Professional Documents
Culture Documents
1376 Published
1376 Published
Öz
Bu çalışmanın amacı, bir üniversite hastanesinde, study, gives information on basic policies and proce-
planlama, uygulama ve iyileştirme aşamalarıyla top- dures of hospital information security management
lamda üç yıl süren Bilgi Güvenliği Yönetim Sistemi ku- system, discusses applied methods, encountered tech-
rulum süreci tecrübelerimizi ve ulaştığımız sonuçları, nical and administrative difficulties and points how
yöneticilere rehber olabilecek uygulamalı bir örnek ola- these challenges were managed through the example of
rak literatüre kazandırmaktır. Bu çalışmada; hastane- a successful application and informs about establishing
de oluşturulan temel bilgi güvenliği yönetimi politika stages of institutional information security culture and
ve prosedürleri hakkında bilgi verilmekte, uygulanan awareness and compares the attitude of the hospital’s
yöntemler ile karşılaşılan teknik ve yönetimsel zorluk- information security before and after the establish-
lar ve bu zorlukların nasıl üstesinden gelinebileceği ment of the system.
başarılı bir uygulama örneği üzerinden tartışılmakta,
kurumsal bilgi güvenliği kültürü ve bilinci oluşturma Keywords: Information Systems Management,
aşamaları ile sistem kurulmadan önce ve sonra hasta- Information Resources Security, Information Security
nenin bilgi güvenliği seviyesinin durumu karşılaştır- Processes, IT Management
malı şekilde aktarılmaktadır.
Yrd. Doç. Dr. Yusuf Yalçın İleri, Necmettin Erbakan Üniversitesi Sağlık Bilimleri Fakültesi, yusuf.ileri@gmail.com
sbd.anadolu.edu.tr 55
Örgütlerde Bilgi Güvenliği Yönetimi, Kurumsal Entegrasyon Süreci ve Örnek Bir Uygulama
müşterilerin kuruma ve kurumun bilişim altyapısına rülebilirliğini sağlamak amacıyla sahip olduğu ürün,
güveni olumsuz yönde etkilenecektir. Bu noktada, pazar, teknoloji ve organizasyona ait bilgilerin tümü
kurumlarda bilgi güvenliği yönetiminin bir sistem bilgi varlıkları olarak kabul edilebilir (Baykara vd.,
olarak ele alınması ve kurumsal ve toplumsal seviye- 2013, s. 232). Bilgi güvenliği yönetimi, bu bilgilerin,
de bilgi güvenliği kültürünün oluşturulması büyük güvenli bir bilgi işleme platformu oluşturulmasıyla
önem taşımaktadır. saklanması ve taşınması esnasında bütünlüğünün ve
doğruluğunun bozulmadığından emin olmak (Can-
Bilgi güvenliği yönetiminde amaç; olayları meydana bek ve Sağıroğlu, 2006, s.168), yetki verilen kişilerin
gelmeden önce öngörebilmek ve önleyici tedbirler bu bilgilere her an kesintisiz ulaşabilmesini sağlamak
almak, önlenemeyen olaylar meydana geldiğinde ise, (iso27001bilgiguvenligi.com, 2015), bilgi kaynakla-
en az zararla en kısa zamanda normal çalışma şart- rına karşı risk analizi ve derecelendirmesi yapmak,
larına geçebilmektir. Bunun için, uygulanabilecek en varlık, açıklık ve tehdit temelli düzeltici ve iyileştirici
etkili süreçlerin belirlenmesi ve kurumun bu süreç- faaliyetlerde bulunmak (bilgiguvenligi.gov.tr, 2015),
leri uygulayabilecek bilgi, kültür ve yetkinliğe sahip yaşanan bilgi güvenliği olaylarından ders çıkarmak
olması gerekmektedir. Ayrıca, kurumlarda işletilecek ve yeniden oluşmasını önlemek (He vd., 2014, s. 525)
bilgi güvenliği yönetim sürecinin politika ve prose- gibi işlemlerin kurum bilgi yöneticisi liderliğinde
dürlerinin oluşturulması, düzeltici ve geliştirici faa- (Sağsan, 2007, s. 107) belli bir sistem dahilinde yü-
liyetler ile sistemin sürekli iyileştirilmesi, yönetimsel rütülmesidir.
süreçlerle ilgili tüm kayıtların tutularak kurumsal bil-
gi güvenliği hafızasının ve kültürünün oluşturulması Alınabilecek teknik güvenlik önlemlerinin seviye-
sağlanmalıdır. sindeki gelişmelere rağmen bilgi kaynaklarına karşı
yapılan saldırıların bilgi sistemleri üzerinde yüksek
Kurumsal bilgi kaynaklarının güvenliğinin sağlan- derecede etki yapan hasarlara neden olması, teknik
ması ulusal siber güvenliğimizin sağlanmasına da yöntemlerin tek başına bilgi güvenliğinin sağlanma-
öncülük edecek ve bireylerden başlayarak tüm top- sında yetersiz olduğunu göstermektedir. Bu durum,
luma kadar yayılan bilgi güvenliği farkındalığının bilgi güvenliğinin, insan faktörünü de gözönüne alan
oluşturulmasına fayda sağlayacaktır. Toplumda ve karmaşık idari çözüm ve önlemleri gerektiren ve yö-
kurumlarımızda artan bilgi güvenliği farkındalığı netilmesi zorunlu bir süreç halinde ele alınması ge-
ise, ürettiğimiz bilginin ve ticari sırların gizliliğini rekliliğini ortaya koymaktadır (Tekerek, 2008, s. 132;
ve güvenliğini garanti altına alacak, bilgi kayıpları- Cavalli vd., 2004, s. 298).
nın oluşturduğu iş, zaman, para ve moral kayıplarını
azaltacak, ülkemizin teknolojik bilgi birikimi sürecini Kurumsal bilgi kaynaklarını zafiyete uğratmak, ku-
hızlandıracak, zamanla bir sinerji ve bilinç oluştura- rumlara doğrudan veya dolaylı olarak zarar vermek,
rak, özellikle genç nesilleri katma değer yaratan ile- sistemlere izinsiz girerek işleyişlerini aksattırmak,
ri teknolojiye dayalı ürün ve hizmetleri geliştirmeye durdurmak, çökertmek gibi kötü niyetle yapılan tüm
sevk edebilecek ve ülkemizin kalkınmasına yardımcı saldırı girişimleri (Canbek ve Sağıroğlu, 2006, s. 169)
olacaktır. ile ticari sırların çalınması (Eminağaoğlu ve Gökşen,
2009, s. 2), finansal kayıplar, itibar kayıpları (Tekerek,
2008, s. 132), hizmetlerin sunulamaması veya aksa-
Bilgi Güvenliği Yönetimi ması (Vural ve Sağıroğlu, 2007, s. 192) gibi tehlikelere
Bilgi güvenliği yönetimi, kurumsal bilgi kaynakları- karşı yöneticilerin en güçlü silahları bilgi güvenliği
nın farkına varma, bu kaynaklara her türlü denetim- yönetim sistemlerini tüm iş süreçlerine entegre et-
siz erişimi engelleme, risk analizleri yaparak bilginin mek ve kurumsal bilgi güvenliği kültürünün oluşma-
gizliliğinin ve bütünlüğünün korunması için gerekli sını sağlamak olacaktır.
