Dosya Siber Güvenlik 4.0 ve Felaket Yönetimi  22 NİSAN 2017 / 18:09

Çalışanların katılımı ve sürekli eğitim bir gereklilik

Siber güvenlik, alışılagelen tehditlerden daha farklı görünmekle birlikte, temelde korunma yöntemleri eski risklerden farklı değil. Kurumsal olarak iki kilit faktör var: Üst yönetimin liderliği ve çalışanların katılımı. Alınacak önlemler, uyulacak standartlar ve dokümantasyon çok daha rahat olabilir. Üst yönetim; risklerin değerlendirilmesi, işlenmesi ve buna yönelik kaynak sağlama fonksiyonunu yerine getirmeli. “Ne yazık ki birçok yönetim kaynak ayırmayı “para” ayırma olarak görmekte” eleştirisini yapan Denetik Uluslararası Belgelendirme ve Gözetim Hizmetleri Genel Müdürü Adnan Karadaş’ın da belirttiği gibi, işin gereği, tabii bir miktar “finansal kaynak” ayrılması gerekebilir, fakat “zaman kaynağı” sağlanması çok daha önemli. Çalışanların risklerin belirlenmesi, teknolojinin ve yeni tehditlerin öğrenilmesi, gerekli tedbir alınması konusunda gerekli kaynağın sağlanması, kurumsal savunma sistemini oldukça geliştirir. Adnan Karadaş’ın verdiği bilgiye göre, çalışanların katılımı ise standartlarda şu şekilde belirtilir: “Yapılan işin, kurum faaliyetine etkisinin farkında olunması”. “Bu farkındalık için eğitim, disiplin süreçlerinin çalışması gerekir” diyen Karadaş, şöyle devam etti:
“Fakat gerçek başarı, birçok örneğinde gördüğümüz şekliyle, alt ve orta seviye yönetimlerin başarı değerlendirmelerinde, çalışanların katılımı ve farkındalığı bir ölçüt olarak konulmalı. Bu şekilde kurum hedefleri, yönetim kademeleri üzerinden tüm çalışanlara yayılabilir. Genel olarak değerlendirdiğimizde ülkemiz kuruluşlarında farkındalığın olması gereken seviyenin altında olduğunu, kurumsal tedbirlerin ancak yaşanan felaketler sonunda alındığı görülmekte. Sürdürülebilirlik açısından diğer olası felaketler için kaynağın proaktif olarak alınması için kurum içi teknik personele çok iş düşüyor. Yapı tamamen kurumsal yeterlilik ve yetkinlik durumuna göre belirlenmeli. Personelin sayısal eksikliği, yeterliliğe sahip olan personelin istihdamı gibi sorunlar da dahil olmak üzere, kurumdan kuruma farklılık arz etmekte. Kurumsal güvenlik, farklı uzmanlık alanlarında bilgi ve tecrübeye sahip kişi(ler) tarafından gerçekleştirilebilir. Fiziksel güvenlik, dokümantasyon yönetimi, çalışanların yeterliliği, farkındalığı ve güvenlik gereklerine yönelik disiplin uygulamaları, yasal mevzuata hakimiyet ve gayet tabii bilişim altyapısının yönetimi bilgisine ihtiyacımız bulunmakta. Bu farklı özellikleri tek bir kişide bulmak genelde mümkün olmamakta. Bu sebeple, kurumsal güvenlik gereklerini yerine getirecek bir ekibin üyeleri, söz konusu teknik yeterlilikleri kapsayacak şekilde oluşturulmalı. Bazı özel durumlarda, kurumlar dışardan uzmanları çalışma ekibine geçici veya sürekli olarak dahil edebilmekte. Teknik ekip üyelerinin sayısal ve zaman kullanımı açısından desteklenmesi, mutlak başarımı kuruma kazandırır.” 
 
KUTU
 
Üst yönetimin katılımı esas
 
Üst yönetim ve çalışan sorumluluklarından bahsettik. Güvenli yapıyı oluşturan temel bileşen etkin bir risk yönetimini içermekte. Risk yönetimi, birçok kuruluş tarafından dinamik olarak algılanmakta, değişen koşullar göz ardı edilmekte. “Ne yazık ki, yaşadığımız çağ, dinamik bir risk yönetimini kaçınılmaz hale getirmekte” yorumunu yapan Adnan Karadaş, şu önerileri paylaştı:
“Kurumsal tehdit olan siber güvenlik riskleri ISO 27000 serisi rehberlerde de ele alınmakta. Genel olarak bu rehberlerden faydalanılabilir. Tüm risklere önlem alma hem çalışan sayısı hem de finansal bütçe açısından mümkün olmamakta. Risklerin etkileme derecelerinin göz önüne alınması, yüksek risklerin, maliyet ve bedelleri göz önüne alınarak yok edilmesi çalışması yapılmalı. Siber güvenlik risk değerlendirmesi, sadece matematiksel bir işlemden ibaret değil. Derecelendirme ve değerlendirme kriterleri muhakkak sayısal ve karşılaştırma yapılabilecek şekilde belirlenmeli. Farklı kuruluşlar örnek alınsa da değerlendirme kurumun kendi gerçeklerine göre şekillendirilmeli. Siber risklerin zarar verme ihtimali ve zararın boyutu çalışanların bilgi açısından yeterliliği ve farkındalığı ile doğrudan ilişkili. Teknoloji seçiminden, kullanımına birçok alanda çalışanın olumlu veya olumsuz etkisini görmek mümkün. Kuruluşun güvenlik politikası, kuruluş hedefleri göz önüne alınarak belirlenmeli. Bunun, basit, kısa sürede hazırlanacak veya havada kalacak ifadelerden ibaret olması hiçbir anlam taşımamakta. Güvenlik politikası, tüm kuruluş faaliyetlerine çerçeve oluşturacak, üst yönetimin iradesini içerecek şekilde belirlenmeli. Bu ise sistem kurulumu aşamasından itibaren üst yönetimin çalışmalara katılımını gerektirmekte.”
 
" Bu sitede yer alan yazılar (içerik) üzerindeki 5846 sayılı Fikir ve Sanat Eserleri Kanunu altında düzenlenen tüm maddi ve manevi haklar eser sahibi olan BThaber'e aittir. Söz konusu içerikler eser sahibinin izni olmadan kopyalanamaz, çoğaltılamaz, işlenemez, değiştirilemez veya başka internet sitelerinde ya da basılı veya görsel yayın yapan diğer mecralarda yayınlanamaz. "
Fetih Mah. Tahralı Sok. Kavakyeli Plaza C Blok No: 7 D: 5 34704 Ataşehir / İstanbul
+90 (216) 291 13 90
E-BÜLTEN