Merhaba, ben Volkan Evrin. Karel’de Kurumsal Uygulamalar ve Bilgi Güvenliği Müdürü olarak çalışmaktayım. 20 yıldır BT sektöründe sistem ve güvenlik konularında görevler almaktayım.
Bu yazıda sizlere “İç ve Dış Tehditlerin Analizi” konusunda nasıl bir yaklaşım sergilememiz gerektiği ve nasıl tanımlar oluşturmamız gerektiğine dair bilgiler aktarmaya çalışacağım. Bu konuda kısaca şu maddelere değineceğim;
- Karmaşıklaşan Bilişim ve Değişen Tehdit Kavramı
- İç ve Dış Tehditler
- Bilgi Güvenliği Yönetimi Temel Kavramları
- Bilgi Güvenliği Standartları / Çerçeveleri
- Risk Yönetimi ve SWOT Analizi
- Sürdürülebilir Bilgi Güvenliği Modeli
Karmaşıklaşan Bilişim ve Değişen Tehdit Kavramı
Kurumlar için bilişim altyapılarının ve hizmetlerin karmaşıklığı gün geçtikçe daha da artmakta, Gizlilik, Bütünlük, Erişilebilirlik, Erişim Doğrulama, İnkar Edilememezlik, Şifreleme, Yedeklilik vb. temel değerler sürekli değişmektedir.
Gelişen bilişim dünyası, çeşitlenen hizmetler ve teknolojik yenilikler, tehdit kavramlarını ve algılarını da ciddi anlamda değiştirmektedir.
İç ve Dış Tehditler
- Kişiler
- Kurumlar
- Ülkeler
- Birlikler / Guruplar
- Dünya ve ötesi
Bilgi Güvenliği Yönetimi Temel Kavramları
- Varlık / Süreç (Sahip olunan ve bizim için değer taşıyan)
- Zafiyet (Olası bir tehdidin oluşmasında kullanılabilen açıklık, zayıflık)
- Tehdit (Sonucunda zarar görülebilecek (olası) bir eylem)
- Risk (Zafiyetten kaynaklanan Tehdidin oluşma olasılığı)
- Olasılık (Riskin olma, gerçekleşme ihtimali)
- Etki (Risk oluştuğunda yaratacağı sonuç)
Bilgi Güvenliği Standartları / Çerçeveleri
- ISO 27000 Ailesi
- COBIT (ISACA)
- PCI-DSS
- ITILv3
- SoX, NIST, HIPAA, vb.
- CMMI, PMBOK, PRINCE, COSO, vb.
Risk Yönetimi ve SWOT Analizi
- Risk Yönetimi Politikası
- Risk Tanımlama
- Risk Analizi ve Değerleme
- Risk Kabul
- Risk İyileştirme Seçenekleri
- Artık Risk Yönetimi
- Risk İzleme ve Gözden Geçirme
Bir iş yönetimi terimi olan SWOT, kurumlara iç ve dış etkenlerin neler olabileceği, hedefe ulaşmada etkili güçlü ve zayıf yönler ile ilgili bilgilere sahip olma yetkisi veriyor.
SWOT’un esas amacı stratejik planlamaya ve karar alma sürecine etkisi olabilecek pozitif ve negatif bütün etmenler ile ilgili kurumların bilgi sahibi olmasına yardım etmektir.
Sürdürülebilir Bilgi Güvenliği Modeli
- Kurumsal hedeflere ve BG politikalarına uygun
- Farklı alanların standart ve çerçevelerinden en uygunlarını seçip, kullanan
- Değişime uyumlu ve dinamik işletmeye yatkın
- Ayak bağı değil, yol gösterici
Daha ayrıntılı anlatım için videoyu izleyebilir ve bu konudaki görüşlerinizi yorum olarak paylaşabilirsiniz.
Bu yazıyı okuyanlar, bunları da okudu;
Siber Güvenlik Planının 5 Püf Noktası
Hacklenen Nesnelerin İnterneti (Internet of Hacked Things) Nedir?
Endüstri 4.0 Gerçekten Nedir? Tüm Çalışanları Nasıl Etkileyecek?