BGYS’ne Hücüm ve Geleneksel Hatalar
Bilgi Güvenliği Yönetim Sistemleri (BGYS’ler) son dönemin popüler güvenlik konularından birisi oldu. BGYS’lerin kurulması ve işletilmesi güvenliğin etkin yönetimi açısından son derece anlamlı ve uygulamayı hedefleyen kuruluşlar açısından takdire layık bir hareket. Ne yazık ki konudan tamamen kopuk biçimde işin cılkını çıkartanlar da artıyor. Sizlerin de şahit olduğu sevimsiz hikayeler olabilir ama ben son iki haftaki hikayeleri paylaşmak istedim.
Son iki hafta içerisinde dört farklı kuruluşa davet edildik, onların BGYS kuruluşlarında ne türden danışmanlık hizmetleri sağlayabileceğimizi değerlendirmek üzere. Kuruluşların üçü kamu kuruluşu, birisi özel sektör.
İlk kamu kuruluşuna bizden önce üç farklı danışmanlık firması gitmiş ve konuya yaklaşımlarını paylaşmışlardı. Masaya oturur oturmaz önümüze ağ diyagramını koyup bilgi işlem teknik altyapısını anlatmaya giriştiler, donup kaldık. Konuyu doğru biçimde eksenine oturtmak bir saat kadar vaktimizi aldı, biz anlattıkça ama bize böyle anlatmamışlardı nidaları yükseldi. Allah’tan ki yanımızda standart kopyaları vardı ve standarttan bir kaç bölümü kendilerine okutarak hedeflemeye çalıştıklarının ne olduğunu anlatabildik. Bu örnekte BGYS’nin ne olduğunu bilmeden kurmaya teşebbüs eden kuruluş örneği var, başarı şansı ne yazık ki hiç yok. 
İkinci kamu kuruluşunda bizi oldukça yetkin bir ekip karşıladı. Standarda şaşırtıcı şekilde hakim, ne yapılması gerektiğini son derece iyi bilen ancak bizim yönetimle bu olmaz ama verdiler görevi yapacağız artık… teslimiyetçiliği içerisinde bir ekipti. Bu kuruluşta da başarı şansı hiç yok, yönetim desteği olmadan örgüt içerisinde bir sistem kurulumunun gerçekleştirilmesi söz konusu bile olamaz.
Özel sektör kuruluşumuzun tek sorusu sizinle çalışırsam 27001/17799 sertifikamı ne zaman alabilirim?‘di. Çok kibarca kuruluşun tepe yöneticisi projeyi en kısa sürede sertifika aldırmayı garanti eden danışmanlık firmasına vereceklerini söyledi, defalarca da tekrarladı. Bu kuruluşun başarı şansı var mı? Yok. Biz ya da bir başka danışmanlık firması size sistem kuramaz, ancak sizin sistem kurmanızda kılavuzluk yapabiliriz dedim ama anlamadı; zaten anlayacak durumda olsa bunları da söylemezdi.
Dördüncü kuruluşumuz yine bir kamu kuruluşu. Bilgi işlem yöneticisini kurum çapında bir BGYS kurulumu ile görevlendirmişler. Kapsam bilgi işlem ile sınırlı değilken işin sorumluluğunun bilgi işlem yönetimine verilmesi bana göre bilgi işlemcilerin kaşınmasının bir sonucudur. Bir şekilde (ki bu ayrı bir yazı konusudur) BGYS’ye ilk ilgi gösterenler bilgi işlemciler oldu ve doğal sonuç olarak iş üstlerine kaldı. Yönetimin de desteklemesi durumunda bilgi işlem yöneticisinin önderliğinde de bir BGYS kuruluşu gerçekleştirilebilir, başarı şansı da var. Diğer taraftan işin doğal sahibinin bilgi işlem olmadığını da teslim etmek lazım. Söz konusu kuruluşta bilgi işlem yöneticisi BGYS kurulumu ile görevlendirilmiş olmasına rağmen gerekli yetkilerden eser yoktu, gene projenin oluru yoktu. 
Alın size dört taze örnek ışığında Türkiye’den BGYS’ne hücüm manzaraları. BGYS’nin bir sistem kurma çabası olduğunu, konunun bir BT konusu olmadığını, yönetimin yalnızca hadi kurun, yapın demesi ile bu işlerin oldurulamayacağını, işin büyük oranda bir kültürel dönüşüm konusu olduğunu görene (çuvaldızı da kendimize: gösterene) değin adam akıllı BGYS kurabilen örgüt sayısını hızlıca yükseltmek mümkün olmayacak gibi görünüyor.