{"id":6616,"date":"2019-11-07T18:16:03","date_gmt":"2019-11-07T15:16:03","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=6616"},"modified":"2019-11-15T14:21:48","modified_gmt":"2019-11-15T11:21:48","slug":"ciso-2019","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/ciso-2019\/6616\/","title":{"rendered":"Kurumsal Bilgi G\u00fcvenli\u011fi Y\u00f6neticisi i\u00e7in temel beceri olarak risk y\u00f6netimi"},"content":{"rendered":"

Ge\u00e7en y\u0131l, meslekta\u015flar\u0131m\u0131n end\u00fcstrinin oda\u011f\u0131 ve sorunlar\u0131 hakk\u0131ndaki geribildirimlerine<\/a> bakarken hislerim kar\u0131\u015f\u0131kt\u0131. Bir y\u0131l sonra, yeni anketimizin sonu\u00e7lar\u0131n\u0131n (a\u015fa\u011f\u0131da g\u00f6rebilirsiniz) daha da ilgin\u00e7 oldu\u011fu ortaya \u00e7\u0131kt\u0131.<\/p>\n

Bu iki \u00e7al\u0131\u015fman\u0131n sonu\u00e7lar\u0131na bakarken elde edinilen ilk izlenim \u015fudur: Genel olarak bilgi g\u00fcvenli\u011fi, \u00f6zellikle de kurumsal bilgi g\u00fcvenli\u011fi y\u00f6neticisinin rol\u00fc, en az\u0131ndan a\u015fa\u011f\u0131 yukar\u0131 300 bilgi g\u00fcvenli\u011fi meslekta\u015f\u0131ma g\u00f6re, i\u015f i\u00e7in giderek daha \u00f6nemli hale gelmektedir. Bu, kesinlikle iyiye i\u015faret. Gittik\u00e7e daha fazla kat\u0131l\u0131mc\u0131n\u0131n, rolleri i\u00e7in gerekli beceriler aras\u0131nda \u201crisk y\u00f6netimi\u201d ve di\u011fer i\u015f becerileri listelemesi ger\u00e7e\u011fi de \u00f6yle.<\/p>\n

Bununla birlikte, i\u015f arkada\u015flar\u0131m\u0131n \u00e7o\u011fu ile ayn\u0131 fikirde olamad\u0131\u011f\u0131m bir nokta var. Baz\u0131lar\u0131 h\u00e2l\u00e2 teknik yeterlili\u011fin ve kurumsal BT sistemlerine dair detayl\u0131 bilginin hem \u00e7al\u0131\u015fmalar\u0131 hem de geli\u015fmeleri i\u00e7in kilit beceriler oldu\u011funu s\u00f6yl\u00fcyor. Bana g\u00f6re, teknik bilgi bir kurumsal bilgi g\u00fcvenli\u011fi y\u00f6neticisinin temel gereksinimi olsa da \u2014ve bu y\u00f6neticilerin yeni teknolojilerle ha\u015f\u0131r ne\u015fir olmas\u0131 gerekse de\u2014 end\u00fcstri, modern BT sistemlerinin kurumsal bilgi g\u00fcvenli\u011fi y\u00f6neticilerinin potansiyel olarak t\u00fcm resmi g\u00f6rebilmesi a\u00e7\u0131s\u0131ndan \u00e7ok karma\u015f\u0131k oldu\u011funu fark etmeli.<\/p>\n

\u00dcstelik, bilgi sistemleri daha da sofistike hale gelecek (\u00e7o\u011fu kat\u0131l\u0131mc\u0131 da bunun ger\u00e7ekle\u015fmesini bekliyor). Bu nedenle, bir kurumsal bilgi g\u00fcvenli\u011fi y\u00f6neticisinin teknik yeterlilikleri \u00f6nemli olsa da, risk y\u00f6netimi, etkili ekip y\u00f6netimi ve i\u015f ileti\u015fimi gibi becerilerin geli\u015ftirilmesinden sonra gelir. G\u00fcn\u00fcm\u00fczde \u00f6nemli olan personeldir.<\/p>\n

\u0130nsanlar\u0131 anlay\u0131n, sistemleri de\u011fil.<\/h2>\n

Asl\u0131nda, hem BT sistemleri hem de g\u00fcvenlik teknolojileri, i\u015fe dair kritik kararlar alma konusunda son derece uzmanla\u015fm\u0131\u015f profesyonelleri serbest b\u0131rakacak kadar geli\u015fmi\u015f durumda art\u0131k. Elbette bu de\u011fi\u015fim, tak\u0131ma g\u00fcvenmeyi her zamankinden daha da \u00f6nemli hale getiriyor. Bir yandan, bilgi g\u00fcvenli\u011fi departman\u0131 \u015fefinin tak\u0131m\u0131n uzmanlar\u0131na g\u00fcvenebilmesi gerekiyor. \u00d6te yandan, onlar da, kurumsal bilgi g\u00fcvenli\u011fi y\u00f6neticisinin yarg\u0131 ve kararlar\u0131na g\u00fcvenmek zorunda \u2014 k\u00f6r\u00fc k\u00f6r\u00fcne veya kendi g\u00f6r\u00fc\u015flerini dile getirmeden de\u011fil, ortak bir ama\u00e7 ve kar\u015f\u0131l\u0131kl\u0131 profesyonel sayg\u0131 \u00e7er\u00e7evesinde.<\/p>\n