idari ve teknik önlemleri alma ve tüm iş süreçlerini
bilgi güvenliği politikaları doğrultusunda düzenleye- Kurumlarda elektronik sistemlerin kullanılması,
rek yönetme işlevidir. kağıt üzerinden yapılan işlemlere göre erişim yetki-
lerinin ve olaylarının çok daha kolay yönetilmesi-
Bir kurum veya kuruluşun kar etmek, katma değer ni sağlamaktadır (Bartlett vd., 2008, s. 66; NEHTA,
sağlamak, rekabet oluşturmak ve kurumsal sürdü- 2007). Elektronik sistemlere geçilmesiyle birlikte,
56
Cilt/Vol.: 17 - Sayı/No: 4 (55-72) Anadolu Üniversitesi Sosyal Bilimler Dergisi
kullanıcılar tam ve güvenilir bilgiye zamanında, hızlı venli erişim seçeneklerinin tercih edilmemesi, hesap
ve kesintisiz (Şahin, 2008, s. 158) şekilde erişebilmeyi sahiplerinin genellikle zayıf parolalar kullanmaları
talep etmektedirler. Bu noktada devreye giren bilgi veya parolalarını başka kişilerle paylaşıyor olmaları,
güvenliği yönetim sistemlerinin temel amacı, bilgi birçok kurumumuzda görevi değişen veya işten ay-
kaynaklarında gizlilik, bütünlük ve yetki bazında eri- rılan personellerin kapatılmamış hesapları ile işlem
şimi sağlamaktır (Cavalli vd., 2004, s. 298). yapabilmeye devam edebilmeleri ve bilgi kaynakla-
rına karşı saldırılarda sorumluların ve olayların de-
Bilgi güvenliği yönetimi sürecinde yapılan planlama- taylarının tespit edilememesi gibi durumlarla sıklıkla
lar kurumsal ve sektörel dinamikleri göz önüne alma- karşılaşılmasının yanı sıra kamu kurumlarınca yayın-
lıdır. Örneğin, sağlık sektöründe yapılan çalışmalar, lanan bazı listelerde kişilere özel ayrıntılı bilgiler bu-
sağlık çalışanlarının; değişime karşı korku (Sultan lunması ve birtakım bilgilerin uygun olan zamandan
vd., 2014, s. 182), inanç, kuşku, motivasyon, kişisel önce açıklanması vb. ülkemizde yaşanan bilgi güven-
gelişim isteği (Holden, 2011, s. 193-203; Yucel vd., liği olaylarından bazılarıdır. Ayrıca, birçok kurumda
2011, s. 1212; Fernando ve Dawson, 2009, s. 821; Wa- özellikle bilgi kaynaklarına erişim ve yetkilendirme
kefield vd., 2007, s. 885-890), değişimi gerektiren ne- konularında büyük bir bilgi eksikliği göze çarpmakta,
denleri tam olarak anlayabilme (Pagliari, 2005, s. 98- bilgi kaynaklarına yönelik tehditlerde sorumluların
103), sistemlerin erişim ve kullanım kolaylığı (Chen tespitinde yaşanan zorluk ve zafiyetler bilgi kaynak-
and Hsiao, 2012, s. 810) gibi nedenlerle yeni kurul- larının güvenliğinin yeterli ölçüde izlenemediğini ve
maya çalışılan sistemlere karşı direnç gösterdiklerini erişimlerin standartlara uygun şekilde kayıt altına alı-
(Khalifa, 2013, s. 336) belirtmektedir. Bununla birlik- namadığını göstermektedir.
te, sağlık sektöründe bilgi güvenliğine yönelik çalış-
malar, hastanelerde sağlık personelinin otomasyon Yukarıda verilen örnekler, kurumlarımızda bilgi kay-
sistemleri erişim şifrelerini sıklıkla diğer çalışanlarla naklarının güvenliğine önem verilmediğine, halkı-
paylaştığını, bunun ise, işlemlerin aslında kim tara- mızın bilgi güvenliği konusunda yeterli bilgi sahibi
fından yapıldığının bulunmasını zorlaştırdığını orta- olmadığına dolayısıyla ülke olarak kurumlar ve va-
ya koymaktadır (Fernando ve Dawson, 2009, s. 823; tandaşlarıyla beraber siber tehditlere karşı hazırlıksız
Medlin ve Caizer, 2007, s. 40-45; Timmons, 2003, s. olduğumuza dair önemli ipuçlarıdır.
257-260; Williams, 2008, s. 211-214). Dolayısıyla, bil-
gi güvenliği yönetim sisteminin çalışanlar tarafından Kurumlarda bilgi sistemlerinin güvenliğinin sağlana-
sahiplenilmesi ve bilgi güvenliği kültürünün kuruma maması sonucu sıklıkla yaşanan sistem kesintilerinin
yerleştirilebilmesi için yöneticiler, sistemin temel ge- iş süreçlerini olumsuz yönde etkilediği, veri kayıpları-
rekliliklerini yerine getirirken sektörel ve organizas- nın ve bilgi hırsızlıklarının ciddi ekonomik kayıplara
yonel değişkenlere de gerekli önemi vermelidirler. neden olduğu aşağıdaki tabloda da açıkça görülmek-
tedir (PWC, 2015, s. 8).
Türkiye’de ve Dünyada Bilgi Güvenliği Kurumlarına bilgi güvenliği yönetim sistemlerini en-
Çağımızda, ülkelerin sıklıkla karşılaştıkları siber bil- tegre etmek isteyen orta kademe yöneticilerin %56’sı
gi hırsızlığı olaylarına karşı güvende olabilmeleri ve en çok güçlük çektikleri konunun bilgi güvenliği nok-
ulusal bilgi güvenliklerinin sağlanması, bilgi güvenli- tasında kurumsal kültürün değiştirilmesi, %18’i ise
ği yönetim sistemlerinin öncelikle kurum ve kuruluş- üst yönetimin desteğinin sağlanması olduğunu bil-
lara uygulanması ile mümkün olabilecektir. dirmişlerdir (CE, 2008, s. 8). Kurumsal bilgi güvenli-
ği kültürünün oluşturulmasının yönetimsel desteğin
Ülkemizde, özel sektör veya kamuda hizmet veren yanında belli bir zaman, eğitim ve özümseme gerek-
kuruluşların ürettikleri bilgiyi koruyamamaları, üre- tirdiği açıktır ancak üst yöneticilerin desteğinin bu
tilen yeni teknoloji, süreç ve yöntemlerin siber casus- noktada henüz yeterli seviyede olmaması konunun
luk taktikleriyle yabancı kaynakların eline geçmesine öneminin tam olarak anlaşılamadığını göstermekte-
neden olmaktadır. Bilgi kaynaklarına erişimde gü- dir.
sbd.anadolu.edu.tr 57
Örgütlerde Bilgi Güvenliği Yönetimi, Kurumsal Entegrasyon Süreci ve Örnek Bir Uygulama
Tablo 1. Dünyada, Bilgi Kaynaklarına Yönelik Güvenlik Olayları Sonucu Kurumların Tahmini
Yıllık Ortalama Ekonomik Kayıpları
Kurum Büyüklükleri 2013 2014
Aşağıdaki tablo, Avrupa ülkeleri arasında ülkemizin oldukça gerisinde olduğumuz anlaşılmaktadır. Yine,
bilgi güvenliği yönetim sistemi noktasında bulundu- 2014 yılı istatistiklerine bakarak, Dünyada en büyük
ğu yeri göstermesi açısından önem taşımaktadır. Ül- 13. ekonomi olan İspanya ile en büyük 18. ekonomi
kemiz, 2014 yılı başı itibariyle, 51 Avrupa ülkesi ara- olan Hollanda’nın kurumlarının sahip olduğu bilgi
sından bilgi güvenliği sertifikasına sahip en çok ku- güvenliği sertifikası sayıları, 16. en büyük ekonomiye
rumu olan 11. ülke konumundadır. Bununla birlikte, sahip olan ülkemizden (IMF, 2014) oldukça fazla ol-
Avrupa’da, bilgi güvenliği yönetim sistemine sahip duğu göze çarpmaktadır.
en çok kurumu olan ülke konumundaki İngiltere’nin
58
Cilt/Vol.: 17 - Sayı/No: 4 (55-72) Anadolu Üniversitesi Sosyal Bilimler Dergisi
Tablo 3. İş Süreçlerine BGYS Entegrasyonu Yapan Kurumların Sayısında Yıllık Artış Oranları
Yıllar 2010 2011 2012 2013
Tablo 3’de görüldüğü gibi, ülkemizde, bilgi güvenliği rum yöneticilerine yol gösterebilecek ve ülkemizin
yönetim sistemini iş süreçlerine entegre eden kurum- bilgi güvenliği noktasında gelişimine katkı yapabi-
ların sayısındaki yıllık yüzdesel artış, son dört yılın lecek bu çalışmanın literatürümüze kazandırılması
üçünde Dünya ve Avrupa’daki ortalama artışların hedeflenmektedir.
üzerinde gerçekleşmiştir. Ancak, listede daha üst sı-
ralara çıkabilmek için bu büyüme oranlarının yeterli Bilgi güvenliği yönetim sistemi entegre edilen hasta-
olmadığı anlaşılmaktadır. ne 1200 yataklı tam teşekkülü bir üniversite hastanesi
olup tam elektronik otomasyon sistemine sahiptir.
