BMO Siber Güvenlikte Yönetişim, Risk ve Uyumluluk Raporu Yayınlandı
BMO Bilişim Politikaları Komisyonu Siber Güvenlik Çalışma Grubu Başkanı R. Savaş Uluçay tarafından hazırlanan BMO Siber Güvenlikte Yönetişim, Risk ve Uyumluluk Raporu yayınlandı.
SUNUŞ
Değerli Meslektaşlarımız,
Bilgi ve iletişim teknolojilerinin toplumsal yaşamın her alanına nüfuz ettiği günümüzde, bu sistemlerin güvenli, sürdürülebilir ve etik biçimde işletilmesi hem bireylerin hem kurumların hem de kamusal yapıların varlığını sürdürebilmesi için kritik bir zorunluluk haline gelmiştir. Siber güvenlik yalnızca teknik bir alan değil, ulusal güvenlikten kişisel mahremiyete kadar geniş bir yelpazede toplumsal refahı doğrudan etkileyen stratejik bir konudur.
Anayasamızın 135. maddesi uyarınca kamu kurumu niteliğinde bir meslek kuruluşu olan TMMOB Bilgisayar Mühendisleri Odası olarak, mesleğimizin kamusal sorumluluğunu gözetmek ve toplumsal fayda üretmek en temel görevlerimiz arasındadır. Bu kapsamda, siber güvenliğin ve bilgi güvenliği yönetiminin yalnızca teknik değil, yönetişim, risk ve uyum (GRC) boyutlarıyla da ele alınması gerektiğine inanıyoruz.
Günümüzde yapay zekâ, büyük veri, bulut bilişim ve nesnelerin interneti gibi teknolojilerle karmaşıklaşan dijital ekosistemlerde; kurumların bilgi varlıklarını korumaları, yasal düzenlemelere uyum sağlamaları ve etik ilkeler çerçevesinde hareket etmeleri giderek zorlaşmaktadır. Bu noktada, yönetişim, risk ve uyum süreçlerinin mühendislik ilkeleriyle bütünleştirilmesi; yalnızca teknik bir gereklilik değil, aynı zamanda toplumsal bir sorumluluktur.
Öte yandan, kamusal denetim mekanizmalarının zayıflatıldığı, veri gizliliği ihlallerinin arttığı, kritik altyapıların güvenliğinin yeterince gözetilmediği günümüz koşullarında; meslektaşlarımızın bilgi güvenliği, siber savunma, risk yönetimi ve uyum süreçlerinde aktif rol üstlenmeleri her zamankinden daha büyük bir önem taşımaktadır.
Bu el kitabı, siber güvenlik alanında görev yapan mühendislerimizin temel kavramlara, standartlara, süreçlere ve en iyi uygulamalara erişimini kolaylaştırmayı amaçlamaktadır. Aynı zamanda, kamu ve özel sektörde siber güvenlik ve GRC süreçlerinin tanımlanması, mesleki denetim altyapısının güçlendirilmesi ve kurumsal farkındalığın artırılması hedeflenmektedir.
Hazırlık sürecinde büyük özveriyle katkı sunan Siber Güvenlik Çalışma Grubu’nun tüm üyelerine, değerli meslektaşlarımıza ve emeği geçen herkese teşekkür eder, bu el kitabının mesleğimizin gelişimine ve toplumun dijital güvenliğine katkı sağlamasını temenni ederim.
Saygılarımla,
Cem Nuri ALDAŞ
TMMOB Bilgisayar Mühendisleri Odası Yönetim Kurulu Başkanı
ÖNSÖZ
Siber güvenlik söz konusu olduğunda, kuruluşlar güvenliği sağlamak için farklı çerçeveler, en iyi uygulamalar ve standartlar kullanır. Bu yönetişim çerçeveleri, çoğunlukla kurumsal yönetişim gerekliliklerine veya yasal gerekliliklere uygun olarak seçilir. Kontroller, siber ihlal geçmişi ve mali konular; teknik, idari, ve fiziksel kontroller dahil olmak üzere genellikle yönetişim belgelerinde belirtilir. Ayrıca, işletmelerin siber alanlarını güvence altına almak için geliştirmeleri gereken belirli yetenekleri tanımlayan bir dizi belge de mevcuttur. Bu nedenle, tehditlerden SQL (Structured Query Language – Yapılandırılmış Sorgu Dili) enjeksiyon saldırılarına, bulut bilişime, yük dengelemeye ve siber koruma gerektiren Nesnelerin İnternetine kadar her şey GRC (Governance, Risk, and Compliance – Yönetişim, Risk ve Uygunluk) çerçevesine dahil edilmeli ve GRC’nin kuruluşlara sağladığı ticari faydalar hakkında bilgi verilmelidir. Bu nedenle, bu makaledeki sonuçlar; kötü yönetimi önlemek, riski azaltmak ve kuruluşlarda uyumu sağlamak için Bilgi Teknolojileri GRC uygulamasının anlaşılması ve değerlendirilmesi olmalıdır. Bu, yalnızca uygulama güvenliği, nesnelerin interneti güvenliği, ağ güvenliği, altyapı güvenliği gibi yöntemler kullanılarak; siber ve ağ saldırıları gibi dış risklerin azaltılması, hassas bilgilere erişimi sınırlandırılması ve GRC’nin siber güvenlikle olan ilişkisinin ortaya konulmasıyla sağlanabilir.
R.Savaş ULUÇAY
TMMOB
BMO Siber Güvenlik Çalışma Grubu Başkanı