Açıklama:
Yanıt Açıklaması: Bu konular birçok kaynakta “iç tehdit unsurları”, “iç tehditler” olarak anılmaktadır. Bunlar: • Bilgi hırsızlığı ve sanayi casusluğu: Günümüzde kullanımı kolay ve masrafsız olan birçok bilgi hırsızlığı teknolojisi bulunmaktadır bu işlerin özel istihbarat birimleriyle, pahalı teknolojiler kullanarak ya da çok usta bilişim korsanlarının desteğiyle yapılması gerekmemektedir günümüzde sanayi casusluğu gibi eylemler kurumların dışından çok, içindeki sistemler ve insanlar kullanılarak yapılmaktadır. Kurum içinden bilgi güvenliğine zarar veren saldırılar ya da kasıtsız eylemler; dışarıdan yapılanlara göre daha fazla risklere, kayıplara neden olmaktadır. • Bilgilerin depolanması: Özel sektörde, kamu kurumlarında ya da bireysel çalışmalarda en önemli sorunlardan biri; ticari sırların USB bellek, DVD, CD, taşınabilir disk, avuç içi ya da dizüstü bilgisayarlarda yani çok kolay çalınabilecek, kaybolabilecek aygıtlarda, koruma önlemi alınmadan taşınması ve kullanılmasıdır. Bu tutum riskli durumlar yaratmaktadır. • Yetki ve erişim: Kurumlarda “bilmesi gerektiği kadar, erişmesi gerektiği kadar” gibi ilkelerin benimsenmesi gerekmektedir. Bu tip ilkelere en öncelikle uyması gereken gruplar yöneticiler ve bilişimcilerdir. Fakat bu tip ilkelerin en az uygulandığı ve en riskli eylemlerin gerçekleştiği birimler de bu iki grupta çalışanlardır. İşlerin niteliği gereği kurum genelinde en sık örnek alınan ve daha çok dikkat çeken birimler de gene bu iki birimdir. • Bilgi güvenliği için doğru çözümün bulunması: Kamu ya da özel sektörde bilgi güvenliğinde yaşanan sorunların çözümü, genelde bilişimci personelden beklenmekte ve kurumun sadece teknolojik yatırımlarıyla sorunları çözümleyeceği yanılgısı sıklıkla yaşanmaktadır. Fakat bilgi güvenliği ile ilgili risklerin ve sorunların çözümü sadece teknolojik olmayabilir. Bilgi güvenliği yönetiminde, insan ve sürecin hemen her aşamada teknolojiyle birlikte düşünülmesi gerektiği unutulmamalıdır. • Bilgi güvenliğinin bir süreç olması: Bilgi güvenliği, başlanıp bitirilecek bir çalışma değildir. Bilgi güvenliği yönetimi, kurumlar ve bilgiler var olduğu sürece sürekli yönetilmesi ve denetlenmesi gereken bir yaşam döngüsüdür. Planla BGYS’nin Kurulması Önlem Al İyileştirme ve Bakım Kontrol Et İzleme ve Gözden Geçirme Uygula Gerçekleştirme ve İşletme Şekil 8.1 PUKÖ Modeli Kaynak: http://www.bilgiguvenligi.gov.tr/yazilimguvenligi/yazilim-gelistirme-surecleri-ve-iso-27001-bilgiguvenligi-yonetim-sistemi.html 10.02.2012. 244 Bilgi Güvenliği Yönetimi • Tam güvenlik: “Yüzde 100 güvenli” ya da “sıfır risk” gibi kavramlar iş dünyasında uygulanabilir değildir. Bilgi güvenliği hiçbir veriyi ve iş sürecini tamamen güvenli kılamaz ve riskleri sıfırlayamaz. Özel sektör ya da kamu sektöründe güvenliği gereken düzeyde sürekli sağlamak, risk analizlerinin sonucuna göre riskleri olabilecek en alt düzeye indirgemek ve kalan riskleri de kontrollü bir şekilde izleyerek yönetmek gerçekçi bir bilgi güvenliği yaklaşımıdır. Sağlık, finans gibi sektörlerde bilgi güvenliği yönetiminde risk odaklı yaklaşım bir gerekliliktir. Güvenliğin teknolojiden önce insana yatırım yapılmasıyla, bilinçlendirmeyle, kurumların en üstten başlayarak bilgilendirilmesi, desteklenmesi ve önemsenmesi ile sağlanacağı ve güvenliğin sürekli yönetilecek bir süreç olduğu unutulmamalıdır. Kurumlardaki üst yöneticilere, medyaya, yasa ve yönetmelikleri düzenleyen yetkililere bu konuda ciddi görevler düşmektedir. Siber saldırı dış tehdittir.