Ülkemizin bilgi güvenliği noktasında arzu edilen se- Hastane otomasyon sisteminde aynı anda yaklaşık
viyelere ulaşabilmesi, dünyadaki teknolojik değişime 2000 kullanıcı işlem yapabilmektedir ve hastanedeki
ayak uydurabilmesi, siber ataklara ve hatta siber savaş- tüm tıbbi ve idari süreçler otomasyon sistemleri yar-
lara hazırlıklı olabilmesi öncelikle kurumlarının bilgi dımıyla işlemektedir. RBS (Radyoloji Bilgi Sistemle-
güvenliği sistemlerini iş süreçlerine entegre etmeleri ri), LBS (Laboratuvar Bilgi Sitemleri), dijital arşiv gibi
ve bilgi güvenliği noktasında kurumsal kültürlerin tüm birimleri hastane otomasyon sistemiyle entegre
yerleştirilmesi ile mümkün olacaktır. Bilgi güvenliği çalışmaktadır. Tüm radyolojik cihazlardan alınan di-
yönetim sistemlerini uygulayan kurumlarımızın ise, jital görüntüler hastane sunucularında saklanmakta
beklenmeyen durumlara hazırlıklı olabilmeleri ve ve hastaların tedavi öncesi randevu almalarını sağla-
çevik hareket edebilmeleri için sistemlerini bağımsız yan elektronik randevu sisteminden taburcu oldukla-
kuruşların düzenli denetiminden geçirmeleri, önleyi- rı ana kadarki tüm medikal süreçler elektronik bilgi
ci ve geliştirici faaliyetlerini hazırlanan raporlara göre ortamı üzerinden yürütülmektedir.
sürekli güncellemeleri büyük önem taşımaktadır.
Sağlık sektöründe faaliyet gösteren kurumlar, 7 gün
24 saat kesintisiz hizmet verirlerken, bu kurumların
Bilgi Güvenliği Yönetim Sisteminin veritabanlarında biriken bilgi miktarı çok hızlı bir
Sağlık Sektörü Örneğinde Kurulum şekilde artmaktadır. Bununla birlikte, tutulan veri-
Süreçleri ler değerini hiçbir zaman kaybetmemekte, sağlık
Bilgi güvenliği yönetim sistemlerinin bir kuruma hizmetlerinin yapısı gereği, bir hastanın tedavi süre-
entegre edilmesi ciddi bir çalışma, araştırma ve za- ci geçmiş tıbbi işlemlerinden etkilendiğinden uzun
man gerektirmektedir. Bu çalışmadaki amacımız, üç yıllar önceki bilgilere bile her an ulaşılabilme isteği
yıllık yoğun bir kurumsal çalışma ile bilgi güven- ve gereği doğabilmektedir. Hastanelerde, otomasyon
liği yönetim sistemini kurduğumuz Tıp Fakültesi sistemlerinde kayıt altında tutulan on binlerce has-
Hastanesi’nde yaşadığımız tecrübelerin, sistemin ku- tanın medikal verileri ile yüzlerce idari sürecin her
rulma ve geliştirme aşamalarının, karşılaşılan zorluk- türlü çıktısının yanında, ofis otomasyon sistemleri,
ların, kurumsal bilgi güvenliği kültürünün oluşturul- kullanılan tüm tıbbi cihazlar ve diğer tüm elektronik
ması için geliştirilen süreçlerin ve elde dilen sonuçla- aletler ile otomasyon sistemlerine doğrudan kayde-
rın sunulmasıdır. Böylelikle, bilgi güvenliği yönetim dilemeyen ve fiziksel ortamlarda tutulan her türlü
sistemlerini iş süreçlerine entegre etmek isteyen ku- veri hastanelerin bilgi kaynaklarını oluşturmaktadır
sbd.anadolu.edu.tr 59
Örgütlerde Bilgi Güvenliği Yönetimi, Kurumsal Entegrasyon Süreci ve Örnek Bir Uygulama
ve bu çalışmada ilgili hastanede kurulmuş olan bilgi önem derecelerine göre sınıflandırılmıştır. Her bilgi
güvenliği yönetim sistemleri, bilgi kaynakları ile tıbbi kaynağına yönelik; tehlike oluşturabilecek açıklık-
ve idari süreçlerin tamamının gizliliğinin korunma- ların ortaya çıkma ihtimali, açıktan faydalanması
sından sorumludur. mümkün olan olgular, bilgi kaynağının kurum için
önem derecesi, açığın ortaya çıkması için oluşma-
sı gereken koşullar ile tehlikeye karşı o anda cevap
Kurumda BGYS Kapsamında Oluşturulan verebilecek ve sonrasında raporlayacak takımların
Politika ve Prosedürler kimlerden oluştuğu gibi bilgileri içeren analizler ya-
Hastane bünyesinde kurulan bilgi güvenliği yönetim pılmıştır.
sisteminin çerçevesi; gizlilik, bütünlük, kullanılabilir-
lik, erişim denetimi ve kontrol süreçlerini kapsayan 5 Analizleri takiben bilgi güvenliği yönetim süreçlerini
temel politika ve bu politikaları yürüten 22 prosedür detaylandıran toplam 22 prosedür oluşturulmuştur.
ile belirlenmiştir. Hastane içerisindeki bilgi kaynaklarını ilgilendiren
her türlü işlem, ürün veya hizmetin, üretilmesi veya
Bilgi güvenliği politikaları, kurumsal bilgi güvenliği satın alınıp kurulması ve faaliyete geçirilmesinden,
amaç ve hedeflerini içeren, çalısanların görev ve so- çıktıların elde edilmesi, saklanması ve yedeklenmesi-
rumlulukları ile gerekli yönetimsel denetim meka- ne kadar tüm hastane süreçlerinin bilgi güvenliği gö-
nizmalarını belirleyen, kurumun yapısına ve kültürü- zetilerek yapılmasını sağlayan bu prosedürlerin listesi
ne uygun kurallar bütünü şeklinde hazırlanmıştır. Eş ve kısa açıklamaları aşağıdaki tabloda verilmiştir.
zamanlı olarak, hastane bilgi kaynakları belirlenerek
Veri Kontrolü Hastane otomasyon sistemi ile RBS, LBS ve dijital arşiv birimlerinden gelerek
veritabanında saklanan verilerin günlük, haftalık, aylık kontrol ve bakım
Prosedürü
kurallarını düzenler ve ilgili süreçleri ayrıntılı biçimde açıklar.
Hastanenin bilgi kaynaklarını ilgilendirebilecek malzeme, hizmet ve demirbaş
taleplerinin satın alma öncesi ön değerlendirmelerinin kontrollü şekilde
Satınalma Prosedürü yapılabilmesi için kurulan Ön Değerlendirme Komisyonu’nun işleyişini
tanımlar.
60
Cilt/Vol.: 17 - Sayı/No: 4 (55-72) Anadolu Üniversitesi Sosyal Bilimler Dergisi
sbd.anadolu.edu.tr 61
Örgütlerde Bilgi Güvenliği Yönetimi, Kurumsal Entegrasyon Süreci ve Örnek Bir Uygulama
62
Cilt/Vol.: 17 - Sayı/No: 4 (55-72) Anadolu Üniversitesi Sosyal Bilimler Dergisi
Bilgi güvenliği yönetim sistemi kurulmadan önce olmaları için bu konuda profesyonel destek veren ku-
birim yöneticileri ile düzenlenen toplantılar ve çalı- ruluşlardan teknik eğitim almaları sağlanmıştır. Or-
şanlarla yapılan anketler genel olarak kurum çalışan- taya çıkan problemlerin çözülme süreleri takip edi-
larının bilgi sistemlerine olan yatkınlıklarını ortaya lerek bilgi işlem personelinin etkinliği sürekli olarak
çıkarmıştır. Bilgi güvenliği ve bilgiyi koruma yolları kontrol altında tutulmuştur.
ile denetimli erişim ve yetkilendirilmiş kullanım gibi
konularda personelin çok kısıtlı bilgiye sahip olduğu Kurumda, bilgi güvenliği yönetim sisteminin gerek-
hatta bazılarının yanlış bilgiler nedeniyle yanlış uy- liliklerinden olan (USGT, 2011, s. 23), biri sistem
gulamalara yöneldikleri belirlenmiştir. Bu noktada sorumlusu biri de bilgi güvenliği sorumlusu olmak
gözlemlenen ihtiyaca binaen hastane bünyesinde üzere iki uzman personel arasında yetki ve sorumlu-
kurulan “Bilgi Sistemleri Eğitim Birimi”, eğitim pro- luklar paylaştırılmış ve birbirlerinin yerlerine gerekti-
sedürlerinde belirlenmiş hedeflere ulaşılıncaya kadar ğinde vekalet edebilecekleri şekilde bir organizasyon
tüm hastane çalışanlarına yönelik yoğun eğitim prog- yapısı oluşturulmuştur. Bilgi güvenliği uzmanları-
ramları düzenlemekle görevlendirilmiştir. Bu birim nın görev tanımlarında öncelikli ve ikincil yetki ve
hastane yönetimini temsilen bir hastane müdür yar- sorumluluklar detaylı şekilde belirlenmiştir. Başta
dımcısı, iki bilgisayar mühendisi (kurum sistem so- bilgi güvenliği uzmanları olmak üzere, hastane bilgi
rumlusu ve kurum bilgi güvenliği sorumlusu), dört güvenliği yönetimi noktasında birbirini yedekleyen
hastane bilgi sistemleri uzmanı ve hastanenin eğitim personellerin eğitim planlarına özel önem verilmiş ve
hemşirelerinden oluşturulmuştur. görev tanımlarında belirtilen birincil ve ikincil görev-
lerinin tamamını yerine getirebilmeleri için gerekli
Kurumun ve çalışanların bilgi güvenliğine gerekli eğitimleri almaları sağlanmıştır.
