TeknoKritik - 3:
“Risk Yönetmek Kime Mahsus?”
Deryalar kaptanı Barbaros Hayreddin zamanında, Osmanlı donanması Akdeniz’de hâkimiyetini kurmuş, seferler düzenleyerek çeşitli yabancı gemilere ve kıyı şehirlerine saldırır ve ganimet toplarmış. Osmanlı denizcileri karşı tarafa esir düşüp sorgulandıklarında hep “rızkımızı almaya geldik” derlermiş. Rivayet odur ki, günümüzde kullanılan risk kelimesi ilk olarak, İtalyancaya “riziko” olarak bu şekilde girmiş. Risk meselesini aynı bilinçaltıyla algıladığımızdan olsa gerek karşılaştığımız risklere halen “tedbir”den çok “tevekkül” ile yaklaşıyoruz.Bu durumun değişmesi mümkün mü? Bilgi teknolojileri kaynaklı risklerinin yönetimini hedefleyen ISO 27001 standardı sertifikasına sahip kuruluşların sayısındaki artış oldukça umut verici. Türkiye’de telekomünikasyon sektöründe henüz yeterince yaygınlaşmamış olsa da, ISO 27001 standardında artan sertifikalandırılmış kuruluş sayısı, bilgi teknolojileri alanındaki risk ve tehditlere karşı durumu idare etmekten, sorunları yönetmeye dair bir yönelimin başladığını gösteriyor.
Türkiye’deki bilgi güvenliği yönetim sistemi sertifikalarının yedi tanesi doğrudan veya dolaylı olarak Telekomünikasyon Kurumu’nun (TK) Elektronik İmza düzenlemelerinde ISO 27001 şartı getirmesinden kaynaklanıyor. E-Güven, EBG ve Turktrust firmaları ile Kamu Sertifikasyon Merkezi’nin sertifikaları bu şartı sağlayan sertifikalar. Ayrıca E-Güven’e altyapı hizmeti veren Eczacıbaşı Bilişim’in ve ülkemizde giderek yayılan Mobil İmza için Turkcell grup şirketleri Corbuss ve Global Bilgi’nin bilgi güvenliği sertifikaları bulunuyor. Bu durum TK gibi düzenleyici kuruluşların bu gibi standartların yayılmasındaki etkin rolünü gösteriyor.
Dünyaya baktığımızda en fazla bilgi güvenliği yönetim sistemi sertifikalandırmış 14 ülke durumunda olduğumuzu görüyoruz. Bu alanda Japonya’nın yeri oldukça dikkat çekicidir. Japonya’da 1980 yılından bu yana Uluslararası Ticaret ve Sanayi Bakanlığı (MITI) bilgi işlem hizmeti veren kuruluşların yerel bir güvenlik standardıyla sertifikalandırılmış olmalarını şart koşuyordu. 2001 yılında bu durum sona erdi ve artık bunun yerine ISO 27001 standardı talep edilmeye başlandı. Bu sayede Japonya, bilgi ve süreçlerinin güvenliğini yönetmek ve sertifikalandırmakta Dünya ülkelerinin açık ara önünde gidiyor.
Bilgi güvenliği yönetim sistemin nasıl kurulur ve sertifikalandırılır? Önce sizin için önemli olan bir veya birkaç iş sürecinin belirli bir kısmını kapsam olarak seçersiniz. Bu kapsam içinde üretilen ve kullanılan her türlü bilgi varlığının bir dökümünü çıkarır, bunlara ilişkin tüm riskleri öncelik sırasına koyarsınız. Bu bilgileri nasıl ve ne kadar koruyacağınızı planlar ve bunu ilgili çalışanlarınıza da sahiplendirebilirseniz işinizin büyük kısmı bitti demektir. Geriye kalan bu zinciri gelecekte de takip etmek, bir vaka yaşadığınızda bütün sistemi buna göre gözden geçirmek ve arada bir bağımsız bir denetçi tarafından denetlenmek.
Alınan sertifikalar bir işe yarıyor mu? Elbette hedeflediğiniz kapsamı sınırlandırmaz, ilgili organizasyonel faktörleri göz ardı ederseniz hiçbir fayda görmeyebilirsiniz. Ancak, işinizin can alıcı yerini tespit etmek, ilgili tüm risklerin farkında olarak gerekli önlemleri almak ve bunları bir süreç dâhilinde yönetmek isterseniz ISO 27001 size denenmiş ve güvenilir bir yöntem sunuyor.
ISO 27001, dünyada telekomünikasyon sektöründe müşteri bilgileri, görüşme detayları, iletişim şebekeleri, finansal kayıtlar ve stratejik bilgilerin korunması kapsamıyla kullanıldığını görüyoruz. Standardın sektörümüzde yaygınlaşması, risklerin etkin yönetimi sayesinde yaşanan kayıpları azaltabilir, kullanan şirketlere rekabet avantajı sağlayabilir ve siber-savaşların yaşandığı çağımızda ulusal telekomünikasyon altyapımızı daha güvenli bir hale getirebilir. Tabii, sertifika sevdasına düşüp, risklerimizi “yönetiyormuş gibi” yapmamak şartıyla.
