Menu
Güvenlikte sorumluluk kimin

Güvenlikte Sahiplik Problemi

Güvenlikte Sahiplik Problemi

Herkesin Konusu, Kimsenin Sorumluluğu

Bilgi güvenliği ihlalleri birçok farklı nedenle ortaya çıkabilir. Ancak bu ihlallere yol açan zafiyetlerin uzun süre varlığını sürdürmesinin temel nedenlerinden biri sahipsizliktir.

“Bu riskin sahibi kim?” sorusu sorulduğunda ortam çoğu zaman sessizleşir. Bu sessizlik, çoğu zaman teknik bir eksiklikten daha tehlikelidir. Çünkü teknik zafiyetler tespit edilebilir ve kapatılabilir. Sahipsiz riskler ise fark edilse bile yönetilemez.

Sahiplik Ne Demektir?

Sahiplik, bir sistemin ya da sürecin başına yalnızca bir isim yazmak değildir. Gerçek sahiplik, aşağıdaki unsurları içeren bir rolün varlığını gerektirir.

  • Varlığın iş değerini bilen
  • Risklerini anlayan
  • Gerektiğinde karar alabilen
  • Risk kabul edebilen
  • Denetimlerde hesap verebilen

Sahiplik; yetki ve sorumluluğun birlikte tanımlandığı bir yönetişim mekanizmasıdır. Sahiplik yoksa risk vardır ancak o riskin sahibi yoktur.

En Yaygın Sahiplik Yanılgısı

Kurumlardaki en sık cümlelerden biri şudur: “Bu konu bilgi güvenliğinin alanı.”

Evet, bilgi güvenliği ekipleri çerçeveyi çizer; kontrolleri tasarlar, izler ve raporlar ancak:

  • İş sürecinin sahibi bilgi güvenliği değildir.
  • Uygulamanın işsel kararlarını güvenlik vermez.
  • Verinin iş değeri güvenlik ekipleri tarafından belirlenmez.

Buna rağmen bir risk gerçekleştiğinde ilk bakılan yer yine güvenlik olur. Bu durum güvenlik ekiplerini “riskin sahibi” gibi gösterir. Oysa gerçekte güvenlik ekipleri çoğu zaman yalnızca riskin habercisidir.

Sahipsizlik Nerelerde Ortaya Çıkar?

Uygulamalarda

Şu sorulara net cevap verilemiyorsa, o uygulama yönetsel olarak sahipsizdir:

  • Bu uygulamanın iş sahibi kim?
  • Kritik mi?
  • Kapatılabilir mi?
  • Risk iştahı nedir?

Bir sistem teknik olarak çalışıyor olabilir; ancak sahipliği net değilse yönetilemez.

Yetkilerde

Yetkiler tanımlanır; ancak çoğu zaman:

  • Ne zaman geri alınacağı belli değildir.
  • Kim tarafından, ne sıklıkla gözden geçirileceği net değildir.
  • Onay mekanizmaları izlenebilir değildir.

Sonra şu soru sorulur: “Bu kullanıcının neden hâlâ erişimi var?” çünkü erişimin sahibi yoktur.

Politikalarda

Politikalar yayımlanır. Ancak uygulama aşamasında şu sorular cevapsız kalır:

  • Kim izler?
  • Kim ölçer?
  • Kim ihlal kararı verir?
  • Kim yaptırım uygular?

Bu soruların cevabı “bir yerde yazıyordur” ise, o politika kâğıt üzerinde vardır, işletilmiyordur.

Sahiplik Olmadığında Ne Olur?

Sahiplik eksikliği zamanla şu sonuçları doğurur:

  • Riskler ertelenir
  • İstisnalar kalıcı hale gelir
  • “Şimdilik kalsın” denilen kararlar birikir
  • Teknik borç büyür
  • Denetimler stresli geçer

Ve en tehlikelisi: Herkes bir başkasının ilgileneceğini varsayar. Bu durum, kurumsal ölçekte kolektif bir yanılsamaya dönüşür.