önemi vermesi, bilginin her türlü süreçte korunabil-
mesi, kurumsal yeterliliğin ve kültürün oluşturulma- Tablo 5’de hastane çalışanlarına BGYS kapsamında
sı gibi amaçlarla gerekli eğitimler düzenli olarak dok- verilen yıllık eğitim süreleri gösterilmiştir. Her yıl bu
tor, asistan, hemşire, tıbbi tekniker/teknisyen, büro konuda uzman 6 personelin verdiği eğitimler, 3 yılın
çalışanları, sekreter, hastabakıcı ve hastane güvenlik sonunda her yıl ortalama 1217 hastane personeline
personeli de dahil olmak üzere tüm meslek grupları- yılda ortalama 23 saat seviyesinde gerçekleşmiştir.
na verilmiştir. Sağlık kurumlarının ne kadar yoğun hizmet verdikle-
ri ve sağlık çalışanlarının üzerlerindeki zaman baskısı
Özellikle Bilgi İşlem Birimi personeli ve sistem yöne- göz önüne alındığında, hastane personelinin müsait
ticilerinin bilgi güvenliği yönetimi ve bilginin korun- oldukları zamanlarda eğitim takvimi oluşturmanın
ması noktasında yeterli teknik bilgi birikimine sahip ve bu eğitimleri 3 yıl süreyle düzenli şekilde yürü-
Yıllar
Toplam Eğitmen Toplam Hedef
Eğitim Süresi Sayısı Katılımcı Sayısı Katılımcı Sayısı
sbd.anadolu.edu.tr 63
Örgütlerde Bilgi Güvenliği Yönetimi, Kurumsal Entegrasyon Süreci ve Örnek Bir Uygulama
64
Cilt/Vol.: 17 - Sayı/No: 4 (55-72) Anadolu Üniversitesi Sosyal Bilimler Dergisi
Yukarıda kısaca anlatılan işlemler biraz bürokratik ve Kurumsal bilgi kaynaklarının istenmeyen, zararlı ve
zaman alıcı süreçler gibi görünseler de yaşanılan tec- casus yazılımlara karşı korunabilmesi için hastane
rübeler göstermiştir ki; ortaya çıkan bir bilgi güvenliği ağına bağlanabilen ve veri alış-verişinde bulunabi-
zafiyetini düzeltmek ve iş ve süreçlerinin etkilenme- len tüm cihazlara güncel bir antivirüs programı ku-
den devam etmesini sağlamak çok daha fazla emek ve rulmuştur. Merkezden yönetilen antivirüs sunucu
zaman gerektirmektedir. Bu işlemlerden sonra kulla- yazılımı sayesinde, hastanede hangi cihazlarda gün-
nıcı adı ve şifresini alan çalışanlar bilgi güvenliğinin celleme yapılmadığı, hangilerine virüs bulaştığı ve
önemini ve hastane tarafından konuya verilen değeri temizlendiği, virüslerin bulaşma yolları gibi olgular
anlamış olmaktadırlar. İlerleyen zamanlarda çalışan- kolaylıkla izlenerek hastane ağı sürekli denetim al-
lara verilen bilgi güvenliği yönetimi ile ilgili eğitimler, tında tutulmuştur. Kullanıcıların cihazlara taktıkları
temel bilgi güvenliği zafiyetini gidermek, konunun taşınabilir donanımlar vasıtasıyla hastane dışı kay-
kurumsal kültür boyutunu oluşturmak ve gündem- naklı virüslerin bulaşma ihtimaline karşı, cihazların
den düşmesini önlemek için düzenlenmiştir. veri alışverişinde bulanabileceği her türlü taşınabilir
donanımın erişilebilir duruma ancak virüs taraması
Hastanenin BGYS politikasına göre; bir hastane çalı- yapıldıktan sonra geçebilmesi sağlanmıştır.
şanının mevcut erişim yetkilerinden daha fazla yetki
talep etmesi durumunda, ilgili birim yöneticisinin Hastane bilgi kaynaklarına karşı saldırıları tespit sis-
başvurusu, sistem yöneticilerinin olumlu yönde gö- temlerine büyük önem verilmiş ve hastane ağı içeri-
rüşü ve üst yönetimin oluru gibi aşamalar sırayla ta- sine giren ve çıkan elektronik trafiğin tümü firewall
kip edilmektedir. cihazları ile sürekli izlenmiş ve kontrol altında tutul-
muştur. Saldırı tespit sistemlerine ait uygulamaların
Hastaneden ayrılan veya hastane içerisinde farklı bir ürettiği kayıtlar, ilgili prosedür gereği düzenli olarak
birimde görevlendirilen personelin erişim haklarının kaydedilmiş ve incelenmiştir. Böylelikle, kurum-
kaldırılması veya güncellenmesi işlemleri de bilgiye sal bilgi kaynaklarına yönelik saldırıların tespiti ve
erişim denetimi politikasının önemli bileşenlerin- güvenlik açıklarının belirlenmesi kolaylaşmış ve bu
dendir. Hastaneden ayrılacak olan personeller iş- saldırı ve açıklıklara karşı alınan önlemlerin daha
lemlerini tamamlamak için bilgi işlem sorumlusu ve isabetli ve etkin olması sağlanmıştır. Tüm bu işlem-
sistem yöneticisinin ıslak imzalarını aldıkları formu ler, birbirlerini destekleyen geri bildirim ve denetim
insan kaynaklarına iletmeden işlemlerini tamamlaya- süreçleri içerdiğinden sistem güvenliği noktasında
mamaktadırlar. Ayrılan personelin HBYS sistemin- otomatik kontrol sağlanabilmiştir.
deki kullanıcı adı ve şifreleri iptal edilir, bilgisayar-
larına bilgi işlem merkezinde ilgili prosedür gereği Hastanenin bilgi güvenliği yönetim sistemi politika-
veri temizleme işlemi uygulanır, hastaneye ve hastane larından biri olan “erişilebilirlik” hedefi doğrultusun-
içi birimlere giriş-çıkış yaparken kullandıkları akıllı da, kullanıcılara bilgiye istedikleri zaman istedikleri
kartları geri alınır. Hastanenin BGYS politikası gere- yerden erişebilme imkanı vermek amacıyla, fiziki
ği, üç ayda bir bilgi sisteminde aktif durumdaki eri- olarak çok geniş alanlara yayılmış bir sağlık kurumu
şim hakları gözden geçirilmektedir. olmasına rağmen, hastane bir yandan kablosuz ileti-
şim sağlayabilen cihazlarla donatılmış, bir yandan da
kablosuz ağlar üzerinden yetkisiz erişimlerin önlen-
mesi için 802.1x protokolleri gibi gelişmiş kablosuz
Kurum Ağ ve Sisteminin Bilgi Güvenliği ağ güvenlik uygulamaları hayata geçirilmiştir. Dışarı-
Yönetimi Sürecine Entegrasyonu dan herhangi bir cihazın hastane ağına yerleştirilmesi
Hastanede hizmete alınacak tüm sistem ve süreçlerde, veya hastane içerisindeki mevcut cihazlara fiziksel
güvenlik bir temel tasarım aracı olarak kullanılmış ve olarak erişilerek konfigürasyonlarının değiştirileme-
bilgi güvenliği yönetimi politika ve hedeflerine uygun mesi için fiziksel ve mantıksal güvenlik önlemleri
olduğu ilgili prosedürlerle belirlendikten sonra yeni alınmıştır. Hastane içerisinde kurulmuş olan tüm ağ
sistemlere işlerlik kazandırılmıştır. Mevcut bilgi kay- anahtarları ve kablosuz ağ cihazları kilitli kutulara
nakları ve işleyen süreçler ise bilgi güvenliği yönetim yerleştirilerek fiziksel güvenlikleri sağlanmaya çalı-
sistemi amaçlarına uygun şekilde güncellenmiş ve şılmıştır. Bu cihazların mantıksal güvenlik sorunla-
yeni yatırımlarla desteklenmiştir. rı ise, entegrasyon aşamasında merkezden yönetim
sbd.anadolu.edu.tr 65
Örgütlerde Bilgi Güvenliği Yönetimi, Kurumsal Entegrasyon Süreci ve Örnek Bir Uygulama
protokollerine göre kurulmalarının verdiği avantaj ve BGYS yürütücüsü sektörel parametreleri de göz
da kullanılarak, özel güvenlik yazılımlarıyla sürekli önünde bulundurarak ilgili prosedür süreçlerini en
izlenerek ve en küçük bir güvenlik sorununda bile uygun şekilde oluşturmalıdırlar.
