eposta şifrelemesi kullanımı için kurallar
İş uygulamalarına uzaktan erişim adımları
Parola oluşturma ve muhafazası için talimatname
Sosyal medya kullanımına yönelik kurallar
Uzunluğuna bakılmaksızın, politika kurum için birincil öneme sahip alanları önceliklendirmelidir. Bu önceliklendirme en hassas ya da düzenlemeye tabi veriyi ya da daha önce gerçekleşmiş veri ihlallerinin sebeplerini adresleyen güvenliği içerebilir. Politika aynı zamanda basit ve kolay okunabilir olmalıdır. Buna karşın, politika kullanılacak belirli bir şifreleme yazılımını ya da verinin şifreleme adımlarını ayrıntıları ile açıklamak zorunluluğunda değildir.
SİBER GÜVENLİK POLİTİKASINI KİM YAZMALIDIR?
Genellikle CIO ve CISO olmak üzere BT departmanı tüm bilgi güvenliği politikalarının birincil sorumlusudur. Buna karşın, uzmanlıklarına ve kurum içindeki rollerine bağlı olarak diğer paydaşlar genellikle politikaya katkıda bulunurlar. Üst düzey yönetim güvenlik için temel iş gerekliliklerini ve siber güvenlik politikasını destekleyecek mevcut kaynakları belirler. Yetersiz kaynaklar sebebiyle yürürlüğe konamayan bir politika yazımı personel için zaman kaybıdır. Hukuk departmanları, politikanın yasal gereklilikleri karşılamasını ve hükümet düzenlemelerine uyumluluk sağlanmasını temin ederler. İnsan kaynakları departmanı personel politikaların açıklanmasından ve uygulatılmasından sorumlulardır. İK, çalışanların siber güvenlik politikasını okumasını ve ihlal edenleri disipline etmeyi de sağlar. Satın alma departmanları bulut hizmet üreticilerinin dikkatle incelemesinden, bulut hizmet sözleşmelerinin yönetilmesinden ve diğer ilgili hizmet sağlayıcılarının dikkatle incelemesinden sorumludurlar. Kamu kurumlarının ve kuruluşlarının yönetim kurulu üyeleri, sorumluluklarının bir parçası olarak politikaları gözden geçirir ve onaylarlar. Satın alma personeli bir bulut tedarikçisinin güvenliğinin kurumun siber güvenlik politikalarını karşılayıp karşılamadığını ve diğer ilgili hizmetlerin etkinliğini tetkik edebilir. Kamu kurumlarının ve kuruluşlarının yönetim kurulu üyeleri, sorumluluklarının bir parçası olarak politikaları gözden geçirir ve onaylarlar. Çalışanları politika geliştirilmesine katılmaya davet ederken, politikanın başarısı için en kritik olanı düşünün. Örneğin, politikanın uygulatılmasını sağlayacak ya da uygulanmasını yardımcı olacak kaynakları temin edecek departman müdürü ya da şirket yöneticisi ideal bir katılımcı olabilir.
