“Güvenliğin ilk adımı, doğru insanla başlar. Ve bu süreç işe alımdan çok daha önce başlar.”

Bu Yazıda Neyi Konuşacağız?

ISO 27001’de bilgi güvenliği sadece yazılımla ya da cihazlarla değil, insanla başlar. Çünkü veri ihlallerinin çoğu, teknik sistemlerden değil, kullanıcı hatalarından ya da ihmallerden kaynaklanır. A.6 kontrol grubu tam da bu nedenle, insan unsuruna odaklanır: işe alım öncesi, görev süresi ve ayrılış sonrası.

A.6 Neleri Kapsar?

ISO 27001’in bu bölümü üç ana süreci hedef alır:

1. İşe Alım Öncesi: Adayların pozisyona uygunluğu sadece yetkinlikle değil, bilgi güvenliği perspektifiyle de değerlendirilmelidir. İş tanımlarında açıkça güvenlik sorumlulukları yer almalı.

2. Görev Süresince: Çalışanlar sadece işlerini değil, bilgi güvenliği sorumluluklarını da bilmeli. Politikalara erişimleri olmalı, eğitimlerle güncel tutulmalılar.

3. İlişkinin Sona Ermesi: Kurumdan ayrılan bir kişinin sistemlere hâlâ erişimi varsa, risk en yüksek seviyededir. Erişim iptalleri, ekipman iadesi ve gizlilik taahhütleri titizlikle ele alınmalı.

Tavsiye:

- İşe alım sürecinde teknik testler kadar güvenlik farkındalığı da sorgulanmalı.

- Her çalışanın bilgi güvenliği rolü açıkça tanımlanmalı ve belgelenmeli.

- Eğitimler periyodik değil, sürekli olmalı. Kısa içerikler, örnek vakalar daha etkilidir.

- Ayrılan her personel için “erişim temizliği kontrol listesi” oluşturulmalı.

Son Söz:

ISO 27001’in A.6 başlığı bize şunu söyler: Teknoloji ne kadar gelişirse gelişsin, güvenliğin en büyük belirleyicisi yine de insandır. Ve insanı sürecin merkezine almayan hiçbir sistem uzun ömürlü değildir.