Not: Bu köşe yazısı, Temmuz/Ağustos 2008'de tele.com.tr dergisinde yayınlanmıştır.
Türkiye’deki ISO 27001 Bilgi Güvenliği Yönetim Sistemi Sertifikasyonları
| Kuruluş | Sektör | Sertifika Kuruluşu |
| BKM Bankalarası Kart Merkezi A.Ş. | Bilişim | BV |
| BEKO Elektronik A.Ş. | İmalat | SGS |
| BORÇELİK Çelik Sanayi Ticaret A.Ş. | İmalat | KPMG |
| BURSAGAZ Bursa Şehiriçi Doğalgaz Dağıtım A.Ş. | Enerji | SGS |
| CORBUSS Kurumsal Telekom Servis Hizmetleri A.Ş. | Telekom | BSI |
| Çözüm Bilgisayar Tic.ve San. Ltd. Şti. | Bilişim | TSE |
| EBG Bilişim Teknolojileri ve Hizmetleri A.Ş. | Bilişim | TSE |
| E-Güven Elektronik Bilgi Güvenliği A.Ş. | Bilişim | TSE |
| E-Kart Elektronik Kart Sistemleri San. ve Tic. A.Ş | İmalat | BV |
| EBİ Eczacıbaşı Bilişim A.Ş. | Bilişim | TSE |
| Global Bilgi Pazarlama, Danışma ve Çağrı Merkezi A.Ş. | Bilişim | BSI |
| Hacı Ömer Sabancı Holding A.Ş. | Holding | BSI |
| İşlem Coğrafi Bilgi Sistemleri Mühendislik ve Eğitim Ltd. Şti. | Bilişim | BSI |
| İGDAŞ İstanbul Gaz Dağıtım Sanayi ve Ticaret A.Ş. | Enerji | BV |
| Kayacı Bilgisayar Güvenlik Otomasyon Sistemleri Ltd. | Bilişim | CIS |
| Koç.Net Haberleşme Teknolojileri ve İletişim Hiz. A.Ş | Telekom | BSI |
| PharmaVision San. ve Tic. A.Ş. | İmalat | TSE |
| PLASKART Plastikkart Akılı Kart İletişim Sist.San. Tic. A.Ş. | İmalat | TSE |
| SAMPAŞ Bilişim ve İletişim Sistemleri A.Ş. | Bilişim | SGS |
| SPK Bilgi İşlem İstatistik ve Enformasyon Dairesi | Kamu | TSE |
| STM Savunma Teknolojileri Müh. ve Tic. A.Ş. | Bilişim | TSE |
| TC Selçuk Üniversitesi Meram Tıp Fakültesi Hastanesi | Sağlık | TSE |
| TÜBİTAK UEKAE Kamu Sertifikasyon Merkezi | Kamu | SGS |
| Türk Traktör ve Ziraat Makineleri A.Ş. | İmalat | BSI |
| TÜRKTRUST Bilgi, Iletişim ve Bilişim Güvenliği Hiz. A.Ş. | Bilişim | SGS |
| TUSAŞ Türk Havacılık ve Uzay San. A.Ş. | İmalat | BV |
Kaynak: ISO27001 Certificate Register (http://getir.net/667), BilgiGuvenligi.org (http://getir.net/668)
Bilgi Güvenliği Sertifikasyonları – İlk 20 Ülke (13/07/2008)
| 1. | Japonya | 2.668 | 11. | Polonya | 34 | |
| 2. | Hindistan | 381 | 12. | Avustralya | 28 | |
| 3. | UK | 347 | 13. | Hong Kong | 26 | |
| 4. | Tayvan | 173 | 14. | Türkiye | 26 | |
| 5. | Çin | 100 | 15. | Avusturya | 21 | |
| 6. | Almanya | 100 | 16. | Malezya | 20 | |
| 7. | ABD | 73 | 17. | Brezilya | 19 | |
| 8. | Çek Cumhuriyeti | 61 | 18. | İtalya | 14 | |
| 9. | Kore | 58 | 19. | B.A.E. | 13 | |
| 10. | Macaristan | 52 | 20. | İspanya | 12 |
Genel Toplam: 4.426
Kaynak: ISO27001 Certificate Register Ülke Listesi (http://getir.net/9ga), BilgiGuvenligi.org (http://getir.net/668), JIPDEC (http://getir.net/9gb)
Etiketler: teknokritik
Deniz Tuncalp tarafından gönderildi saat:
1:08 ÖS
0 Yorum:
Yorum Gönder
Kaydol: Kayıt Yorumları [Atom]
<< Ana Sayfa