Bilgi Güvenliği Stratejilerinde Güvenlik Kültürünün Etkisi

Gökay Düzay | 01 Mart 2024

İlgili Konular: Siber Güvenlik, Risk Yönetimi, Güvenlik Kültürü

Doğan Holding CISO’su Gökay Düzay, Wise TV’ye verdiği özel röportajda, kurumsal strateji oluşturmanın yalnızca teknik değil aynı zamanda kültürel bir altyapı gerektirdiğini vurguladı. Bilgi güvenliğinin tüm departmanları ilgilendiren bir sorumluluk olduğunu belirten Düzay, kültür, regülasyonlar ve üst yönetim desteğinin bu süreci nasıl şekillendirdiğini anlattı.

“Şirketlerde kurumsal strateji belirlemek için bir kültür altyapısının mutlaka olması gerekiyor çünkü bilgi güvenliği ve siber güvenlik, tek başına bir departmanın ya da tek bir kişinin sorumluluğuna bırakılacak bir operasyon değil. Bu risk, tüm şirketin kurumsal olarak karşı karşıya olduğu bir risktir. Bunu minimize etmek için tüm departmanların ve tüm paydaşların ortak hareket etmesi gerekiyor. Politikalar, prosedürler ve davranışlar, bunların hepsi bir kültür olarak adlandırılıyor. Bu kültürün oluşması zaman alıyor; nesiller değişiyor, teknolojiler değişiyor, yöneticiler değişiyor. Bu yüzden kültürü oturtmak biraz zaman alıyor. Ancak biz, bilgi güvenliği kültürünün oluşmasında regülasyonların sunduğu çerçevede güvenlik yelpazesini genişletme ve sıkılaştırma yönünde önlemler alıyoruz. Üst yönetimin desteği de bu kültürün oluşmasında çok önemli. Günün sonunda, genelde para harcayan bir departman olarak karşımıza çıkıyoruz. Yani bir yatırım yaparsınız, bir araba alırsınız, ev alırsınız gibi değil; aldığımız sistemler yazılımlar, sistem odasında ya da sanallaştırma ortamında çalıştığı için üst yönetim bunu görmüyor. Harcanan paranın karşılığını görmüyor. Başımıza bir iş gelmiyorsa, gerçekten doğru yatırımları yapmış gibi düşünerek bu kültürün oluşmasında görev almaya çalışıyoruz.”

Kurumsal Strateji ve Kültür Altyapısının Önemi
Kurumsal strateji, bir şirketin uzun vadeli hedeflerine ulaşabilmesi için belirlediği yol haritasıdır. Ancak bu stratejinin başarılı bir şekilde uygulanabilmesi için sağlam bir kültür altyapısına ihtiyaç vardır. Kültür, bir organizasyonun değerlerini, inançlarını ve davranışlarını şekillendirir ve bu nedenle stratejinin temel taşıdır. Özellikle bilgi güvenliği ve siber güvenlik gibi kritik alanlarda, kültürün önemi daha da artmaktadır.

Bilgi Güvenliği ve Siber Güvenlikte Kültürün Rolü
Bilgi güvenliği ve siber güvenlik, sadece bir departmanın ya da kişinin sorumluluğunda olmamalıdır. Bu alanlar, tüm şirketin ortak bir sorumluluğudur ve bu nedenle tüm departmanların ve paydaşların iş birliği içinde çalışması gerekmektedir. Bu iş birliği, şirketin genel kültürünün bir parçası olmalıdır.

Regülasyonların Kültüre Katkısı
Regülasyonlar, şirketlerin güvenlik standartlarını belirlemesine yardımcı olur. Bu standartlar, güvenlik kültürünün oluşmasında önemli bir rol oynar. Regülasyonlar sayesinde, şirketler güvenlik yelpazesini hem genişletebilir hem de sıkılaştırabilir.

Üst Yönetimin Desteği
Üst yönetimin desteği, kültürün oluşmasında kritik bir faktördür. Yönetim, bilgi güvenliği yatırımlarının önemini anlamalı ve bu alanda gerekli kaynakları sağlamalıdır. Bu destek, güvenlik kültürünün şirket genelinde benimsenmesine yardımcı olur.