Bilindiği üzere; günümüzden 80 yıl önce oluşturulan ve hayatta kalmak için gerekli olan ihtiyaçların sıralandığı “Maslow’un İhtiyaçlar Hiyerarşisi“nde “Dış faktörlerden kaynaklı tehlikelerden korunma” olarak belirtilen “Güvenlik İhtiyacı” (beden, iş, kaynak, ahlak, aile, sağlık ve mülkiyet güvenliği) bulunmaktadır.
Maslow’un İhtiyaçlar Hiyerarşisi; her ne kadar insan psikolojisi ile ilgili olarak ortaya atılan bir teori olsa da iş hayatı açısından “Güvenlik İhtiyacı” başta olmak üzere kurumsal psikolojiyi ilgilendiren yönleri olduğunu söylemek mümkündür.
Günümüzde bilgisayar ve bilişim sistemlerinin, internet ve ağ teknolojilerinin kullanım alanlarının hızla artması, bulut bilişim, blokzincir, yapay zeka teknoloji ve uygulamalarının, dijital hizmetlerin birçok kurum, kuruluş ve işletmede kullanılıyor olması ile birlikte üretilen, işletilen, işlenen bilginin güvenliğinin sağlanması da zorunlu ihtiyaç haline gelmiştir.
Bilgi güvenliği, (Gizlilik, Bütünlük ve Erişilebilirlik): Bilgilerin izinsiz kullanımından, izinsiz ifşa edilmesinden, izinsiz yok edilmesinden, izinsiz değiştirilmesinden, bilgilere hasar verilmesinden koruma veya bilgilere yapılacak olan izinsiz erişimleri engelleme işlemi olarak tanımlanabilir.
- Gizlilik: Verilerin sadece yetkili kişiler tarafından görülebileceğini,
- Bütünlük: Verilerin yetkisiz kişiler tarafından değiştirilmemesi, silinmemesi gerektiğini,
- Erişilebilirlik: Verilerin ihtiyaç duyulduğu zaman ve yerde, yetkili kişiler tarafından erişilebilmesini ifade etmektedir.
Uluslararası standartları belirlenen ISO yönetim sistemlerinden birisi olan Bilgi Güvenliği Yönetim Sisteminin (BGYS) (ISO 27001) kurum, kuruluş ve şirketlerde kurulması ve yönetilmesi, kontrolü ve sürekliliğinin sağlanması büyük önem arz etmektedir.
Yönetim sistemleri konusunda olarak daha önce kaleme aldığım Yönetim Sistemleri ve Disiplin başlıklı yazımda şöyle bir özet yapmıştım: “… yönetim sistemlerini sadece uluslararası belgeye sahip olmak olarak görmeyip, yönetim sistemlerinin gerçekten ISO standardlarının istediği şartları yerine getirmek üzere kurulması, uygulanması, raporlanması, düzeltici faaliyetlerin ve denetlemelerin yapılması; iş yerlerinde her kademedeki yönetici ve çalışanların katılımı sağlanarak, herkesin kimse söylemeden 5N 1K’yı yani; Neyi ?, Nerede ?, Ne zaman ?, Nasıl ?, Neden ?, Kim tarafından? yapılacağını bilmesi, işlerin her seferinde en iyi şekilde ve sürekli iyileştirme ile sürdürülebilir bir şekilde yapılması, yapılan işin ölçülmesi, iş yerinin bir parçası olma hissinin verilmesi; aslında, kural, ilke ve sorumluluklardan ibaret olan disiplinin de sağlanmasını ve uygulanmasını beraberinde getirmektedir…”
Dolayısıyla; kurumların üst düzeyde bilgi güvenliğini ve iş sürekliliğini sağlamaları için, teknik önlemlerin yanında teknik olmayan (insan kaynakları, süreç, prosedür, talimat vb.) önlemlerin alınması, denetimlerin yapılması, tüm bu süreçlerin devamlılığının sağlanması ve BGYS standartlarına uygun olarak yönetilebilmesi için; her kademe ve unvandaki tüm çalışanların, iş süreçlerinın, bilişim teknolojilerinin yönetim tarafından desteklenmesi ve disiplin içerisinde hareket edilmesinin sağlanması gerekmektedir.
