SONUÇLAR VE DEĞERLENDİRMELER

Bu çalışmada, kurumsal bilgi güvenliğinin 

geçirilmiştir. Yüksek seviyede KBG sağlanabilmesi 

için bilgi güvenliği standartlarının bilinmesi ve 

uygulanmasının yanında güncel tehditlerin bilinmesi 

önemlidir. Bu tehditlerin tespit edilebilmesi ve 

ortadan kaldırılabilmesi için mevcut bilgi varlıklarının 

belirli aralıklarla sızma testlerine tabii tutulması 

zafiyet ve açıkların giderilmesi açısından önemlidir. 

Yüksek seviyede bir KBG sağlanabilmesi için 

teknoloji-insan-eğitim üçgeninde yönetilen bir 

yaklaşımın dikkate alınması gerektiği tespit edilmiştir. 

Yapılan diğer tespitler aşağıda sunulmuştur. 

•  Ülkemizde genellikle güvenlik politikaları 

veya onaysız bir biçimde kuruluşlar tarafından 

uygulanmakta ve çoğu kurum tarafından da “bilgi 

güvenliği yönetimi” yeterli görülmektedir. Bu yanlış 

anlamanın giderilmesi için dünya genelinde kabul 

görmüş ve uygulanabilirliği test edilmiş bilgi 

güvenliği standartları esas alınarak kuruluşların “bilgi 

güvenliği yönetimi” konusunda eksikliklerini 

gidererek BGYS kurmaları, uygulamaları ve 

belgelendirilmeleri gerekmektedir. BGYS 

çerçevesinde oluşturulacak güvenlik politikalarına, üst 

yönetim ve tüm çalışanların destek vermesi ve 

tavizsiz bir şekilde uygulanması, işbirliğinde 

bulunulan tüm kişi ve kuruluşlarında bu politikalara 

uyma zorunluluğu, kurumsal bilgi güvenliğinin üst 

düzeyde sağlanmasında önemli bir faktördür. 

•  BGYS standartlarının kurumlara uyarlanması, 

anlatılması, kullanıcı, teknik çalışanların ve 

yöneticilerin eğitilmesi konusunda kuruluşların 

bünyelerinde güvenlik uzmanları çalıştırmaları veya 

danışmanlık hizmetleri almaları gerekmektedir. 

BGYS uygulamaları, kurumlar tarafından başarılı bir 

şekilde uygulandıktan sonra kuruluşların bilgi 

güvenliğini yönettiklerine dair uluslararası alanda 

geçerli sertifikasyona sahip olmaları önemlidir. 

•  Bilgi güvenliğinin yönetilmesi bilgi güvenliğinin 

sağlandığı anlamına gelmemektedir. BGYS’nin 

kurumsal bilgi güvenliğini taahhüt ettiği seviyede 

sağlayıp sağlamadığı, sağlamıyorsa eksikliklerinin 

neler olduğu, güvenlik denetimlerinin güvenli 

biçimde kurulup kurulmadığı, güvenlik denetimlerinin 

etkin ve politikalara uygun olarak uygulanıp 

uygulanmadığı, iyi bir belgelendirme yapılıp 

yapılmadığı gibi bilgi güvenliğinin sağlanması 

açısından çok kritik olan soruları cevaplamanın tek 

yolu BGYS kapsamında belirlenen bilgi varlıklarının 

(insan faktörü, yazılımlar, donanımlar, ortamlar, vb.) 

güvenliğini “sızma testleriyle” test etmekten 

geçmektedir. 

Kurumsal bilgi güvenliğinin yüksek seviyede 

sağlanmasında sızma testlerinin katkısı çok yüksektir. 

Sızma testleri felaket başa gelmeden önce, onu 

önleyecek ve ona karşı savunulacak ihtiyaçların ve 

tedbirlerin alınmasında kullanılan önemli bir erken 

uyarı sistemidir. Bu önemden dolayı, sızma testleri 

belirli periyotlarda (bu yılda en az 2-3 kez olabilir) 

veya sistem yenilenmelerinde yapılmalı ve kurumsal 

bilgi güvenliğinin yüksek seviyede sağlanmasındaki 

rolü her zaman dikkate alınmalıdır. 

Yukarıda anlatılan hususların yanında, yüksek 

aşağıdaki hususlara da dikkat edilmesi önerilmektedir. 

Bunlar: 

•  Kurumsal bilgi güvenliğini sağlamanın dinamik 

•  Kurumsal bilgi güvenliğinin sadece teknolojiyle 

sağlanır yaklaşımından uzaklaşılarak insan-eğitim-

teknoloji üçgeninde yeni bir yaklaşımla sağlanması 

gerektiği, 

•  Uluslararası standartlara uygun olarak yapılması 

ve uygulanması gerektiği, 

•  Standartlar yüksek seviyede bir güvenliği garanti 

etse de bazen standartlarında yetersiz kalabileceği, 

•  Kurumsal bilgi güvenliği seviyesinin güncel 

durumunun belirlenmesi amacıyla iç ve dış 

ortamlardan zaman zaman bağımsız uzman kuruluşlar 

tarafından denetlenmesi gerektiği, 

•  Kurumsal bilgi güvenliğinin yönetilmesinin 

zorunlu bir süreç olduğu ve her zaman iyileştirmelere 

ihtiyaç duyulduğu ve  

•  En zayıf halka kadar güvende olunacağı 

varsayımıyla hareket edilerek gerekli önlemlerin 

alınması gerektiği 

bilinmeli ve uygulanmalıdır.