Alarko Carrier, ISO 27001 ile Bilgi Güvenliği Sağlıyor

09 Mart 2017 Dergi: Mart-2017

Alarko Carrier, yazılı, sözlü, görsel veya elektronik ortamdaki bilgilerin gizliliğinin, bütünlüğünün ve bu bilgilere erişimin korunması amacıyla SECURIST BİLİŞİM TEKNOLOJİLERİ danışmanlığında ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) projesini hayata geçirdi.

Proje sonucunda, Alarko Carrier, TUV AUSTRIA HELLAS tarafından yapılan dış denetimle TS EN ISO 27001: 2013 kriterlerini sağlayarak ISO 27001 Bilgi Güvenliği Yönetim Sistemi Sertifikasını almaya hak kazandı.

Proje süreci ve sertifika ile ilgili bilgileri, Alarko Carrier Bilgi İşlem Müdürü Burhan Bostancı ve Bilgi Teknolojileri Süreç Yöneticisi ve Bilgi Güvenliği Yöneticisi Didem Akoy, Termodinamik okurları için anlattı. Bostancı ve Akoy şu bilgileri verdi:

“ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikasını almaya hak kazandık”

“Alarko Carrier olarak yazılı, sözlü, görsel veya elektronik ortamdaki bilgilerin gizliliğinin, bütünlüğünün ve erişilebilirliğinin sağlanması amacıyla SECURIST danışmanlığında ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) projesini hayata geçirdik. Proje sürecini şu şekilde özetleyebiliriz: Proje kapsamında hizmet aldığımız Securist danışmanlığında bir bilgi güvenliği ekibi kurarak ilk olarak BGYS kapsamını ve hedeflerimizi belirledik. Planlanma aşamasında, olası risklerin nedenlerini ve kaynaklarını tespit ederek bu risklerin etkilerini puanladık. Risk ihtimali yüksek olan durumlar için aksiyon planı oluşturarak gerekli çalışmaları başlattık. Danışman firma, yapılan çalışmalar hakkında bilgi vermek ve çalışanlarımızın farkındalığını sağlamak amacıyla biz de dahil tüm personelimize hem online hem de uygulamalı eğitimler düzenledi. Projenin kapanış aşamasında ise, 2 farklı iç denetimle, bilgi güvenliği açıkları tespit edilerek sistemde iyileştirme çalışmaları yapıldı. Proje sonucunda, TUV AUSTRIA HELLAS tarafından yapılan dış denetimle TS EN ISO 27001:2013 standardı kriterlerini sağlayarak ISO 27001 BGYS sertifikasını almaya hak kazandık. ISO 27001 BGYS Sertifikası; kuruluşların bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamak amacıyla kurdukları bilgi güvenliği yönetim sistemini belgelendirmek, üçüncü taraflara kanıtlamak amacıyla aldıkları bir belge. ISO 27001 BGYS Sertifikası almak isteyen kurum ve kuruluşların, öncelikle ilgili standarda göre sistem kurması gerekiyor. Sistemi kuran firmaların ISO 27001 BGYS hususunda akredite olmuş kuruluşlara denetim yaptırması ve bu denetimlerden de başarıyla geçmesi lazım.”

“Bilgi; bir kurumun sürekliliğini sağlayan yegâne faktördür ve güvenliğinin sağlanması gerekir”

“Bilgiyi, bir kurum veya kuruluşun faaliyetlerini yürütmekte kullandığı verilerin anlam kazanmış hali olarak tanımlayabiliriz. Bilgi; bir kurumun sürekliliğini sağlayan yegâne faktördür ve güvenliğinin sağlanması gerekir. Telefon görüşmelerimiz, sözleşmelerimiz, kataloglarımız, ürün teknik ve ticari bilgileri, sahip olduğumuz know-how, e-postalarımız, sosyal medya hesaplarımız, kurumsal fotoğraf/videolarımız, söyleşilerimiz sırasında sözlü olarak aktarılan her şey bilgidir. Bilgi Güvenliği; hayati öneme sahip bilginin korunması, bütünlüğünün ve erişilebilir olmasının sağlanması için alınan gerekli önlemlerdir. Bilgi Güvenliği kavramının temel ilkelerini şöyle özetleyebiliriz:

- Gizliliğin korunması (Bilgiye ulaşımın, sadece yetki sahibi kişilerce olabildiğinin garanti altına alınması)

- Bütünlük (Bilginin ve bilgi işleme yöntemlerinin, doğruluğunun ve eksiksizliğinin korunması)

- Ulaşılabilirlik (Gereken durumlarda yetkili personelin, bilgiye ve ilgili varlıklara ulaşımının garanti edilmesi)

BGYS ise; bilgi güvenliği ile ilgili önlemlerin sistematik şekilde alınmasını, bilgi güvenliğine dair yapılan çalışmaların daha etkin ve kurallara bağlı yapılmasını sağlayan bir sistemdir. BGYS’nin uluslararası arenada en üst düzey standardı da ‘ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı’dır. Kurum/kuruluşların faaliyetleri ve sürekliliği için bilginin önemi büyüktür. ISO 27001; kurum/kuruluşların risk yönetimi ve risk işleme planlarını, görev ve sorumluluklarını, iş devamlılığı planlarını, acil durum olay yönetimi prosedürlerini hazırlamasını ve uygulamada bunların kayıtlarını tutmasını gerektirir. Alarko Carrier olarak tüm bu faaliyetlerin de içinde yer aldığı bir bilgi güvenliği politikası uyguluyor ve personelimizi, bilgi güvenliği ve tehditler hakkında bilinçlendiriyoruz. Seçilen kontrol hedeflerinin ölçüldüğü, kontrollerin amacına uygunluğunun ve performansının sürekli takip edildiği, kısacası yaşayan bir süreç olan bilgi güvenliği sistemi; ancak yönetimin aktif desteği ve personelin istekli katılımıyla başarılabiliyor. Bu sistem, bilgi varlıklarımızı korumamıza ve ilgili taraflara, özellikle de müşterilerimize güven vermemize yardımcı oluyor.”

iso 27001“Bilgiyi bir sistem sayesinde koruyor, tesadüfe bırakmıyoruz”

“ISO 27001 Bilgi Güvenliği Yönetim Sistemini kurmadan önce de birtakım denetimlerimiz oluyordu tabii ama kurduktan sonra şirketimizde bir farkındalık oluştu. Bu sistem bize çok fayda sağladı. Bilgi varlıklarımızın ve bu bilginin değerinin farkına vardık. Sahip olduğumuz varlıkları korumaya başladık. Yaptığımız kontroller ile koruma metotlarını belirledik. Bu metotları uygulayarak bilgilerimizin korunmasını, böylece iş sürekliliğini sağlıyoruz. Başta iş ortaklarımız ve müşterilerimiz olmak üzere, bilgileri korunacağından ilgili tarafların güvenini kazandık. Çünkü bilgiyi bir sistem sayesinde koruyor, tesadüfe bırakmıyoruz. Bilgiye sadece yönetimin verdiği yetkilendirme sonucunda yetkili olan kişiler erişim sağlıyor. Bilgilere çeşitli hacker saldırıları olabilir veya bilgiler şirketler içinde kötü niyetli kişiler tarafından değiştirilebilir. Böyle durumlar olursa bilginin doğruluğu bozulur. Önemli olan bilginin bütünlüğünün değiştirilmemesidir. İşte 27001 bu noktada devreye girer ve bilgiyi manipüle edecek davranışları engelleyici önlemler alır.

