Kurumların sahip olduğu en değerli varlıkları olan bilginin; gizlilik, bütünlük ve erişilebilirlik nitelikleri bakımından sürekli olarak korunması gerekir.
- Bilginin yetkisiz erişimlere engellenmesi gizlilik,
- Yetkisiz erişim sonucunda orjinal bilginin değiştirilmemiş olması bütünlük,
- İhtiyaç duyulan bilgiye yetki alanı sınırları içinde ve istenildiği anda ulaşılabilmesi ise erişilebilirlik,
şeklinde ifade edilir. Bu bileşenler korunacak bir bilginin üç temel özelliğini teşkil eder. Bu temel niteliklerin korunabilmesi için sistem üzerinde sadece teknik açıdan önlem almakla yetinilmemesi, güvenliğin en zayıf unsuru sayılan insan faktörünün de mutlaka dikkate alınması gerekir. Bu konuda ISO Bilgi Güvenliği Yönetimi Sisteminde de açıkça tariflenen politikalar mevcuttur.
Kurumlarda bilgi güvenliğinin sağlanması kurumun imajı, güvenilirliği ve faaliyetlerinin devamı açısından kritik önemdedir. Bilgi güvenliğinin sağlanabilmesi için kurum çalışanları ve hatta kurumun veri-alışverişinde bulunduğu tüm paydaşların çalışanları bilgi güvenliği konusunda yeterli farkındalığa sahip olmak zorundadır. İnsan faktörü ile ilişkili bilgi güvenliği risklerini hiçbir zaman bütünüyle ortadan kaldırmak mümkün olmasa da, iyi planlanmış bir farkındalık faaliyeti ile güvenlik risklerinin kabul edilebilir bir seviyeye çekilmesi sağlanabilir.
Çalışanlar üzerinde güvenlik bilinci oluşturulurken hangi bilgilerin korunması gerektiği, bunların ne tür tehditlere karşı hangi yollarla korunabileceği konusunda bilinçlendirme yapılmalıdır.
Kurumlarda Bilgi Güvenliğini, çalışanların düşünce ekseninde tutmanın en etkili yollarından biri çalışanın bilgi güvenliği sorumluluklarını aynı zamanda bir iş sorumluluğu olarak görmesini sağlamaktan geçer. Ancak bunu çalışanlar üzerinde bir farkındalık oluşturmadan tek başına görev tanımlarına yazmakla sağlamayı ummak bir beklentiden öteye gidemez.
Bilgi eksikliğinden kaynaklanabilecek insan hatalarını ve teknolojinin yanlış kullanılması risklerini azaltmak, bireylerin bilgi güvenliği tehditleri ve sorunlarından haberdar olabilmesi, çalısma zamanları içinde kurumun güvenlik politikalarını desteklemek üzere donanımlı bir hale gelmesi ancak Bilgi Güvenliği Farkındalığı ile mümkündür.
Olası Bilgi Güvenliği risklerinin minimize edilebilmesi için tüm çalışanlarda farkındalığın dinamizmi mutlak suretle korunmalıdır.
Bilgi Güvenliği Farkındalığının Oluşturulması
Bilgi güvenliği farkındalığı için atılması gereken pek çok adımdan belki de en önemlisi, kurum çalışanlarının düzenli olarak bilgi güvenliği farkındalığı eğitimleri almasıdır.
Bu eğitimler kurum içerisinde bilgi güvenliği ekipleri tarafından yapılabileceği gibi dış kaynaklardan da faydalanılabilir. Eğitimlere tüm kurum çalışanlarının katılması zorunlu olduğu taktirde de, tüm çalışanların eğitimi aldığından emin olunabilir. Bu eğitimlerde dünya da yaşanmış insan faktörlü bilgi güvenliği aksaklıklarına bolca yer verilmeli ve büyük yatırımlarla teknik anlamda sağlanan tüm güvenlik unsurlarının basit bir insan hatasıyla nasıl aşılabildiğine vurgu yapılmalıdır. Hataya neden olan çalışanın akıbetini dramatize etmek de farkındalık eğitimlerinde istenen etkinin yaratılabilmesi için izlenebilecek bir yoldur.
Bunun dışında, kurum içi Bilgi Güvenliği Farkındalığını arttırmak için izlenebilir çok sayıda yöntem mevcuttur;
· Seminerler, paneller, şirket dışı profesyonel konuşmacılar
· Bilgi güvenliği günleri/etkinlikleri
· Tamamlanması zorunlu online ve interaktik eğitimler(oyunlar, quizler vb.)
· Düzenli paylaşılan Bilgi Güvenliği e-posta bültenleri
· Bilgi Güvenliği internet veya intranet sayfası
· “Haftanın bilgi güvenliği sorusu” gibi tüm çalışanlardan bireysel cevap beklenen eposta etkinlikleri
· Sosyal mühendislik ve oltalama testleri (Oltanan çalışanlara ek eğitimler)
· Kurum içi afişler, posterler, kartlar, temiz masa kontrolleri, el kitapçıkları, karikatürler
· Kurum içi ekranlarda, dinlenme alanlarında, bilgi güvenliği animasyonları ve bilgilendirmeleri
· Ekran koruyucu, masaüstü arka planı, ip telefon ekranı gibi alanlarda bilgi güvenliği uyarıları
· Çalışan masalarına, değişen bilgi güvenliği kartları bırakılması
· Bilgi güvenliği konulu bulmacalar, ödüllü sorular
· Yaşanan Bilgi Güvenliği tehditlerinin çalışanlar ile paylaşılması
Kurum çalışanlarının bilgi güvenliği konusunda bilinçlendirilmesi, bilgi güvenliği süreçlerinde atılacak ilk ve en önemli adımlardan biridir. Çalışan farkındalığının üst düzeyde olması, olası güvenlik açıklarının çalışanlarca tespit edilerek ilgililere bildirilmesi faydasına dahi olanak sağlar ki bu nokta farkındalığın nirvanasıdır denilebilir.
Farkındalık ile çalışanlar üzerinde güvenlik bilinci oluşturulurken hangi bilgilerin korunması gerektiği, bunların ne tür tehditlere karşı nasıl korunması gerektiği konusunda bilinçlendirme yapılır.
Tüm kurum çalışanlarının ve kurumun veri alış-verişi içerisinde olduğu tüm paydaşların, bilginin korunmasının önemi ve bilgi güvenliğinin sağlanması konusunda bilinçlendirilmesi, kurumlarda bilgi güvenliği farkındalığı çalışmalarının ana hedefidir.
Kurumun bilgi güvenliği politikası sadece kurum çalışanlarını değil, tedarikçiler ve iş ortaklarını, hizmet sağlayacıları ve onların çalışanlarını, kısaca kurumun temas ettiği her noktayı kapsamalıdır.
En güncel bilgi güvenliği olayları ve korunma yöntemleri için mutlaka takipte kalın : https://bilgiguvende.com/
Sevgiler..
