Günümüzde, kişisel ve kurumsal sermayenin çoğu, bilgi tabanlı yapılara kaymakta. İtibar, tasarım, ürün reçeteleri, müşteri portföyü, ticari sır, satış kanalları, kurumsal gelişim yapısı, yenilikçilik kurumun değerini ölçmekte farklı açılımlar getirmektedir. Bina, arsa, eşya gibi demirbaşların rakamsal bir ölçümü varken, sanal görülen bilgi varlıklarının değeri ölçümü zor büyük payı oluşturmaktadır.

Bizlerden kişisel bilgileri alan bir banka, telekom kuruluşu, işletmenin kişisel bilgilerimizi çaldırdığını öğrensek, bir daha iş yapmak ister miyiz? Bu bilgileri çaldıran kuruluşa, zarara uğrayan tarafların tazminat davası açması sonrasında oluşabilecek rakamlar, çoğu zaman kuruluşun tüm varlıklarının üstünde, ölümcül bir boyuta ulaşabilmektedir.
Çözüm nedir? Gayet tabii bilgi güvenliğini sağlayacak bir yönetim sisteminin oluşturulması, sorumlulukların kişisel bağımlılıklardan kurtarılması ve etkin bir risk yönetimi.

Bilgi güvenliği ile ilgili çok sayıda disiplin olmakla birlikte uluslararası standart organizasyonun yayınladığı en bilinen disiplin ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi’dir.

Dün bizim için risk olmayan davranışlar, günümüzde risk oluşturmaktadır. Bir ölçüde paranoyalaşılan bu ortamda, risklerin yönetilmesi önem kazanmaktadır.
Kaybedilmesi, anonimleşmesi, bozulması, başka tarafların kullanımına açılması veya bizlerin kullanımının dışına çıkması durumunda ne yapacağız? Her biri ayrı bir sorun teşkil eden bu durumlara yasal gerekliliklerin de eklenmesi, sadece bireysel yaklaşımla başarımın sağlanamayacağı bir sorun öbeğini işaret etmektedir.

Kaldı ki, güvenliğin sağlanmasından daha zor olanı bu güvenliğin sürdürülebilir olmasıdır. Bu, görevlerin belirlendiği, yeterliliği sağlanmış, yeterli sayıda personelin sistemi yönetmesi için kaynak olarak tanımlanması gerekliliğini gerektirmektedir.
Yönetim sistemleri, bazı yanlış örneklere şahit olanların zannettiğinin aksine, fazladan zaman kaybı, kağıt ve kayıt işlemlerinden ibaret değildir. Sadece görev sorumlulukları yapan kişilerin, BGYS gereklerine uygun çalışma değişikliğine gitmesini içermektedir. Kazanımları çok daha üst düzeyde olduğu kurum düzeyinde de hesaplanabilir.

Çalışma değişikliğine örnek vermek gerekirse; bir satın alma uzmanı, yine satın alma yapacak, ancak tedarikçi değerlendirme ve sözleşme hazırlanmasında, müşteri ve kurum beklentilerini sağlayacak şekilde BGYS gereklerine uygun olarak bir üst seviyeye çıkacak, ayrıca tedarikçi sözleşmesi kapsamında kurum bilgilerinin güvenliğinin sağlanması, gizli bilgilerin diğer taraflara karşı korunması güvence altına alınacaktır. Hali hazırda bu işler, bir satın almacının yapması gerektiği yaklaşımlar olup, sistem yaklaşımı ile kurumsal standartların herkes tarafından aynı şekilde uygulanmasını sağlamaktadır.

Pekiyi bu çalışmalara değer mi? Ürün formüllerimiz, müşteri bilgilerimiz, yazılım kodlarımız, iş yapma metotlarımız, maliyetlerimiz gibi bilgilerin rakiplerimize geçmesi, internetimizin 2 gün çalışmadığı, müşteri dosyalarının sözleşmesi aksine diğer kişilere geçtiği durumlar, kurumların kolay kaldıramayacağı yaptırımları birlikte getirmektedir.