bilgi işlem merkezi içerisindeki ekranlardan ilgili yö-
neticilere uyarı gönderebilen sistemler kullanılarak Hastanenin acil servis, ameliyathane ve yoğun ba-
çözülmüştür. kımları gibi kritik birimlerinde iş süreçlerinin aksa-
mamasını garanti altına alabilmek için, her yıl istatis-
Hastane içerisinde belirlenen kritik birimler ile sis- tiki olarak yoğunluğun en az olduğu bir gün ve saat
tem, kamera odası vb. yerlere giriş ve çıkışların özel seçilerek, bu birimlerdeki personele de önceden bilgi
yetkilendirilmiş kartlarla yapılması sağlanmıştır. Bu- verilmek suretiyle, Hastane Bilgi Yönetim Sistemi’nin
ralara giriş-çıkış yetkili personel sayısı kısıtlı olması- (HBYS) durduğu bir durum prova edilmiş ve görevli
na rağmen, her giriş yapan kişinin giriş çıkış saatleri personelin acil durum sorumluluklarını yerine geti-
detaylı olarak tutulmakta ve kameralar ile kayıt altına rip getiremedikleri, acil durum plan ve prosedürle-
alınmaktadır. Kritik birimler içerisindeki güç kay- rinin işleyip işlemediği ve sistemin kaç dakika içeri-
nakları herhangi bir elektrik kesintisinde otomatik sinde tekrar işler duruma getirilebildiği ölçülmüştür.
olarak devreye girmekte ve kurum jeneratörlerinin Böyle bir durumda veri kaybı yaşanıp yaşanmadığı,
hizmet veremediği durumlarda bile sistemin birkaç hastaların ve personelin olaydan etkilenme durumu
saat daha çalışmasına olanak sağlamaktadırlar. Has- ile kurumun kesintiden kaynaklanabilecek ekonomik
tane bilgi kaynakları açısından kritik cihazların bu- kayıpları incelenmiştir. Elde edilen bulgular tartışma-
lunduğu mekanlar içerisinde sıcaklık ve nemin belir- ya açılmış ve “Yönetimin Gözden Geçirme Prosedü-
lenen sınırların dışında seyretmesi, elektrik kesintisi rü” kapsamında gerekli görülen iyileştirme ve gün-
veya dalgalanması, su baskını vb. her türlü olayda sis- cellemeler yapılarak eldeki imkanlarla mümkün olan
tem otomatik olarak önceden belirlenen kişilere kısa en iyi seviyeye ulaşılmaya çalışılmıştır.
mesaj yoluyla bilgilendirme yapmaktadır, böylelikle
normal mesai saatleri haricinde de kısa bir sürede sis-
teme insan eliyle müdahale edilebilmesi garanti altına Kurumsal Bilgi Güvenliği Hafızasının
alınmıştır. Oluşturulması
Hastane bilgi kaynaklarından herhangi birinde yaşa-
nan bilgi güvenliği olayı çözüme kavuşturulduktan
Bakım ve Onarım Prosedürleri sonra elde edilen bilginin kurumsal bilgi birikimine
Hastanedeki bilgi kaynaklarına dahil olan tüm yazı- dönüştürülebilmesi amacıyla; bilgi güvenliği olayları-
lım, donanım ve tıbbi cihazlar etiketlenerek gruplan- nın türlerinin, hangi bilgi kaynaklarını etkilediğinin,
mış ve grup bazında hangi birimlerin bakım, onarım, yaşanma sıklığının ve neden olduğu hasarın ölçülüp
güncelleme vb. işlemlerden sorumlu oldukları belir- izlenmesini sağlayan “Olay Raporlama Prosedürü”,
lenmiştir. Hastane kaynaklarıyla çözülemeyen prob- ilgili birimlerin bilgi güvenliği sorumlusu tarafından
lemlerde, dışarıdan hizmet alımına gidilmiş ve ilgili hastane BGYS yöneticisi gözetiminde işletilmiştir.
süreçlerde “Satın Alma” ve “Harici Hizmet Alımı” Böylelikle, hastanede, bilgi güvenliği zafiyetlerinin
prosedürlerine uyulmuştur. Hastane bilgi kaynakla- kayıt altına alınabileceği bir sistem kurularak bilgi-
rına doğrudan erişim sağlanması gereken veya tıbbi beceri havuzu oluşturulmuştur.
cihaz ve donanımların dışarıda bakımının gerektiği
durumlarda ise “Tedarikçi Değerlendirme Prosedü- Hastanede yaşanan bilgi güvenliği olaylarından olu-
rü” ilgili süreçleri belirlemektedir. Hastane bilgi kay- şan bu tecrübe birikiminin kuruma üç önemli faydası
naklarına ürün veya hizmet alımı sonucunda kısıtlı olmuştur. Birincisi, aynı zafiyet farklı bir sistemde de
da olsa erişim yetkisi verilen tüm kurum ve firmalarla raporlandığında buradaki bilgi ve tecrübeler kulla-
gizlilik anlaşmaları imzalanmıştır. nılarak hızlı ve etkin şekilde faaliyete geçilebilmiştir.
İkincisi, bilgi işlem çalışanları, sistem sorumluları
Özellikle ürün ve hizmet satın alımı ile tedarik- veya hastane BGYS yöneticilerinin kurumdan ayrıl-
çi değerlendirme işlem ve süreçleri sektörlere göre maları durumunda yeni göreve başlayan personeller
çok farklılık gösterebildiğinden, kurum yönetimi kurumsal bilgi güvenliği hafızasına kayıpsız şekilde
66
Cilt/Vol.: 17 - Sayı/No: 4 (55-72) Anadolu Üniversitesi Sosyal Bilimler Dergisi
erişebilme imkanı bulmuşlardır. Üçüncüsü, bilgi gü- ronik sistemlerinin içeriden ve dışarıdan gelebilecek
venliği olaylarına dair kurumsal belleğin bulunması saldırı ve tehditlere karşı ne kadar güvende olduğu,
çalışanların risk farkındalığının sürekli yüksek tutu- tehdit algılama ve önleme sistemlerinin etkinliği,
labilmesini sağlamış ve olayların ve zararların tek- bilgi kaynaklarının risk analizleriyle uyumlu şekilde
rarlamasını büyük ölçüde engellemiştir. Hastanedeki korunup korunmadığı, bilgi erişimi, güncellenmesi
bilgi kaynaklarına yönelik güvenlik açığı takip listesi- ve imhası noktasında prosedürlere uyulup uyulma-
ni kendi kendine oluşturan bu bilgi güvenliği olayları dığı gibi bilgiyi ve bilgi kaynaklarını ilgilendiren her
havuzu, bulguların bir plan dahilinde ve kontrollü konuda hastanenin bilgi yönetim sistemi denetlen-
şekilde giderilmesini sağlamış ve risk yönetimi nok- miş ve sunulan raporlar ışığında; tespit edilen açıklar
tasında kuruma öngörülebilirlik avantajı sağlamıştır. kapatılmaya, ilgili prosedür süreçleri iyileştirilmeye,
gerekli durumlarda ise ek güvenlik yatırımlarıyla sis-
temin etkinliği yükseltilmeye çalışılmıştır.
