Türkiye’de bilgi güvenliği yatırımlarının hızı kesilmiyor ama Ernst & Young’ın bilgi güvenliği raporuna göre işten çıkarmalar yeni riskleri beraberinde getiriyor

07.12.09

Ernst & Young’ın 12’nci Küresel Bilgi Güvenliği Anketi, ekonomik krizde artan işten çıkarmaların şirketlere yönelik tehdit algılamasını artırdığını ortaya çıkardı. Türünün en uzun soluklu ve saygın anketleri arasında yer alan ankete katılan 61 ülkeden 1.865 kuruluşun yaklaşık dörtte üçü işten çıkarılan personelin şirkete zarar vermesinden endişe ettiğini belirtti.

Rapora göre, Türkiye’de şirketlerin yüzde 35’i ayrılan personelin bilgi güvenliği anlamında verebileceği zarardan çok endişeli. Dünyada ise bu oran yüzde 23. İşten ayrılmaların artması Türk firmalarının yaklaşık üçte birini bilgi teknolojileri kontrollerini iyileştirmeye sevk etmiş, oranlar dünyadan çok farklı değil.

Anketin sonuçlarına bakıldığında, dünya genelinde sürekli artan güvenlik riskleri ile bütçe kısıntıları arasında bir denge arandığı görülüyor. Önümüzdeki yıl güvenlik harcamalarında ilk önceliği bilgi güvenliği risk yönetimi harcamalarının alması bekleniyor.

2009’da bilgi güvenliğini sağlamanın önündeki en önemli engel olarak yeterli sayıda nitelikli insan kaynağının bulunamaması belirtilmiş, bütçe sıkıntıları ikinci sırada yer alıyor.

Ankete Türkiye’de verilen cevaplarla dünyada verilen cevaplar arasında bazı belirgin farklar göze çarpıyor. Türk şirketlerinin bazı konularda daha hızlı geliştiği ve dünya ortalamasının ilerisinde yer aldığı görülüyor.

Harcamalar Türkiye’de daha hızlı artıyor

61 ülke arasında Türkiye’nin 84 katılımcı ile 6’ncı sırada yer aldığı ankete göre, bilgi güvenliği harcamaları bizde dünya ortalamasına göre daha hızlı artıyor. Türkiye’de üretim şirketleri, bankalar, teknoloji, telekom ve sigorta şirketlerinin ilk sıraları aldığı ankete göre, “Mevzuata uyumluluk harcamaları artıyor” diyenlerin oranı yüzde 41’ken dünyada yüzde 31. ISO-27001 gibi standartlara uyumluluk harcamalarında bu oranlar sırasıyla yüzde 36 ve yüzde 26 olarak ortaya çıkıyor.

Teknoloji kullanımında dünya ile başabaşız

Bilgi güvenliği teknolojilerinin kullanımında Türk şirketleri dünya ile başabaş görünüyor ancak saldırı ve sızma testlerini uygulamada dünya ortalamasının az da olsa gerisindeyiz.

Bilgi varlıklarının yönetiminde de Türk şirketleri ileride görünüyor. Ankete katılanlar arasında tüm kritik bilgi varlıklarının envanterini oluşturup sınıflandırma yapan Türk şirketlerinin oranı yüzde 46 iken dünyada bu oran yüzde 34’te kalıyor.

Bilgi güvenliğine ilişkin kontrollerin sürekli izlenmesinde de Türk şirketleri dünya ortalamasının ilerisinde görünüyor: Türkiye’de oran yüzde 70 iken dünyada yüzde 58.

Türk şirketleri yaptıkları iş sözleşmelerinde bilgi güvenliğine önem veriyor. Tüm sözleşmelerde bilgi güvenliği maddelerine yer veren Türk şirketleri yüzde 64 iken dünya ortalaması yüzde 46. Ancak bilgi varlıklarının iş ortakları, tedarikçi ve yükleniciler tarafından nasıl korunduğuna ilişkin değerlendirme yapan veya yaptıran şirketlerin oranı dünyada yüzde 71 iken Türkiye’de yüzde 63’te kalıyor.

Bilgi sızmasına karşı alınan önlemler açısından Türkiye dünyadan çok farklı değil. Sadece evden çalışma amacıyla şirket dışına çıkarılan bilgilerin korunmasında dünya ortalamasının belirgin şekilde gerisindeyiz. Bu konuda özel kurallar uygulayan şirketlerin oranı dünyada yüzde 39 iken Türkiye’de sadece yüzde 19.

İş sürekliliğinde sıkıntı var

Türkiye’de iş sürekliliği planlarının yüzde 46’sı bilgi teknolojileri ve iletişim altyapısının kurtarılma planını içermiyor, dünyada bu oran sadece yüzde 26. Ayrıca Türkiye’de planların yüzde 73’ünde kriz ve afet yönetimi kurumları ile yapılabilecek işbirliği yer almıyor, dünyada da bu oran beklenenden çok yüksek: yüzde 62.

Bilgi güvenliği standartları önem kazanıyor

ISO 27001 standardı dünyada ve Türkiye’de en çok hedeflenen bilgi güvenliğine ilişkin standart olarak öne çıkıyor. İkinci sırayı Türkiye’de COBIT, dünyada ise ISO 27002 alıyor.

Ankete katılan Türk şirketlerinden yüzde 11’i ISO 27001 sertifikasına sahip olduğunu, yüzde 17’si bu standartla uyumlu olduğunu ama sertifika almadığını, yüzde 18’i de standart gereklerini uygulama aşamasında olduklarını belirtmiş. Toplama bakınca Türkiye ile dünya ortalaması arasında büyük fark yok. Sertifika sahipliğinde sektörleri karşılaştırınca dünyada ilk üç sırayı teknoloji, telekom ve otomotiv şirketleri alıyor.

Bilgi güvenliği organizasyonda nerede?

Anketten çıkan ilginç bir sonuç bilgi güvenliğinin organizasyonda yeri ve algılanan sorumluluklarına ilişkin. Türkiye’de ağ/sistem yöneticisi yüzde 20 ile ilk akla gelen bilgi güvenliği sorumlusu konumunda. Dünyada ise CIO yüzde 25 ile başta gelirken, ağ/sistem sorumlusu sadece yüzde 4‘de kalıyor.

Türkiye’de ve dünyada, bilgi güvenliği fonksiyonunun sorumlukları arasında bilgi teknolojileri riskleri ve iş sürekliliği ilk iki sırada yer alıyor. Türkiye’de fiziki güvenlik, dünyada bilgi teknolojileri mevzuat uyumluluğu üçüncü sırada.

Türkiye’de bilgi güvenliği sorumlularının yönetim ve denetim kurulu düzeyine erişim olanakları dünya ortalamasından daha iyi ancak bilgi teknolojileri ve risk yönetimleri ile işbirliği dünya ortalamasının altında görünüyor.

Anket sonuçları özel bir toplantıda tartışılacak

Ernst & Young 12. Küresel Bilgi Güvenliği Anketi’nin sonuçları, 10 Aralık’ta ankete katılan şirketlerin katılacağı bir toplantıda değerlendirilecek ve iyileştirme için öncelikler tartışılacak.