ISO 27001 Bilgi Güvenliği Sertifikası, çalışanlarımızın davranışlarında da birtakım değişikliklere yol açtı. Sahip olduğu kaynaklarda bulunan bilgilerin, hatta kendi özel bilgilerinin dahi korunması gerektiğinin farkına varan çalışanlarımız, ekipmanları nasıl kullanacağını ve ekipmanları kullanırken güvenlik kurallarına uyması gerektiğini öğrendi. Çalışanlarımızın farkındalığı arttı ve otokontrol sistemi gelişti. Standardın getirdiği politikalar şirket kültürümüze de yansıdı. Carrier’ın birtakım denetimleri sebebiyle bu kültür bizde zaten vardı, birtakım önlemler almıştık ama 27001 ile birlikte daha büyük boyutlara çıktı. Bunun en basit örneği, öğlen aralarında masalarımızdan ayrılırken bilgisayarlarımızı artık açık bırakmıyoruz, böylece aslında bireysel olarak da kendimizi ve şirketimizi güvence altına alıyoruz. ISO 27001’in iş dışındaki hayatımızda da bizi eğittiğini söyleyebiliriz. Adımız, soyadımız, telefon numaramız ve T.C. kimlik numaramız bizim özel bilgilerimiz. Artık bunları paylaşırken daha dikkatli davranıyoruz ya da halka açık bir yerden ağa bağlanırken parolası olmayan bir yerden asla bağlanmıyoruz. Bilgisayarlarımızı halka açık alanlarda yanımızdan ayırmıyoruz. Bunlar da 27001’in özel hayatımızda yarattığı farkındalıklardan bazıları. 27001’i sadece sanal ortama indirgememek gerekiyor. Fiziksel güvenlik ile ilgili alınması gereken önlemler de ISO 27001’in standart maddelerinde yer alıyor ve biz de bununla ilgili var olan önlemleri geliştirerek gerekli şartları sağladık.”

“BGYS için 500 bin dolar yatırım yaptık ve yatırımlarımıza devam edeceğiz”

ISO 27001 Bilgi Güvenliği Sertifikası 3 yıl geçerli, her yıl ara denetimler oluyor. Üçüncü yılda akredite bir kuruluş tarafından büyük bir denetim yapılıyor ve belge yenileniyor. Ara denetimler ise belgenin sürekliliğini sağlıyor. Günümüzde bilgi çok hızlı analiz edilebiliyor. Herhangi bir kişi bir bilgiye sahipse, o bilgiden çok hızlı analizlerle inanılmaz kısa zamanda, birçok şeyi değiştirebilecek sonuçlar çıkarıyor ve bu sonuçlar sizin aleyhinize kullanıldığında çok ciddi zararlar verebiliyor. Prestij kaybı, yasal olarak birtakım yaptırımlar veya müşteri kaybına sebep olabilir. Çünkü bilgi sadece sanal ortamda yer almıyor ve bu süreç sadece bir IT süreci de değil. Evet uygulayıcısı genel olarak bakıldığında IT, ama genel anlamda tüm firma çalışanlarını ve çözüm ortaklarımızı ilgilendiren bir süreç. Dolayısıyla bayilerimizi de farkındalık eğitimleri ile bu sürece dahil etmek istiyoruz. Altyapılarında bu kadar büyük ölçekte teknolojik değişiklikler olmayacaktır ama kendi kişisel hayatlarında nasıl önlemler alabileceklerini onlara anlatmayı planlıyoruz. Bayilerimiz kendilerini koruyamazsa bu bizi de etkiler. Dolayısıyla onları da bu sürece dahil etmek, hem onlar hem de bizim için avantaj.

ISO 27001, kritik sistemlerin iş sürekliliğini de sağlıyor. Kritik sistemlerin sürekliliğinin sağlanması, bilgiye erişimin sağlanmasıyla ilgilidir. Yani süreklilik ve erişim sağlanamazsa, bilginin sınıflandırılmasındaki ayaklardan biri kopmuş olur. Yazılımlarda; muhasebe, ERP gibi programlarda kesintinin en kısa sürede tamamlanıp tekrar çalışır hale getirilmesi ve bunun için gerekli altyapı ve önlemlerin alınması, bu standardın getirdiği zorunluluklardan biri. Bu sistem yaşayan bir sistem, dolayısıyla sistemin sürekliliğinin de sağlanması gerekir. Son dönemlerde IT sektöründe yapılan yatırımların büyük bir kısmı, güvenliğe yönelik. Güvenlik açığı olursa, felaket senaryoları devreye girer. Yani hem iş sürekliliği hem de güvenliğin sağlanması gerekiyor. Buradaki sistemlerin başına neler gelebileceğini önceden öngörmeliyiz ki, bu öngörüler doğrultusunda adım atmalıyız. Kısacası ISO 27001 Bilgi Güvenliği Sertifikasını sadece almak için almadık. Neredeyse iki sene boyunca özverili çalışarak bu belgeyi almaya hak kazandık. BGYS için 500 bin dolar yatırım yaptık ve yatırımlarımıza devam edeceğiz.