Bilgi Kaynaklarına Karşı Risklerin Yönetimi Hastaneye bilgi güvenliği yönetim sistemi entegre
Kurumda oluşturulan bilgi-beceri havuzu “Risk Yö- edilmeye başlandığı yıl bağımsız kuruluşlara yaptırı-
netimi ve Değerlendirilmesi” prosedürünün önemli lan bilgi güvenliği testlerinde birçoğu port güvenliği
bileşenlerinden bir tanesidir. Havuzdaki bulguların zafiyeti olmak üzere çok sayıda güvenlik açığı tespit
risk seviyelerini değerlendirirken ilgili bilgi kaynağı- edilmiştir. Bu açıklıklar kapatılmasına rağmen, son-
nın önem derecesi de göz önüne alınmış ve iyileştir- raki yıllarda yapılan denetimlerde, toplam güvenlik
me planları yüksek, orta ve düşük seviyeli bulgulara açığı sayısı azalmakla beraber, hastanenin firewall,
göre sınıflandırma yapılarak oluşturulmuştur. Hasta- ağ anahtarı veya sunucularında yeni açıklıklar tespit
nenin bilgi güvenliği politikasına göre; yüksek seviye- edilmiştir. Bu durum, bilgi güvenliği yönetiminin
li bulguların 5 gün içerisinde, orta seviyeli bulguların dinamik ve sürekli devam etmesi gereken bir süreç
15 gün içerisinde, düşük seviyeli olanların ise en fazla olması gerektiğini göstermektedir. Bu noktada dikkat
60 gün içerisinde giderilmesi gerekmektedir. çeken iki önemli husus bulunmaktadır. İlk olarak, in-
sanoğlunun doğası gereği kendi kurduğu sistemdeki
Sistem dahilinde oluşturulan bilgi güvenliği politika açıklıkları ve eksiklikleri tespit etmesi dışarıdan ba-
ve prosedürlerinin işletilmesine, risk ve tehditlerin kan bir kişiye göre çok daha zor olmaktadır ki; sis-
önceden belirlenme çabalarına, alınan önleyici faali- temin dışarıdan profesyonellerce düzenli olarak test
yetlere ve iyileştirme çalışmalarına rağmen, herhangi edilmesi, fark edilemeyen eksiklikleri ve zayıflıkları
bir bilgi kaynağına yönelik aktif tehdit veya sistem ortaya çıkartması bakımından büyük önem taşımak-
kesintisi olma ihtimaline karşı, hastane çalışanlarının tadır. İkinci olarak, her yıl yapılan güvenlik testle-
acil durum sorumlulukları ve görevleri açıkça belir- rinde sistemin farklı yerlerinde farklı açıkların tes-
lenmiştir. Özellikle sağlık hizmetlerini etkileyebilece- piti teknolojinin ve bilimin hızlı ilerleyişi karşısında
ği ve süreçlerde kesintiye sebep olabileceği öngörüle- sistemlerin güncel, etkin ve güvenli tutulmasının ne
bilen tüm durumlar için, bilgi işlem merkezi persone- kadar zor olduğunu ortaya koymaktadır ki; şu anda
linin de dahil olduğu, birim ve bilgi kaynağı temelin- en güvenilen sistemler bile kısa zaman sonra, önce-
de “acil durumlarda yapılacaklar listesi” hazırlanmış den hiç bilinmeyen güvenlik riskleri ile karşı karşıya
ve eğitimlerde bu konuya özellikle vurgu yapılmıştır. kalabilmektedirler.
sbd.anadolu.edu.tr 67
Örgütlerde Bilgi Güvenliği Yönetimi, Kurumsal Entegrasyon Süreci ve Örnek Bir Uygulama
Haberleşme Sektöründe Kişisel Verilerin İşlenmesi zorlaştırabilecek engeller ve kısıtlılıklar mümkün ol-
ve Gizliliğinin Korunması Hakkında Yönetmelik” ‘e duğunca azaltılmaya ve güvenlik ile kullanılabilirlik
göre; kurumlar sakladıkları verilerin, istem dışı, yetki arasındaki hassas denge korunmaya çalışılmıştır.
dışı ya da yasa dışı, erişim, tahrip, kayıp, değişiklik,
depolama, işleme ve ifşasına karşı uygun teknik ve Kurum çalışanlarının gerektiği zaman hastane içe-
idari tedbirlerin alınmasından sorumludurlar. İlgili risindeki tüm servislerde bulunan tüm bilgisayarları
yönetmeliğe göre kurumlar ayrıca; verilerin sadece kullanabilmelerini sağlamak amacıyla “aktif erişim
özel yetkilendirilmiş kişiler tarafından erişilebilir ol- desteği” adı verilen ve her çalışanın kendisine özel
masının sağlanması için uygun teknik ve idari tedbir- kullanıcı adı ve şifresiyle bilgisayarlarda oturum aç-
lerin alınması, işlenen ve saklanan verinin, saklama masına olanak veren sistem kurulmuştur. Hangi bil-
süresinin bitiminden itibaren en geç bir ay içinde gisayarda oturum açtıkları fark etmeksizin, kullanıcı-
imha edilmesini veya anonim hale getirilmesini ve bu lar kendilerine tanınan yetkilendirme bazında işlem
işlemlerin tutanakla veya sistemsel olarak kayıt altına yapabilmektedirler. Benzer süreç ve yetkilendirme
alınmasını sağlamak zorundadırlar (Resmi Gazete, Hastane Bilgi Yönetim Sistemi (HBYS) ve diğer bilgi
2012). kaynaklarına erişim için de geçerlidir.
Yönetmelik, eğer kurum internet vb. hizmetlerin Hastane bilgi kaynaklarının güvenliği sağlanırken, ça-
sağlayıcılığını da yapmış oluyorsa tüm erişim kayıt- lışanlara erişim özgürlüğü sağlanmaya çalışılmış, bil-
larının en az bir yıl süreyle saklanmasını gerekli kıl- giye erişim özgürlükleri hiçbir şekilde kısıtlanmadan,
maktadır. Birçok kurumu yasal mesuliyet altına alan teknolojiden mümkün olan en fazla katkının alınabi-
bu yönetmelik doğrultusunda, hastane bilişim ve leceği, kullanıcı dostu, esnek ve çevik sistemler tercih
edilmiştir. Bu noktada örnek olarak; bir doktorun,
güvenlik altyapısı, özellikle internet ve dış ağ erişim
tablet veya akıllı telefonunu kullanarak, poliklinik veya
kayıtlarını en az bir yıl süreyle tutabilecek biçimde
serviste iken, hastane bahçesinde dinlenirken veya ye-
şekillendirilmiş ve ilgili bilgi güvenliği prosedürleri
mekhanedeyken hastanenin neredeyse tamamına dö-
kanun ve yönetmeliklerdeki değişimlere göre sürekli
şenmiş kablosuz ağ cihazlarından kendisine en yakın
güncellenmiştir.
noktada olanına otomatik olarak bağlanarak HBYS’ ne
Yasal mevzuatta bilişim suçu olarak tanınan fiillerin ulaşıp, istediği medikal veriye veya radyoloji görüntü-
tespit edilerek ilgili mercilere bildirilmesi için kurum lerine erişebilme, istem yapabilme, rapor yazabilme,
avukatlarıyla ile temas halinde olunmuştur. Ayrıca okuyabilme veya internete güvenli bir şekilde girebil-
ilgili kanun gereği bilgi güvenliğinin sağlanması ve me olanağına sahip olması verilebilir. Diğer bir örnek
ise; özellikle mesai dışı saatlerde ve bilhassa acil ser-
internet erişimi gibi noktalarda kurumun üzerine
vislerde radyoloji uzmanlarına oluşan ani ihtiyaç göz
düşen yasal sorumluluklar hukuk danışmanlarının
önüne alınarak, belli protokoller çerçevesinde radyo-
yönlendirmeleri ile belirlenmiş ve kurumun bilgi
loji uzmanlarına evlerinden HBYS’ne bağlanarak rad-
güvenliği politikalarına yerleştirilmiştir. Hastane bil-
yolojik tetkikleri değerlendirme ve raporlarını HBYS
gi güvenliği yönetim sistemi kapsamına giren ürün
üzerinden yazma olanağı sağlanmasıdır.
ve hizmetleri sağlayan tedarikçilerle yapılan gizlilik
anlaşmaları, hastaneyi denetleyen kurumlar ile ilgili Hastane yönetimi, bir taraftan çalışanlara dijital eri-
hukuksal ilişkiler ve çalışanlarla imzalanan bilgi gü- şim özgürlüğü tanırken diğer taraftan da bilgi kay-
venliği sözleşmeleri hastane hukuk danışmanlarının naklarına erişim yetkilerini düzenleyerek, bilginin
da dahil olduğu bir ekip tarafından hazırlanmıştır. bütünlüğünü ve doğruluğunu sürekli koruyarak ve
hastane içerisinde kullanılan tüm sistemlerin ke-
sintisiz ve hızlı şekilde hizmet vermesini sağlayarak
Bilgi Güvenliği Yönetimi Sürecinde bilhassa çok yoğun iş yükleri olduğunu ve zaman
Erişim Esnekliğinin Oluşturulması ve baskısı altında kaldıklarını belirterek elektronik sis-
Kısıtlılıkların Azaltılması temleri kullanmayan, eski usül sistemleri kullanırken
Hastanede bilgi güvenliğini yönetmek amacıyla ku- de bilginin doğruluğundan, güncelliğinden ve güven-
rulan sistemin personelin desteğini alabilmesi ve liğinden emin olamayan doktor, asistan ve hemşirele-
pozitif bir bilgi güvenliği kültürü oluşturulabilmesi rin tüm medikal ve idari bilgiye elektronik sistemleri
için; çalışanların bilgiye ve teknolojiye ulaşmalarını kullanarak ulaşmasını sağlayabilmiştir.
