Bilgi Güvenlik Görevleri: Yönetişim ve Risk Yönetimi

Yönetim, bilgi güvenliği sistemleri, süreçleri ve personeli kontrol altında tutulmalıdır. Yönetişim, bu kontrolü kolaylaştıran yaklaşımdır. Risk yönetimi, organizasyonda ele alınması gereken riskleri ortaya çıkaran faaliyettir.

Kuruluşla uyumlaştırma

Güvenlik yönetimi etkin ve ilgili olabilmesi için bir kuruluşun güvenlik programı ve misyonu, hedefleri ve hedefleri uyumlu olmalıdır. Bunun ana sebebi, güvenliği, kuruluşun misyonunu yerine getirme ve hedeflerine ve hedeflerine ulaşma çabalarını kolaylaştıran bir iş etkinleştirici olmalıdır.

Risk yönetimi

Risk yönetimi , riskleri tanımlayan ve her biri için uygun önlemler almak için kullanılan yaşam döngüsü faaliyetleri grubudur. Bu faaliyetler aşağıdaki gibidir:

  • Risk değerlendirmesi: , belirli sistemler, süreçler, tedarikçiler veya belki de tüm organizasyona yakından bakmaktır. Olası tüm riskler tanımlanır ve her risk için aşağıdaki temel özellikler hesaplanır:

    • Olasılık: Belirli bir tehdidin gerçekleşme ihtimali

    • Etki: tehdit gerçekleştiğinde örgüt üzerindeki etki derecesi

    • Kurtarma çabası: kuruluşun tehdit gerçekleşmesinden kurtarmak için gereken gayreti

    • Varlık değeri: Tehlikenin gerçekleştirilmesi doğası yerine geçilmesini gerektiriyorsa varlığın değeri

    • Azaltıcı kontroller: Olasılık, etki veya kurtarma çabasını azaltmak için yapılabilecek değişiklikler

  • Riskli işlem: Bir risk değerlendirmesi tamamlandığında, yönetimin bir Önemli bir görev: belirlenen her risk hakkında ne yapılması gerektiği konusunda resmi kararlar vermek. Seçimleri

    • Kabul: Yönetim, risk düzeyinin kabul edilebilir olduğuna karar verir ve tanımlanan riskin olasılığını veya etkisini azaltmak için hiçbir şeye ihtiyaç yoktur.

    • Azaltma: Yönetim, bir riskle ilişkili olasılığı, etkiyi veya kurtarma çabasını azaltacak bir şeyi uygulamayı seçer.

    • Kaçınma: Yönetim, riskle ilişkili faaliyeti durdurmayı seçer.

    • Transfer: Yönetim, riski başka bir tarafa aktarmaya karar verir; genellikle, siber risk sigortası gibi uygun bir sigorta poliçesi satın alarak.

Güvenlik yönetimi

Bilgi güvenliği bağlamında, yönetişim, arzulanan sonuçların sağlanması için politikalar, standartlar, yönergeler, usuller ve kontroller çıkarmaya yöneliktir.

  • Politikalar: Bir organizasyonda hangi eylem ve davranışların gerekli olduğu ve hangilerinin yasaklandığını açıklayan resmi ifadeler. Aşağıda bazı politika ifadeleri verilmiştir:

    • Çalışanlar oturum açma kimlik bilgilerini kuruluşun içinde veya dışında bulunan diğer kişilerle paylaşmayacaktır.

    • Çalışanlar, kişisel olarak sahip olunan cihazları, şirket onayı olmadan depolamak, işlemek veya yönetmek için kullanmayacaklardır.

  • Standartlar: Güvenlik politikasının nasıl yürüteceğini anlatan resmi ifadeler.

  • Yönergeler: İlkelerin ve standartların nasıl uygulanabileceği konusunda fikir veren bildirimler.

  • Süreçler ve prosedürler: Çeşitli çalışanlar tarafından organizasyonda yapılan iş faaliyetlerinin adım adım açıklaması.

  • Kontroller: Yönetimin belirlediği proseslerdeki ve prosedürlerdeki politikaların, standartların ve kilit adımların belirli örnekleri, iş süreçleri ve bilgi sistemlerinin düzgün çalışması ve güvenliği için gereklidir.

