Genellikle birbiriyle karıştırılan iki şey: bilgi teknolojisi (BT) güvenliği ve bilgi güvenliği. Dijitalleşme çağında, bilgi genellikle BT yardımıyla işlenir, depolanır veya taşınır, ancak çoğu zaman bilgi güvenliği hala bizim düşündüğümüzden daha analogtur!

Temel olarak, BT güvenliği ve bilgi güvenliği oldukça yakından bağlantılıdır. Bu nedenle, BT'nin yanı sıra gizli bilgilerin etkin bir şekilde korunması için sistematik bir yaklaşım gereklidir.

Loading...

BT güvenliği ve bilgi güvenliği

Bilgi güvenliği, yalnızca BT güvenliğinden daha fazlasıdır. Tüm şirkete odaklanır. Sonuçta, gizli bilgilerin güvenliği yalnızca elektronik sistemler tarafından işlenen verilere yönelik değildir. Bilgi güvenliği, kağıt gibi analog veri taşıyıcıları üzerindekiler dahil, korunması gereken tüm kurumsal varlıkları kapsar.

"BT güvenliği ve bilgi güvenliği (henüz) birbirinin yerine geçemeyen iki terimdir."

Bilgi güvenliğinin koruma hedefleri

Bilgi güvenliğinin üç temel koruma hedefi, gizlilik, kullanılabilirlik ve bütünlüktür. Bu nedenle, alıcısının kapısına zamanında, güvenilir ve sağlam bir şekilde ulaşması, bir kurye tarafından taşınması, ancak tamamen analog olması gereken önemli sözleşme belgelerini içeren bir mektup için de geçerlidir. Bu koruma hedefleri, gizli bilgiler içeren, ancak herkesin görmesi için gözetimsiz bir masanın üzerinde duran veya serbestçe erişilebilen, yetkisiz erişim için fotokopi makinesinde bekleyen bir kağıda da eşit şekilde uygulanır.

Bu nedenle bilgi güvenliği, BT güvenliğinden daha geniş bir kapsama sahiptir. BT güvenliği ise "yalnızca" BT sistemlerindeki bilgilerin korunmasını ifade eder.

Tanıma göre BT güvenliği

Resmi kurumlar ne diyor? Alman Federal Bilgi Güvenliği Dairesi'ne (BSI) göre, BT güvenliği, "bilgi teknolojisinin kullanımında tehditler ve güvenlik açıkları nedeniyle mevcut olan risklerin uygun önlemlerle kabul edilebilir bir düzeye indirildiği bir durumdur. Bu nedenle BT güvenliği, bilgi ve bilginin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin sağlandığı durumdur. teknoloji uygun önlemlerle korunmaktadır."

Bilgi güvenliği= BT güvenliği artı X

Uygulamada, bazen "bilgi güvenliği = BT güvenliği + veri koruması" temel kuralı kullanılarak farklı bir yaklaşım benimsenir. Ancak denklem olarak yazılan bu ifade oldukça dikkat çekicidir. Kabul etmek gerekir ki, Avrupa GDPR kapsamındaki veri koruma konusu, kişisel veri işlemcilerinin hem güvenli BT'ye hem de örneğin güvenli bir bina ortamına sahip olmasını gerektiren ve böylece müşteri veri kayıtlarına fiziksel erişimi dışlayan gizliliğin korunması ile ilgilidir. Ancak bu, kişisel mahremiyet gerektirmeyen önemli analog verileri dışarıda bırakır. Örneğin, şirket inşaat planları ve çok daha fazlası.

Bilgi güvenliği terimi, saf BT yönlerinin ötesine geçen, ancak her zaman bunları içeren temel kriterleri içerir. Böylece, karşılaştırmalı olarak, BT güvenliği kapsamındaki basit teknik veya organizasyonel önlemler bile, her zaman uygun bilgi güvenliğinin arka planında alınır. Bunun örnekleri şunlar olabilir:

  • Güç kaynağının donanıma sabitlenmesi
  • Donanımın aşırı ısınmasına karşı önlemler
  • Virüs taramaları ve güvenli programlar
  • Klasör yapılarının organizasyonu
  • Güvenlik duvarlarını kurma ve güncelleme
  • Çalışanların eğitimi vb.

Bilgisayarların ve eksiksiz BT sistemlerinin kendi içlerinde korunmaya ihtiyaç duymayacağı açıktır. Sonuçta, dijital olarak işlenecek veya taşınacak bilgi olmadan, donanım ve yazılım işe yaramaz hale gelir.

Kanunen BT güvenliği, Almanya'dan bir örnek

CRITIS'in konusu: BT güvenliği yasası, elektrik, gaz ve su temini, ulaşım, finans, gıda ve sağlık gibi çeşitli sektörlerden kritik altyapılara odaklanıyor. Burada ana odak, BT sistemlerinin kullanılabilirliğini ve güvenliğini sağlamak için BT altyapısını siber suçlara karşı korumaktır. Özellikle günümüzün dijital kontrollü telekontrol sistemleri korunmalıdır.

