Bilgi güvenliği bir zincir ise, bu zincirin ilk halkası kesinlikle varlık yönetimidir. Kurumlar, sahip oldukları bilgi varlıklarını tanımadan, bunları etkili bir şekilde koruyamaz ve yönetemezler. ISO 27001 gibi uluslararası standartlar da bilgi güvenliği yönetim sistemlerinin kurulmasında ilk adım olarak varlık envanterinin oluşturulmasını zorunlu kılar.

Varlık Yönetimi Nedir?

Varlık yönetimi, bir organizasyonun sahip olduğu bilgi, donanım, yazılım, ağ cihazları, veri tabanları ve diğer dijital varlıkların belirlenmesi, sınıflandırılması, izlenmesi ve korunması süreçlerini kapsar. Amaç; kritik varlıkları tanımlayarak onları potansiyel tehditlere karşı korumak ve kurumsal riskleri en aza indirmektir.

Neden Varlık Yönetimi Yapılmalı?

• Bilgi güvenliği risklerini doğru yönetebilmek için.

• ISO 27001 ve KVKK gibi düzenlemelere uyum sağlamak için.

• Varlıkların değerini bilmek ve onlara uygun koruma önlemleri almak için.

• Operasyonel verimliliği artırmak ve kaynak kullanımını optimize etmek için.

• Siber tehditlere karşı hazırlıklı olmak için.

Varlık Yönetimi Süreci Nasıl İşler?

1. Varlıkların Belirlenmesi: Donanım, yazılım, veri, insan kaynakları gibi varlıkların listesinin çıkarılması.

2. Sınıflandırma: Varlıkların gizlilik, bütünlük ve erişilebilirlik düzeylerine göre sınıflandırılması.

3. Sahiplik Atama: Her varlığa bir sahip (owner) atanması ve sorumlulukların belirlenmesi.

4. Değerleme: Varlığın iş üzerindeki etkisine ve değerine göre önceliklendirilmesi.

5. Koruma Önlemleri: Kritik varlıklar için güvenlik kontrollerinin belirlenmesi ve uygulanması.

6. İzleme ve Güncelleme: Varlık envanterinin düzenli aralıklarla gözden geçirilmesi ve güncellenmesi.

ISO 27001 ve Varlık Yönetimi İlişkisi

ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı, varlık yönetimini kritik bir kontrol alanı olarak ele alır. Özellikle A.5 kontrol başlıkları altında varlıkların envanterinin oluşturulması, sahipliğinin belirlenmesi ve uygun güvenlik önlemleriyle korunması gerektiği vurgulanır.

Varlık Envanteri Hangi Bilgileri İçermeli?

• Varlık Adı

• Türü (Donanım, Yazılım, Veri, İnsan Kaynağı vb.)

• Lokasyon

• Sahip (Owner)

• Değer ve Kritiklik Seviyesi

• Koruma Önlemleri (Şifreleme, Yedekleme vb.)

• Risk Durumu

Sık Yapılan Hatalar

• Varlıkları eksik veya yanlış tanımlamak.

• Sadece teknik varlıklara odaklanmak, iş süreçlerini göz ardı etmek.

• Envanteri bir kez oluşturup güncellememek.

• Varlık sahipliği ve sorumluluğu net tanımlamamak.

Sonuç

Bilgi güvenliğinin temeli olan varlık yönetimi, kurumların sahip olduğu değerlerin korunması için ilk adımdır. Doğru bir varlık yönetimi yaklaşımı, hem yasal uyumun sağlanmasına hem de olası siber tehditlere karşı daha dayanıklı bir yapı kurulmasına olanak tanır.

Unutmayın: “Tanımadığınız şeyi koruyamazsınız.”