İç ve dış denetim

Birçok endüstrideki organizasyonlar, iç denetimler yapmakla birlikte dış denetimlere tabi tutulurlar. denetim 'un amacı, bir kuruluşun politikalarının, standartlarının ve kontrollerinin etkinliğini değerlendirmektir.

Denetim, yapılandırmaları, programları ve erişim izinleri de dahil olmak üzere bilgi sistemlerinin incelenmesini içerebilir veya dahil olmayabilir.

Veri sınıflandırması

Veri sınıflandırması , hassas bilgilerin doğru bir şekilde kullanılmasını sağlamak için bir dizi standart, prosedür ve kontrol grubudur. Veri sınıflandırması, genellikle her düzeydeki verilerin izin verildiği ve istenen şekilde işlenmesine ilişkin ayrıntılı açıklamalarla birlikte duyarlılık düzeylerini tanımlayarak uygulanır.

Veri sınıflandırmasının amacı, bilginin hassaslığına karşılık gelen düzeyde korunmasıdır. Tüm iç bilgileri sanki çok gizli gibi korumak, kaynak israfına yol açar. Öte yandan, tüm bilgileri gizli olarak koruma, en hassas bilgiyi yeterince koruyamaz.

Personel güvenliği

Personel güvenliği, çalışanların yaşam döngüsü boyunca gerçekleşen güvenlikle ilgili faaliyetler grubunu temsil eder. Bu faaliyetler şunları içerir:

  • Tarama: Adayın istihdam geçmişi, eğitim ve mesleki lisanslarının doğrulanması ve adayın istenmeyen ceza mahkumiyetinden muaf tutulması için bir arka plan kontrolü.

  • Onboarding: Çalışan, kimliği gizlenmemiş, fikri mülkiyet, uymayan ve güvenlik politikası onay belgeleri de dahil olmak üzere belgeleri imzalar. Diğer önemli faaliyetler, güvenlik bilinci eğitimi ve diğer politikalar hakkında talimatları içerir.

  • Periyodik değerlendirme: Güvenlik politikasına ve diğer kilit politikalara uyumun yıllık tekrar teyit edilmesi.

  • Transfer ve terfi: Yeni pozisyonlar için gerekli onboard faaliyetlerinin tamamlanması.

  • Fesih: Tüm donanım ve bilgi varlıklarının iadesi, noksanlığın teyit edilmesi, fikri mülkiyet hakları ve diğer anlaşmalar.

Güvenlik bilinci oluşturma eğitimi

Güvenlik politikaları, prosedürleri ve güvenli bilgi işlem konusundaki eğitim personeli, her organizasyonun zararlı güvenlik olaylarına karşı genel olarak savunmasının önemli bir parçasıdır. güvenlik bilincini geliştirme eğitim olarak bilinen, çalışanlar örgütün güvenlik politikaları ve uygulamaları hakkında eğitim alır.

Birçok yasa ve yönetmelik, güvenlik bilincini geliştirme eğitimini gerektirir; bu nedenle kuruluşlar genellikle bu eğitimi alanlar hakkında doğru kayıt tutmak zorundadırlar.

Çoğu güvenlik bilinci eğitim programı, çalışanlara beklenen şeyi anlamalarını sağlamak için sınavlar içerir.

Diğer Kavramlar

Çeşitli güvenlikle ilgili kavramlar her güvenlik uzmanının sözlüğünün bir parçasıdır. Bu kavramlar karşılaşacağınız yönetim güvenliği konularında size yol gösterir:

  • CIA Üçlü: Gizlilik , bütünlük ve kullanılabilirlik - Üç sütun güvenlik. InfoSec mesleğinin bir kuruluşun varlıklarını ve bilgilerini korumak için yaptığı her şey bunlara aittir.

  • Savunma derinliği: Önemli varlıkları katmanlı savunlarla çevreleyerek korumak için bir strateji. Bir saldırgan, korumalı varlığa başarıyla erişmek için çeşitli savunmaları yenmelidir.

  • Tek başarısızlık noktası: Anahtar bileşenlerin yedek veya alternatif yolları bulunmayan sistemler veya takımlar. Güvenlik duvarı tek bir başarısızlık noktasıdır, çünkü güvenlik duvarı başarısız olursa tüm sistem başarısız olur.

  • Başarısız aç / kapanış kapalı: Bir kontrol başarısız olursa bunun sonucu.