Genel 30 ARALIK 2008 / 11:57

Türkiye’de bilgi güvenliği yatırımları artıyor

Uluslararası denetim ve danışmanlık firması Ernst & Young’ın bu yıl 11’incisini düzenlediği ‘Küresel Bilgi Güvenliği Anketi’ sonuçları yayınlandı. Anket, Türkiye’de bilgi güvenliği yatırımları artıyor, ancak yetersiz kalıyor.

Uluslararası denetim ve danışmanlık firması Ernst & Young’ın bu yıl 11’incisini düzenlediği ‘Küresel Bilgi Güvenliği Anketi’ sonuçları yayınlandı. Anket, Türkiye’de bilgi güvenliği yatırımları artıyor, ancak yetersiz kalıyor.


Bilgi
güvenliği alanındaki mevcut duruma ve geleceğe dönük temel etkenlere ışık tutan
‘Küresel Bilgi Güvenliği Anketi’ araştırması Türkiye’nin de içinde bulunduğu 50’yi
aşkın ülke ve çeşitli sektörlerden yaklaşık bin 400 kuruluşun katılımıyla
gerçekleşti.

 

Anket
sonuçlarına göre, bilgi güvenliğinin doğru uygulanması, şirket itibarını doğrudan
etkiliyor. Katılımcıların yüzde 85’i bir bilgi güvenliği ihlali durumunda
ortaya çıkan durumun, marka kimliği ve itibarına zarar verdiğini savunurken, yüzde
72’si gelir kaybına neden olduğuna değiniyor.

 

Araştırmaya
katılan şirketlerin dünya çapında sadece yarısı, bilgi güvenliğine dönük
yatırımlara ağırlık verdiğini belirtiyor. Ancak, Türkiye’deki yöneticilere
bakıldığında, ankete katılanların yüzde 73’ünün bu yönde yatırımlarını
artırdığını ifade ettiği görülüyor. Güvenlik zaaflarının daha büyük tehditler yaratabileceğine
inanan Türk firmaları, yine de mevcut yapılan yatırımın yeterli olmadığı görüşünde
birleşiyor. Türkiye’de daha büyük bir yüzdenin, bu yatırımlara inanmasına
rağmen rakamsal veriler, Türkiye’de ‘bütçe azlığı’nın daha önemli bir sorun
olarak şirketlerin karşısında durduğuna dikkat çekiyor.

 
Söz
konusu Türk yöneticiler, bilgi güvenliğinin kağıt üzerinde bir zorunluluktan
ibaret olmadığını düşünüyor. Türkiye’deki Bilgi Güvenliği Yönetimi Sistemi’ni,
ISO 27001 gibi sertifikasyon amacı gütmeden kurduğunu belirtenlerin oranı,
ankete katılanların yarısını oluşturuyor.

 

Anketin
ortaya koyduğu sonuçlardan biri de, Türk şirketlerinin çoğunlukla ‘bilgi
güvenliği’ olgusunu salt ‘teknoloji’ sorunu olarak ele aldıkları yönünde. Genel
amaçlı bilgi sistemlerinin kurulumunda bilgi güvenliği birimleri süreçlere
büyük oranda dahil olurken, insan kaynakları sistemlerinin kurulumunda
katılımın yarı yarıya azaldığı görülüyor. Bu oran dünyada yüzde 69 iken,
Türkiye’de yüzde 53 olduğu görülüyor. Bu veriler, pek çok firmada insan kaynakları
yazılım uygulamalarının bilgi güvenliği riskleri taşıdığına işaret ediyor.

 

Araştırmanın
dünya ve Türkiye bulgularında göze çarpan diğer bir konu da ‘risk yönetimi’nin bilgi
güvenliği stratejilerinde kısıtlı bir rol oynaması. Anket katılımcılarının
dünya çapında yüzde 28’i ve Türk yöneticilerin yüzde 31’i, bilgi güvenliği ve risk
yönetimi’ sorumlularının bir araya gelmediğini vurguluyor.

 
Dünya
genelinde iş sürekliliği planlaması’nı öncelikle bilgi teknolojileri
yönetiminin sorumluluk alanı olarak değerlendirenlerin oranı yüzde 41 iken,
Türkiye ortalaması yüzde 67 olarak ortaya çıkıyor. Yine genel risk yönetimi
çerçevesinde ele alınmayan iş sürekliliği planlamasının başarısının bu nedenle
sınırlı olduğu görülüyor. Ankete katılan şirketlerin çoğunluğunun kriz yönetimi
için komuta odalarının hazır olmadığını ifade ederken, Türk şirketlerinin
yalnızca yüzde 31’inin bu konuda hazırlıklı olduğu vurgulanıyor. İş sürekliliği
planlarını sınayan firma sayısı, dünyada yüzde 26 iken, Türkiye’de yüzde 18
oranını aşamıyor.

 

Dünyaya
bakıldığında ankete katılan şirketlerin yüzde 45’inin bilgi güvenliği
çalışmalarını üçüncü partilere devretmeye başladıkları görülüyor. Yurtdışına
nazaran Türkiye’deki firmalar, hizmet satın aldıkları şirketlerin bağımsız
denetçiler tarafından verilen SAS 70 güvence raporunu almış olmalarını
beklemiyorlar ve hatta bu konuda bilinç sahibi değiller. Oysa yine rapor
gösteriyor ki, üçüncü parti firmalarıyla yapılan çalışmalarda yaşanan veri ve
bilgi kaybı olayları artıyor. Tedarikçilerden söz konusu raporu talep eden
şirketlerin dünya ortalamasının üçte biri civarında olduğu görülüyor.www.ey.com/security