ISO 27001 sisteminin özünün bilgi güvenliği olduğu dikkate alınarak, BGYS’nin kurgulanmasının, teknik açıdan gerekli düzenlemelerin yapılmasının ve koordinasyonun sağlanmasının genellikle “Bilgi İşlem” birimleri tarafından yerine getirilmesi gayet doğaldır. Fakat BGYS’nin başarılı olmasının diğer tüm birimlerin katkısına bağlı olduğunu da belirtmek gerekir.
Bu çerçevede; BGYS içerisinde İnsan Kaynaklarından neler beklenmektedir? İnsan Kaynakları birimlerine hangi görevler düşüyor? İnsan Kaynakları birimlerinin BGYS rolü nedir? sorularının cevabı için Bilgi Güvenliği Yönetim Sistemi standart maddelerine bakalım.
BGYS (TS EN ISO 27001:2017)(*) standart maddelerinde İnsan Kaynakları Yönetimi açısından; İnsan kaynakları güvenliği (Ek A.7) maddesinin altında, A.7.1. İstihdam öncesi, A.7.2. Çalışma esnasında ve A.7.3. İstihdamın sonlandırılması ve değiştirilmesi olarak üç başlık bulunmaktadır.
Bu madde başlıklarına bağlı olarak; tarama, istihdam hüküm ve koşulları, yönetimin sorumlulukları, bilgi güvenliği farkındalığı eğitim ve öğretimi, disiplin prosesi ve kişisel verileri koruma olarak belirtilen alt madde başlıkları sıralanmaktadır.
Ayrıca; bu maddelerin her biri için bilgi güvenliği açısından potansiyel tehlikelere yönelik olarak farkındalık olması ve gerekli kontrollerin BGYS içerisinde tanımlanması istenmektedir.
BGYS ISO 27001 şartlarını içeren BGYS Politikası, BGYS Kitabı, BGYS Roller ve Sorumluluklar Rehberi, BGYS Süreçleri, Prosedürleri ve Talimatları hazırlanıp, duyurulduktan sonra güncellenerek takip ve kontrol edilmelidir.
BGYS gereği; bilgi güvenliğini sağlamak adına insan kaynakları ile ilgili hususlar aşağıda belirtilmiştir.
- Kurum, kuruluş ve şirketin bilgi güvenliği politikası uyarınca personele düşen güvenlik rol ve sorumlulukları belgelenmeli, işe alınacak personele yüklenecek rol ve sorumluluklar/görev tanımları açıkça tanımlanmış ve işe alınmadan önce personel tarafından iyice anlaşılması sağlanmış olmalıdır. Kurum çalışanlarına ve yüklenici/paydaşlara gizlilik ve açığa çıkarmama/ifşa etmeme anlaşmalarını işe alınma şartının/işi yürütme şartının bir parçası olarak imzalamaları istenmelidir.
- Tüm işe alım adayları için ilgili yasa, düzenleme ve etiğe göre ve iş gereksinimleri, erişilecek bilginin sınıflandırması ve alınan risklerle orantılı olarak geçmiş doğrulama kontrolleri gerçekleştirilmesine ilişkin madde kontrolü gereği; bilgi ve belgelerden oluşan kişisel verilerin korunması, finansal ve elektronik verilerin gizliliği, yüklenici ve diğer paydaş verilerinin korunması gibi hususlara ilişkin süreç, prosedür, talimat, taahhütnamelerin oluşturulması, çalışanlarla ve ilgili taraflarla paylaşılması, ilgililere imzalatılması ve yasal mevzuata uyulması gerekmektedir.
- İşe alımlarda özellikle, başvuru sahibinin özgeçmişinin, beyan edilen bilgi ve belgelerin doğrulanmasına; sabıka kaydı incelemesine; güvenilirliğe ve yetkinliğe önem verilmesi önem taşımaktadır.