68
Cilt/Vol.: 17 - Sayı/No: 4 (55-72) Anadolu Üniversitesi Sosyal Bilimler Dergisi
Tablo 6. Bilgi Güvenliği Yönetim Sistemi Kurulmadan Önce ve Sonra Bilgi Kaynaklarına Yönelik Yıllık Ortalama Tehdit Sayıları,
Hata Kaynakları ve Sistemlerin Kesintisiz Çalışma Oranları
Ortaya Çıkma Nedeni Bilgi Sistemlerinde
Majör Minör Yıllık Ortalama
Olgu İnsan Sistem
Tehdit Tehdit Kesintisiz Çalışma
Hatası Hatası Oranı
Hastaneye bilgi güvenliği yönetim sistemi entegre Hastanede bilgi güvenliği yönetim sisteminin kuru-
edilmeden önceki son yıl, bilgi kaynaklarına karşı be- lumunu takip eden iki yıl içerisinde elektronik bilgi
lirlenebilen 13 majör tehdit, elektronik bilgi sistemle- sistemlerindeki kesinti oranı %1’e gerilemiş ve üçün-
rini yıllık %6 gibi bir oranda kesintiye uğratmıştır. Bu cü yılın sonu itibariyle hastane bilgi kaynaklarına
rakamın, yoğun çalışmayı gerektiren ve kaybedilen yönelik hiçbir majör tehdit tespit edilmemiştir. Kul-
her dakikanın çok önemli olduğu sağlık hizmetleri lanıcı kaynaklı hataların oranının ve sayısının her yıl
açısından kabul edilemez olduğu görülmektedir. Has- azalması ve elektronik bilgi sistemlerdeki %99,9’luk
tane bilgi sistemlerinde yıl içinde bu seviyede bir ke- kesintisiz çalışma oranına ulaşılabilmiş olması; kuru-
sinti, çalışanların ve hastaların kuruma olan güven- lan hastane bilgi güvenliği yönetim sisteminin bilgi
lerini zedeleyebilecek, sağlık hizmetlerinde aksamaya kaynaklarına yönelik tehditleri oluşmadan engelleme
sebep olabilecek, iş ve süreçlerde düzensizlik ve veri hedefine büyük ölçüde ulaştığını, çalışanlara yönelik
kaybı oluşturabilecek bir potansiyele sahiptir. eğitimlerin sonuç verdiğini ve kurum çalışanlarının
bilgi güvenliği bilinci ve kültürü noktasında ilerleme
Hastanede, sistem kurulumu öncesi oluşan tehditle- kaydettiğini göstermektedir.
rin %72’sinin insan kaynaklı olduğu tespit edilmiştir
ki; çalışanların bilgi güvenliğine dair henüz eğitim Telefon ve elektronik posta gibi iletişim araçlarıyla,
almadıkları, yeterli bilgiye sahip olmadıkları ve ku- hastane web sayfası şikayet formu üzerinden ve hasta
rumsal bilgi güvenliği kültürünün henüz oluşmadığı hakları birimi vasıtasıyla Bilgi İşlem Merkezi’ne iletilen
gözönüne alındığında beklenen bir oran olduğu söy- hasta şikayetleri nicelik olarak incelendiğinde, bilgi gü-
lenebilir. Üç yıl süren düzenli bilgi güvenliği eğitim- venliği sisteminin kurulmasını takiben; sistem kesinti-
lerinden sonra, hastane bilgi kaynaklarına yönelik leri, randevu sistemlerinin etkinliği, işlemlerin bitiril-
toplam tehdit sayısı büyük oranda (%95) azalmış ve me süreleri, toplam bekleme süreleri vb. şikayet oran-
insan hatası kaynaklı tehditlerin oranı %40 seviyesine larında %18’lik bir azalma olduğu, üç yılın sonunda ise
düşmüştür. toplamda %86’lık bir düşüş olduğu belirlenmiştir.
sbd.anadolu.edu.tr 69
Örgütlerde Bilgi Güvenliği Yönetimi, Kurumsal Entegrasyon Süreci ve Örnek Bir Uygulama
Hastane bilgi sistemlerinin güvenli, kesintisiz, iş- Çalışmamızın başında da belirttiğimiz gibi, ulusal bil-
leri kolaylaştıran ve süreçleri hızlandıran bir yapı gi güvenliğimizin sağlanması öncelikle örgütlerimizin
içerisinde hizmet vermesi ve bilgiye tam, doğru ve kurumsal bilgi güvenliklerini sağlamaları ve vatan-
zamanında erişim kabiliyetinin getirdiği avantajla- daşlarımızın bilinçlendirilmesi ile mümkündür. Bu
rın zamanla anlaşılması, sistemin tüm çalışanların noktada örgüt yöneticilerine büyük görev ve sorum-
desteğini almasını sağlamıştır. Kesintiler nedeniyle luluklar düşmektedir. Yöneticilerin, faaliyetlerini de-
daha önce sıklıkla sisteme girilemeyen ve fatura edi- vam ettirebilmek için kurumlarının finansal yapısına,
lemeyen kayıp-kaçak işlem sayılarındaki azalmanın üretim kapasitelerine ve rekabet güçlerine verdikleri
da katkısıyla, kurumun yıllık toplam gelirleri, bilgi önemi kurumsal bilgi güvenliklerine de vermeleri gü-
güvenliğinin hastane süreçlerine entegre edildiği yıl, nümüzde bir zorunluluk haline gelmiştir ve ülkemiz-
bir önceki yıla göre %37, üç yıllık sürecin sonunda ise de de, yöneticilerin liderliğinde, bu yönde bir bilinç-
%67 artış göstermiştir. lenme ve bilinçlendirme atılımı yapılması ve mevcut
çalışmalara ivme kazandırılması gerekmektedir.
Üç yıl süren bilgi güvenliği yönetim sistemi entegras-
yon süreçleri ve elde edilen sonuçlardan görüldüğü Ülkemizde, 27730 sayılı “Elektronik Haberleşme Gü-
gibi, kurumların bilgi güvenliğinin sağlanmasının venliği Kapsamında TS ISO/IEC 27001 Standardı
yolu; yöneticilerin tam desteğini alan bir süreç baş- Uygulanmasına İlişkin Tebliğ” ile birlikte, hizmet özel-
latarak kurumsal bilgi güvenliği politikalarını oluş- liklerine göre bazı kurumlara bu bilgi güvenliği stan-
turmak, hedefleri belirlemek, hedefler ve politikalar dartlarına uygunluk sağlama yükümlüğü bir kısmına
doğrultusunda ilgili prosedür süreçlerini detaylan- ise uygunluk belgesi alma zorunluluğu olmaksızın
dırmak ve amaçlara ulaşıncaya kadar izleme, iyileş- standarda uygunluk sağlama yükümlülüğü getirilmiş-
tirme, güncelleme ve denetleme çalışmalarını aynı tir (Resmi Gazete, 2010). Ülkemizde, sağlık sektörü de
kararlılıkla devam ettirmekten geçmektedir. Zincirle- dahil pek çok sektör henüz bu tebliğ kapsamına girme-
me süreçlerin geri besleme yoluyla otomatik kontrol mekle birlikte, yakın gelecekte bilgi güvenliği yönetimi
yapabilmesi ve sistemin kurum çalışanlarını ve hatta standartlarına uymanın kurumlar için yasal zorunlu-
müşterilerini de içine alması kritik önem taşımak- luk haline gelebileceği görülmektedir.
