Menu
Varlık Envanteri Yönetimi

Varlık Envanteri ve Varlık Yönetimi: Bilgi Güvenliğinin Temeli

Varlık Envanteri ve Varlık Yönetimi: Bilgi Güvenliğinin Temeli

Bilgi güvenliği konuşulurken çoğu zaman siber saldırılar, zararlı yazılımlar veya veri sızıntıları gündeme gelir ancak bu risklerin tamamının ortak bir sorusu vardır: “Neyi koruduğumuzu gerçekten biliyor muyuz?” İşte bu sorunun cevabı, varlık envanteri ve varlık yönetimi ile verilir çünkü envanteri olmayan bir kurum, aslında neyi kaybedebileceğini de bilmiyor demektir. Zararlı zafiyet çıkmış olabilir ama asıl soru bu zafiyetten etkileniyor muyuz? Bunun için en etkili yöntem elimizdeki varlıkları bilmektir.

Varlık Nedir?

Varlık; kuruma değer katan, iş süreçlerinin devamlılığı için kritik olan her şeydir. Bu sadece sunucu veya bilgisayar anlamına gelmez. Örneğin:

  • Bilgi varlıkları (müşteri verileri, finansal kayıtlar)
  • Fiziksel varlıklar (sunucular, dizüstü bilgisayarlar)
  • Dijital varlıklar (uygulamalar, veritabanları, API’ler)
  • İş Süreçleri
  • İnsan kaynağı bilgisi
  • Üçüncü taraf sistem ve hizmetler
  • Yapay zekâ modelleri ve eğitim verileri

Kısacası değerli olan her şey bir varlıktır.

Varlık Envanteri Nedir?

Varlık envanteri, kurumda bulunan tüm varlıkların tekil, güncel ve merkezi bir kayıt altında tutulmasıdır. Bu envanter sayesinde kurum; hangi varlıklara sahip olduğunu, bu varlıkların kim tarafından yönetildiğini, ne kadar kritik olduklarını, hangi risklere açık olduklarını net bir şekilde görebilir.

İyi Bir Varlık Envanteri Nasıl Olmalı?

Sağlıklı bir varlık envanteri sadece liste değildir. En az aşağıdaki bilgileri içermelidir:

 Temel Envanter Bilgileri

  • Varlık adı ve tanımı
  • Varlık türü (donanım, yazılım, veri, hizmet vb.)
  • Varlık sahibi (owner)
  • Varlık Muhafızı (custodian)
  • İlgili iş süreçleri

 Güvenlik ve Risk Bilgileri

  • Gizlilik, bütünlük ve erişilebilirlik seviyesi
  • Varlık kritiklik derecesi
  • İşlenen veri türleri (kişisel veri, finansal veri vb.)
  • Mevzuat ve regülasyon kapsamı (BDDK, KVKK, GDPR vb.)

 Teknik Bilgiler

  • Barındırma ortamı (on-prem, bulut, hibrit, DMZ)
  • Üçüncü taraf bağımlılıkları
  • Yedekleme durumu
  • Loglama ve izleme bilgileri

Varlık Sahipliği Neden Önemli?

Her varlığın tek bir sahibi olmalıdır. Varlık sahibi; varlığın güncel tutulmasından, risklerinin yönetilmesinden, yetkilendirmelerin doğru yapılmasından, denetimlerde gerekli bilgilerin sağlanmasından sorumludur. Sahibi olmayan varlık, pratikte sahipsiz risk anlamına gelir!  (İlişkili yazılarım: Güvenlikte Sahiplik Problemi – PinarInfoSec )

Varlık Yönetimi Nedir?

Varlık yönetimi, envanterin oluşturulmasıyla bitmez. Aksine, asıl iş ondan sonra başlar. Varlık yönetimi; bir varlığın yaşam döngüsü boyunca (oluşturma – kullanma – değiştirme – devreden çıkarma) güvenli ve kontrollü şekilde yönetilmesini kapsar.

Etkili Bir Varlık Yönetimi Nasıl Olmalı?

Yaşam Döngüsü Yaklaşımı

Her varlık için aşağıdaki aşamalar tanımlanmalı ve süreçler yönetilmelidir.

  1. Talep-onay mekanizması (sistemi)
  2. Kurulum veya edinim bilgisi girdisi
  3. Kullanım durumu
  4. Değişiklik bilgisi (ilk kurulumdan sonra üzerinde yapılan her türlü güncelleme)
  5. Devreden çıkarma (imha, silme, erişim kapatma)

Risk Bazlı Yaklaşım

Tüm varlıklar aynı seviyede korunmaz. Kritik bir finansal sistem ile test ortamı aynı kurallara tabi olmamalıdır. Bu nedenle; yüksek kritik varlıklar için daha sıkı kontroller, daha fazla izleme ve raporlama, daha sınırlı erişim uygulanmalıdır.

Yetki ve Erişim Yönetimi

  • İhtiyaç kadar erişim prensibi uygulanmalıdır.
  • Yetkiler periyodik olarak gözden geçirilmelidir.
  • Görev değişikliği ve ayrılışlarda erişimler otomatik olarak kapatılmalıdır.

Süreklilik ve Güncellik

Varlık envanteri yaşayan bir dokümandır. Aşağıdaki durumlarda mutlaka güncellenmelidir:

  • Yeni sistem devreye alındığında
  • Mevcut sistem değiştirildiğinde
  • Buluta geçiş yapıldığında
  • Üçüncü taraf hizmet eklendiğinde
  • Varlık devreden çıkarıldığında

Denetimler ve Mevzuat Açısından Önemi

BDDK, COBIT, ISO 27001, ISO 22301, ISO 42001 gibi standartların tamamında varlık envanteri temel bir gerekliliktir. Denetimlerde genellikle şu sorular sorulur:

  • Kritik varlıklarınız neler, riskler tespit edildi mi, alınan önlemler ne?
  • Kim sorumlu, risk sahibinin haberi var mı?
  • Riskleri nasıl yönetiyorsunuz?
  • Yetkiler nasıl kontrol ediliyor?

Bu sorulara net cevap veremeyen kurumlar, teknik olarak güçlü olsalar bile denetimlerde zorlanırlar.

Sık Yapılan Hatalar; varlık sahibini tanımlamamak, güncellenen bilgileri güncellemeyi unutmak, bulut ve üçüncü taraf varlıkları dahil etmemek, yapay zekâ kullanım bilgilerini, veri setleri ve modelleri varlık olarak görmemek bu süreçlerin en büyük hatasıdır. Varlık envanteri yönetiminde yapılan eksikliklerden veya yanlışlıklardan kaynaklı yapılan hatalar, bilgi güvenliğinin temelinde yapılan hatalar olduğu için başka hatalara da sebep olacaktır.

Sonuç

Varlık envanteri ve varlık yönetimi, bilgi güvenliğinin başlangıç noktasıdır. Neyi koruduğunu bilmeyen bir kurum, en gelişmiş güvenlik teknolojilerini kullansa bile risk altındadır.

Doğru bir varlık yönetimi; riskleri görünür kılar, denetimleri kolaylaştırır, operasyonel verimliliği artırır, güvenliği sürdürülebilir hale getirir.

Related Posts