- Çalışanlar ve yükleniciler/paydaşlar ile yapılan sözleşmeler de kendilerinin ve kuruluşun bilgi güvenliği sorumlulukların belirtilmesi maddesi kontrolü gereği; gizli bilgilere erişim hakkı olan çalışanlara ve yüklenici/paydaşlara yasal sorumlulukları ve hakları konusunda bilgilendirme yapılmalı, yasal sorumluluklara uyulmaması halinde uygulanacak işlemler ve yürütülecek süreçler belirlenmeli ve BGYS politika ve prosedürlerinde tanımlanması sağlanmalıdır.
- Gerek çalışırken gerekse ayrıldıktan sonra kurumsal verilerin gizliliği konusundaki sorumluluk ve yükümlülüklerin devam ettiğinin imzalanacak gizlilik ve açığa çıkarmama/ifşa etmeme anlaşmalarında belirtilmesine dikkat edilmelidir.
- Yönetimin sorumlulukları maddesine göre; yönetim tarafından çalışanların ve yüklenicilerin/paydaşların, kuruluşun belirlenmiş olan BGYS politika ve prosedürlerine göre bilgi güvenliğini uygulamaları istenmelidir.
- BGYS politika ve prosedürlerini uygulama, görev ve sorumlulukları yerine getirme konusunda; motivasyon ve farkındalık çalışmaları yapılması, uygun beceri ve niteliklerin kazandırılması, sistemin sürekliliğinin sağlanması için düzenli eğitimler verilmesi yönünde yönetim tarafından destek verilmelidir.
- Bilgi güvenliği farkındalığı, eğitim ve öğretimi maddesi kontrolü gereği; çalışanların ve yüklenicilerin/paydaşların, bilgi güvenliği sorumluluklarını ve yükümlülüklerini BGYS politika ve prosedürlerine uygun olarak yerine getirmelerini sağlamak üzere, farkındalık eğitimi ve süreklilik eğitimi programları, kampanyaları, faaliyetleri planlanarak, düzenli bir şekilde tekrarlanarak ve güncellenerek uygulanması sağlanmalıdır.
- Kurum, kuruluş ve şirketin bilgi güvenliği farkındalık ve süreklilik programlarının gereklerine ve ihtiyaca göre; sınıf veya web tabanlı, uzaktan eğitim veya hibrit yöntemler de dâhil olmak üzere farklı eğitim yöntemleri ve farklı ortamlar kullanılarak; bilgi güvenliğine dair uygulamada karşılaşılan sorunlara ve çözüm yollarına odaklanılması, alıştırmalar ve örnek vakalar yapılması suretiyle verilmelidir.
- Disiplin prosesi gereği; kuruluşta bilgi güvenliği ihlalleri işlediği şüphesi olan çalışanlar için doğru ve adil davranışı sağlamaya yönelik olarak; disiplin süreç ve prosedürü hazırlanarak işe alımdan itibaren işten ayrilmaya kadar geçen sürede tüm çalışanların bilgisine sunulmalıdır.
- Disiplin prosesinin, bilgi güvenliği ihlalinin gerçekleştiği kesinleştikten sonra devreye girmesine dikkat edilmesi ve caydırıcı olarak kullanılması önemlidir.
- İstihdamın sonlandırılması veya değiştirilmesine dair süreç, prosedür ve talimatlarının amacı; kurum, kuruluş ve şirketin çıkarlarını korumak olup, yasal mevzuat çerçevesinde bilgi güvenliği açısından hukuki yükümlülükler ve şartlar belirlenmeli, imzalanan sözleşmelerde, taahütnamelerdeki maddelerde BGYS gereklerine yer verilmeli çalışanlara, yüklenici/paydaşlara bildirilmeli, bilgi güvenliği bilinç düzeyi artırılmalı ve sürekli bir şekilde uygulanmalıdır.
SONSÖZ: Bireysel olarak hayatta kalmak için güvenlik ihtiyacı ne kadar önemli ise kurumsal olarak hayatta kalmak için de güvenlik ihtiyacı büyük önem taşımaktadır.
(*) Bilgi Güvenliği Yönetim Sistemi Standart Maddeleri
İK Pencerem 