Bu koruma hedefleri ön plandadır (alıntı):

  • BT güvenlik risklerinin dikkate alınması
  • BT güvenlik konseptlerinin oluşturulması
  • Acil durum planlarının oluşturulması
  • Genel güvenlik önlemlerinin alınması
  • İnternet güvenliğinin kontrolü
  • Kriptografik yöntemlerin kullanılması vb.

ISO 27001 - Bilgi güvenliği standardı

ISO 27001 ne diyor? ISO 27019, ISO 27017 ve ISO 27701 türevleri ile bir bilgi güvenliği yönetim sistemi (ISMS) için dünya çapında tanınan standardın adı:

ISO 27001:2022 – Bilgi güvenliği, siber güvenlik ve kişisel verilerin korunması – Bilgi güvenliği yönetim sistemleri – Gereksinimler

Revize standart 25 Ekim 2022'de yayınlandı ve mevcut sertifikalar (ISO/IEC 27001:2013) Ekim 2025'e kadar geçerli olacak.

Bu önemli standardın başlığı, BT güvenliğinin günümüzde bilgi güvenliğinde önemli bir rol oynadığını ve gelecekte öneminin artmaya devam edeceğini açıkça ortaya koymaktadır. Ancak, ISO 27001'de belirtilen gereksinimler doğrudan yalnızca dijital BT sistemlerine yönelik değildir. Aksine:

"ISO/IEC 27001 boyunca, "bilgi" istisnasız her yerde anılır."

Prensip olarak, bu bilgilerin işlendiği veya korunacağı analog veya dijital yol konusunda hiçbir ayrım yapılmaz.

Başarılı bir şekilde uygulanan bir BGYS, bütünsel bir güvenlik stratejisini destekler: organizasyonel önlemleri, güvenlik bilincine sahip personel yönetimini, konuşlandırılmış BT yapılarının güvenliğini ve yasal gerekliliklere uyumu içerir.

Bilgi güvenliği genellikle düşündüğümüzden daha analog

ISO 27001'in standart gereksinimlerini tamamen analog bir sistem üzerinden uygulamak isteyen herkes, gereksinimleri tamamen dijital bir sisteme uygulayan biri kadar başarılı olabilir. Tele-çalışma veya mobil cihazlar gibi terimler, yalnızca kullanıcılar için önlem hedefleri ve önlemleri içeren iyi bilinen BGYS standardının Ek A'sında yer almaktadır. Ancak standardın Ek A'sında yer alan önlemler bile her şirkette bilgi güvenliği ile ilgili dikkate alınması gereken analog süreçler ve durumlar olduğunu hatırlatıyor.

Örneğin trende akıllı telefon aracılığıyla halka açık yerlerde hassas konular hakkında yüksek sesle konuşan herkes dijital iletişim kanallarını kullanıyor olabilir, ancak bu davranışları aslında analogdur. Ve masasını temizlemeyen birinin gizliliği korumak için ofisini kilitlemesi daha iyi olur. Bilgileri güvenli bir şekilde korumak için en etkili tek önlemlerden biri olarak bu önlem genellikle hala elle yapılıyor...

BT Güvenliği ve Bilgi Güvenliği - Sonuç

BT güvenliği ve bilgi güvenliği (henüz) birbirinin yerine geçemeyen iki terimdir. Aksine, BT güvenliği bilgi güvenliğinin bir bileşenidir ve bu da analog gerçekleri, süreçleri ve iletişimi içerir. Bununla birlikte, artan dijitalleşme, bu terimleri birbirine daha da yakınlaştırıyor, bu nedenle anlam farkı uzun vadede muhtemelen daha marjinal hale gelecek.

Bizden ne bekleyebilirsiniz

DQS, yönetim sistemleri ve süreçleri için denetimler ve sertifikalar konusunda uzman iş ortağınızdır. 35 yıllık deneyim ve dünya çapında 2.500 denetçinin bilgi birikimi ile bilgi güvenliği ve veri korumanın tüm yönleri için yetkin sertifika ortağınızız.

audit-gerber-hermsdorf-werner-korall-dqs.jpg
Loading...

Sorularınız mı var?

Bizimle iletişime geçin!
 

Biz sadece mesleki yeterlilikten bahsetmiyoruz, buna sahibiz: Tüm DQS denetçilerimizden uzun yıllar pratik mesleki deneyim bekleyebilirsiniz, bu deneyim her büyüklükteki ve her sektördeki organizasyonlarda toplanır. Bu çeşitlilik ile DQS baş denetçinizin bireysel şirket durumunuz ve yönetim kültürünüz ile empati kurması garanti edilir. Denetçilerimiz, yönetim sistemlerini ve günlük zorlukları kendi deneyimlerinden bilirler, yani BGYS'yi kendileri kurmuş, yönetmiş, oluşan problemleri çözüme ulaştırmış ve süreçlerini daha da geliştirmişlerdir. Sizinle görüşmek için sabırsızlanıyoruz.

Yazar
Gert Krueger

DQS'te bilgi güvenliği, BSI-KritisV ve veri koruması için uzman ve proje yöneticisi. Ayrıca, kalite ve çevre yönetimi alanında uzun yıllardır denetçi.

Loading...