Kat\u0131l\u0131mc\u0131lara g\u00f6re, sistem temini i\u00e7in b\u00fct\u00e7e art\u0131\u015f\u0131 kazanmak bazen daha fazla bilgi g\u00fcvenli\u011fi uzman\u0131n\u0131 i\u015fe almaktan daha kolay. M\u00fcmk\u00fcn oldu\u011funca \u00e7ok say\u0131da parlak yeni sistem sat\u0131n almak kula\u011fa harika gelebilir, ancak kurum i\u00e7inde \u00e7al\u0131\u015fan uzmanlar ve d\u0131\u015f kaynaklar i\u00e7in vazge\u00e7ilmez beceri ve yetkinlikleri belirlemek \u00e7ok daha \u00f6nemlidir. Asl\u0131nda, piyasadaki uzman yetersizli\u011fi g\u00f6z \u00f6n\u00fcne al\u0131nd\u0131\u011f\u0131nda, d\u0131\u015f kaynak kullan\u0131m\u0131n\u0131n departman\u0131n kabiliyetini geni\u015fletmek ve i\u015f gereksinimlerine daha h\u0131zl\u0131 yan\u0131t vermek i\u00e7in bir f\u0131rsat olarak g\u00f6r\u00fclmesi gerekti\u011fini d\u00fc\u015f\u00fcn\u00fcyorum.<\/p>\n

Olay yan\u0131t\u0131ndan risk y\u00f6netimine<\/h2>\n

Kurumsal bilgi g\u00fcvenli\u011fi y\u00f6neticisinin rol\u00fc kilit payda\u015flar \u2014\u00f6rne\u011fin y\u00f6netim kurulu veya CEO\u2014 i\u00e7in \u00f6nem kazanm\u0131\u015f olsa da, daha \u00f6nce oldu\u011fu gibi, \u00e7o\u011fu zaman bir \u015fey ger\u00e7ekle\u015ftikten sonra yard\u0131m \u00e7a\u011fr\u0131s\u0131 yaparlar. (Neyse ki, bu daha \u00e7ok rakiplere veya sekt\u00f6rdeki meslekta\u015flar\u0131n ba\u015f\u0131na gelir. Bununla birlikte, bir\u00e7ok \u015firketin bilgi g\u00fcvenli\u011fini bir i\u015f riski y\u00f6netimi arac\u0131 olarak g\u00f6rmedi\u011fini g\u00f6sterir.) Ve y\u00f6netimin bilgi g\u00fcvenli\u011fi performans\u0131n\u0131 nas\u0131l \u00f6l\u00e7t\u00fc\u011f\u00fc soruldu\u011funda, \u00e7o\u011fu kurumsal bilgi g\u00fcvenli\u011fi y\u00f6neticisi olaylar\u0131n say\u0131s\u0131 veya olaya yan\u0131t verme s\u00fcresinin kilit g\u00f6stergeler oldu\u011funu s\u00f6yl\u00fcyor h\u00e2l\u00e2.<\/p>\n

Bunlar kesinlikle \u00f6nemli fakt\u00f6rlerdir, ancak Kaspersky\u2019nin benimsedi\u011fi modern siber ba\u011f\u0131\u015f\u0131kl\u0131k kavram\u0131na g\u00f6re, iyi korunan bir \u015firket, sadece zarar veren sald\u0131r\u0131lar\u0131n say\u0131s\u0131n\u0131 en aza indiren veya olaylar\u0131 h\u0131zl\u0131 bir \u015fekilde ara\u015ft\u0131ran de\u011fil, bu t\u00fcr olaylara ra\u011fmen i\u015fini ba\u015far\u0131yla geli\u015ftiren \u015firkettir.<\/p>\n

Sonu\u00e7ta, g\u00f6z yumulabilen riskler ve olaylar sonucunda ger\u00e7ekle\u015fen kabul edilebilir potansiyel kay\u0131plar her \u015firket i\u00e7in farkl\u0131d\u0131r. Bazen, i\u015f geli\u015fimini desteklemek i\u00e7in koruma \u00f6nlemleri konusunda gev\u015feme g\u00f6stermek i\u015fe yarar. Di\u011fer durumlarda bu bir se\u00e7enek de\u011fildir. Olay say\u0131s\u0131, bilgi g\u00fcvenli\u011fi performans\u0131n\u0131n mutlak \u00f6l\u00e7\u00fct\u00fc olamaz. Bilgi g\u00fcvenli\u011fine dair al\u0131nan \u00f6nlemlerin g\u00f6rev i\u015fleme h\u0131z\u0131n\u0131 ve maliyetini nas\u0131l etkiledi\u011fi de \u00f6nemlidir. Bence bu nedenle, kurumsal bilgi g\u00fcvenli\u011fi y\u00f6neticileri her \u015feyden \u00f6nce, olay korumaya a\u015f\u0131r\u0131 odaklanmak yerine, riskleri yeterince de\u011ferlendirebilecek ve \u015firketlerine ve i\u015f s\u00fcre\u00e7lerine m\u00fckemmelen uyarlanm\u0131\u015f bilgi g\u00fcvenli\u011fi sistemlerini olu\u015fturabilmelidir.<\/p>\n