tadır. Çalışanlara bilgi güvenliği yönetiminin teknik
bir iş olmadığı, kurumun tüm birimlerinin ve çalı-
şanlarının sorumluluk yüklenmesi gerektiği en etkili
şekilde anlatılmalıdır. Kurumsal iş yoğunluğu ne se-
viyede olursa olsun, kurumsal bilgi güvenliği hedefle-
Kaynakça
Bartlett, C., Boehncke, K. & Haikerwal, M. (2008).
ri yakalanıncaya kadar tüm personele bilgi güvenliği
yönetimi noktasında gerekli eğitimler tekrar tekrar E-health: Enabler for Australia’s Health Reform.
verilmeli ve kurumsal bilgi güvenliği kültürünün www.health.gov.au/nhhrc/publishing (18.02.2015).
oluştuğundan emin olunmalıdır. Oluşan bu kültür,
bilgi kaynaklarını ilgilendiren her süreç ve işlemde Baykara, M., Daş, R. & Karadoğan, İ. (2013). Bilgi Gü-
devreye girecek ve çalışanların öz denetim yapmala- venliği Sistemlerinde Kullanılan Araçların İnce-
rını sağlayacaktır. lenmesi. 1st International Symposium on Digital
Forensics and Security (ISDFS’13) Proceedings,
Kurumlarda bilgi kaynaklarına karşı oluşan tehdit- http://isdfsweb.firat.edu.tr/Upload/ISDFS2013_
lerden meydana gelen maddi kayıpların ne kadar bü- Proceeding_Book.pdf
yük olduğu gözönüne alındığında, bilgi güvenliğinin
sağlanması için yapılan yatırımların boşa giden har- Canbek, G. & Sağıroğlu, Ş. (2006). Bilgi, Bilgi Güven-
camalar şeklinde görülmemesi, aksine kurumun sır- liği ve Süreçleri Üzerine Bir İnceleme. Politeknik
larını ve önemli ticari verilerini koruyan, iş süreçleri- Dergisi, 9(3), 165-174.
nin kesintisiz devam edebilmesini garanti altına alan,
yedekli çalışmayı sağlayarak yangın, deprem, diğer Cavalli, E., Mattasoglio, A., Pinciroli, F. vd. (2004). In-
doğal afetler ve fiziksel ve mantıksal hırsızlıklar gibi formation Security Concepts and Practices: The
tehditlere karşı bir sigorta yatırımı gibi algılanması, Case of a Provincial Multi-Specialty Hospital. In-
kurumsal bilgi güvenliği yönetimine bir başlangıç ya- ternational Journal of Medical Informatics, 73(3),
pabilmek için önem arz etmektedir. 297-303.
70
Cilt/Vol.: 17 - Sayı/No: 4 (55-72) Anadolu Üniversitesi Sosyal Bilimler Dergisi
CE (Certification Europe), (2008). ISO 27001 Global Khalifa, M. (2013). Barriers to Health Information
Survey: The Facts and The Figures Underlying The Systems and Electronic Medical Records Imple-
Growth of ISO 27001 World-Wide. http://www. mentation. Procedia Computer Science, 21, 35 –
d10736251.blacknight.com/format/ISO27001 342.
GlobalSurvey.pdf (08.02.2015).
Medlin, D. B. & Cazier, J. A. (2007). An Empirical In-
Chen, R. & Hsiao, J. (2012). An Investigation On vestigation: Healthcare Employee Passwords And
Physicians’ Acceptance Of Hospital Information Their Crack Times In Relationship To HIPAA Se-
Systems: A Case Study. International Journal of Me- curity Standards. International Journal of Health
dical Informatics, 8 (12), 810–820. Care Informatics, 2(3), 39–48.
Eminağaoğlu, M. & Gökşen, Y. (2009). Bilgi Güvenliği NEHTA (National E-Health Transition Authority)
Nedir, Ne Değildir, Türkiye’ de Bilgi Güvenliği So- (2007). Privacy Blueprint on Unique Healthcare
runları ve Çözüm Önerileri. Dokuz Eylül Üniver- Identifiers. www.nehta.gov.au (08.05.2015).
sitesi Sosyal Bilimler Enstitüsü Dergisi, 11(4), 1-15.
Pagliari, C., Donnan, P., Morrison, J. vd. (2005). Adop-
Fernando, J. I. & Dawson, L. L. (2009). The Health In- tion And Perception Of Electronic Clinical Com-
formation System Security Threat Lifecycle: An In- munications In Scotland. Informatics in Primary
formatics Theory. International Journal of Medical Care, 13 (2), 97-104.
Informatics, 78(12), 815–826.
PWC (2015). Managing Cyber Risks In An Intercon-
He, Y., Johnson, C., Lu, Y. vd. (2014). Improving the nected World: Key findings from The Global State
Information Security Management: An Industrial of Information Security Survey. http://www.pwc.
Study in the Privacy of Electronic Patient Records. com/gx/en/consulting-services/information-secu-
IEEE 27th International Symposium on Compu- rity-survey (07.04.2015).
ter-Based Medical Systems, http://ieeexplore.ieee.
org/Xplore/home.jsp (20.01.2015) Resmi Gazete (2007). İnternet Ortamında Yapılan Ya-
yınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşle-
Holden, R. J. (2011). What Stands in the Way of Tech- nen Suçlarla Mücadele Edilmesi Hakkında Kanun,
nology-Mediated Patient Safety Improvements? A Sayı 26530.
Study of Facilitators and Barriers to Physicians’ Use
of Electronic Health Records. Journal of Patient Sa- Resmi Gazete (2010). Elektronik Haberleşme Güven-
fety, 7(4), 193-203. liği Kapsaminda TS ISO/IEC 27001 Standardı Uy-
gulanmasına İlişkin Tebliğ, Sayı 27730.
http://w w w.is o27001bilgiguvenligi.com/53-
iso_27001_bilgi_guvenligi (Erişim: 02.02.2015). Resmi Gazete (2012). Elektronik Haberleşme Sektö-
ründe Kişisel Verilerin İşlenmesi ve Gizliliğinin
https://www.bilgiguvenligi.gov.tr/bt-guv.-standartlari Korunması Hakkında Yönetmelik, Sayı 28363.
(Erişim: 25.02.2015).
Sağsan, M. (2007). Uygulamadan Disipline Bilgi Yöne-
IMF (International Monetary Fund) (2014). Internati- timi Ve Bir Alan Çalışması. Amme İdaresi Dergisi,
onal Financial Statistics (IFS). http://www.imf.org, 40 (4), 103-131.
(24.05.2015).
Şahin, A. (2008). Kamu kurumlarında bilgi Teknolo-
ISO (International Organization for Standardization) jilerinin Kullanımında Yaşanan Sorunlar: Konya
(2013). The ISO Survey of Management System Kaymakamlıkları Örneği. Amme İdaresi Dergisi,
Standard Certifications. http://www.iso.org/iso/ 41(1), 149-171.
iso-survey (19.01.2015).
sbd.anadolu.edu.tr 71
Örgütlerde Bilgi Güvenliği Yönetimi, Kurumsal Entegrasyon Süreci ve Örnek Bir Uygulama
Sultan, F., Aziz, M. T., Khokhar, I. vd. (2014). Deve- Vural, Y. & Sağıroğlu, Ş. (2007). Kurumsal Bilgi Gü-
lopment Of An In-House Hospital Information venliği: Güncel Gelişmeler. ISO Turkey, Bilgi Gü-
System In A Hospital In Pakistan. International Jo- venliği ve Kriptoloji Konferansı Bildiriler Kitabı,
urnal of Medical Informatics, 83(3), 180–188. 13-14 Aralık, Ankara, Türkiye.
Tekerek, M. (2008). Bilgi Güvenliği Yönetimi. KSÜ Fen Wakefield, D. S., Halbesleben, J. R., Ward, Marcia M.
ve Mühendislik Dergisi, 11(1), 132-137. vd. (2007). Development Of A Measure Of Clinical
Information Systems Expectations And Experien-
Timmons, S. (2003). Nurses Resisting Information ces. Medical Care, 45(9), 884–890.
Technology. Nursing Inquiry, 10(4), 257–269.
Williams, P. (2008). When Trust Defies Commons
USGT (Ulusal Siber Güvenlik Tatbikatı Sonuç Rapo- Sense. Health Informatics Journal, 14(3), 211–221.
ru), 2011. Bilgi Teknolojileri Kurumu ve TÜBİ-
TAK.
72