Kuruluşların bilgi güvenliği sağlamak hedefiyle, güncel teknolojilerden en iyi şekilde faydalanabilmesi amacıyla buradaki gibi “ISO 27001 Bilgi Güvenliği Yönetim Sistemi” rehber standardı oluşturulmuştur.
Burada hedeflenen, kuruluşların bilgi güvenliği varlıklarının tespit edilmesi ve korunmasının teminidir. Zaten ISO 27001:2017 BGYS standartının en temel niyeti budur. Öyleyse kuruluşlara düşen ilgili standartın temin edilmesini müteakip, standard şartlarının tem olarak ne istediğinin anlaşılarak yerine getirilmesidir. Bilgi güvenliği hakkında detaylı yazılara bu kategoriden ulaşabilirsiniz.
İnformasyon bilgi teknolojilerinin en büyük handikapı kendi programcılık dünyasında geliştirilen yazılımların hız ve kullanım geliştirmelerinin pratik hayatımıza sağladığı katkıların yanısıra kendi temel programlara dilleri ve algoritmalarının aynı zamanda kendisi içinde tehdit oluşturmasıdır.
Dolayısı ile bu tehditlerin panzehiri dikkat, bilgi, tecrübe ve öngörüyle hazırlanmış ISO 27001 bilgi güvenlği yönetim sisteminn kurulması, uygulanması ve sürdürülmesidir. Tüm bu teknik kılavuz şartlarının kuruluşta ilerliyor olması bilginin korunmasına öncülük edebilecektir.
Siber saldırılar yukarıda söylendiği gibi teknolojinin kendi kısır döngüsünün neticesidir. Yazılımcıların white (beyaz şapkalı) ve black şeklinde ikiye ayrılan iki farklı yüzü bugün “yazılım uzmanı” ve “hacker” arasındaki farktır. Örneğin bu yazıda olduğu gibi. Zaten sızma yani “penetrasyon” testlerini gerçekleştiren yazılımcılarda aynı teknolojiyi kullanmaktadırlar.
ISO 27001 ile önlem alınan şeylerin bütünü, fırsat ve tehditlerin kendi içerisinden türemiştir. Sistematik yaklaşıma uygun dokümante edilen BGYS “Bilgi Güvenliği Yönetim Sistemi” doğru sonuçları üreterek müşteri ve firma bilgi gizliliğini sağlamakta yeterli olacaktır.
ISO 27001 nispeten diğer yönetim sistemlerinden daha zor anlaşılır yapıda olduğundan EK-Akontrol soru listesi standarda eklenerek işleyişin anlaşılması daha kolaylaştırılmış ve pratikleştirilmiştir. Bu ek listeler ve örnek formlar aracılığı ile tüm kuruluşların kendi güvenlik standartlarını dokümante edebilmeleri amaçlanmıştır.
Tüm bu bakış açılarıyla değerlendirildiğide aslında yazılım teknolojileri ile bilgi güvenliği arasında sıkı bir bağ olduğunu fark etmek zor olmayacaktır. Bunun nedeni ise açıktır: “Günümüzde teknoloji bilginin taşındığı ve saklandığı diğer tüm eski materyallerin yerini almıştır”.
Bu durumun bir sonucu olarak eğer çok çalışanlı bir şirket iseniz mutlaka bir yazılım ekibiniz zaten olmalıdır. Az çalışanlı şirketler ise yazılım ve güvenliği konusunda danışmanlık ve destek hizmeti satın alabilirler. Bu iki şarttan birisini yerine getiremezseniz bilgi güvenliği yönetim sistemi oluşturmak ve yönetmek neredeyse imkansız olacaktır.