Sahiplik Neden Oluşmaz?

Sahiplik problemi genellikle şu nedenlerden kaynaklanır:

  • Rol Tanımlarının Belirsizliği

Unvanlar vardır; ancak sorumluluklar net değildir.

  • Risk Kabul Mekanizmasının Olmaması

Kim risk kabul eder? CIO mu, iş birimi mi, üst yönetim mi? Net değilse, risk fiilen askıda kalır.

  • Güvenliğin “Tek Sorumlu” Gibi Algılanması

Teknik kontrolleri güvenlik kurduğu için, riskin de onun tarafından yönetildiği varsayılır.

  • Hesap Verebilirlik Kültürünün Zayıflığı

Karar alırken isim yazılmaz; sorun çıktığında sorumlu aranır.

Güvenlikte Sahiplik Nasıl Kurulur?

Bu problem teknik değil; kültüreldir. Dolayısıyla çözüm de yönetişim temellidir.

1- Varlık Sahipliği (Asset Ownership) Tanımlanmalı

Her varlık için roller netleştirilmelidir:

  • Veri Sahibi: Verinin sınıflandırmasını ve kullanım amacını belirler
  • Sistem Sahibi: Uygulamanın iş kararlarını verir
  • Süreç Sahibi: Sürecin riskini ve kontrollerini yönetir

Bu roller yalnızca isimle değil, RACI matrisi ile tanımlanmalıdır.

2- Risk Kabul Mekanizması Oluşturulmalı

Her kritik risk için şu sorular cevaplanmalıdır:

  • İş etkisi nedir?
  • Risk iştahı nedir?
  • Kim kabul eder?
  • Kabul süresi ne kadardır?

Risk kabulü yazılı, süreli ve gözden geçirilebilir olmalıdır. “Süresiz istisna”, aslında kalıcı risktir.

3- Yetki Gözden Geçirme Mekanizması Kurulmalı

  • Periyodik erişim kontrolleri yapılmalı
  • İş birimi onayı alınmalı
  • Otomasyon kullanılmalı

Yetki gözden geçirme sürecinin sahibi IT değil, iş birimleri olmalıdır.

4- Güvenlik Ekibinin Rolü Netleştirilmeli

Güvenlik ekipleri:

  • Riskleri görünür kılar
  • Kontrol çerçevesini oluşturur
  • İzler ve raporlar

Ancak riskin iş kararını vermez.

5- Üst Yönetim Sahipliği Olmalı

Gerçek sahiplik kültürü yukarıdan başlar.

Eğer yönetim:

  • Risk kabulünü imzalıyorsa
  • İstisnaları onaylıyorsa
  • KPI’lara güvenlik metrikleri ekliyorsa

Sahiplik kurumsallaşır.

Denetimlerde En Net Görülen Gerçek

Denetimlerde yalnızca teknik açıklar sorgulanmaz. Şu sorular mutlaka sorulur:

  • “Bu riski kim kabul etti?”
  • “Bu istisnanın süresi neden dolmuş?”
  • “Bu uygulamanın iş sahibi kim?”

Teknik olarak her şey düzgün olabilir. Ancak bu sorulara net cevap verilemiyorsa, denetçi için asıl risk budur.

Sahipsiz risk yönetilemez.

Sonuç: Sahiplik Olmadan Güvenlik Olmaz

Bilgi güvenliği;

  • Politika yazmakla
  • Sistem kurmakla
  • Uygulama satın almakla

tek başına sağlanmaz. Güvenlik, ancak sahibi olan risklerle yönetilebilir. Belki de sorulması gereken en kritik soru şudur:

“Bu risk gerçekleşirse, kim ‘benim’ diyecek?”

Eğer bu soruya net bir isim verilemiyorsa, problem teknik değil, yönetseldir. Ve yönetsel riskler, teknik risklerden çok daha fazla yıkıcı olabilir.

 

Related Posts