SSMS 5188 Güvenlik Kalite Yönetim Sistemi Belgesi Hizmet kalitesi ve başarılı eğitim politikasıyla hedeflediği noktalara ulaşmış çalışmalarını yeni gelişme ve değişimlere paralel olarak yenileyip, sürdürülebilir hale getirmiştir. KALİTÜRK® günümüzde giderek artan riskleri yetersiz kıldığı gibi zaman içinde alınan tedbirlerini uzman personelleriyle kalite yönetim standartına ulaştırmıştır.  Günümüzde giderek artan riskler evvelce alınmış olan güvenlik tedbirlerini yetersiz kıldığı gibi zaman içerisinde gerekli analizlerin yapılmamış olması, hizmet içi eğitimlerin verilmemesi, alınan güvenlik tedbirlerine yenilerinin eklenmemesi, uygulamadaki güvenlik sistem ve cihazlarının iş görürlüğü üzerinde gerekli kontrollerin yapılmaması ve görev yapan personelin her an denetlenmemesi gibi çeşitli sebeplerden dolayı oluşabilecek risklere hazırlık seviyesinde yapılacak müdahaleler ileride bu risklerin gerçekleşmesinde göz ardı edilemeyecek azalmalara neden olacaktır. Bu bağlamda özel bir Standard SSMS 5188 Güvenlik Hizmetleri Sektörü Kalite Yönetim Standardı oluşturulmuştur.

 

SSMS 5188 İÇERİĞİ NEDİR

 

SSMS 5188 Belgesi ile, güvenlik şirketleri arasında şartnameye uygun olanlar, şartnameye uygun olmayanlar ayrımına gidilir. Müşteriye uygun hizmeti veren Güvenlik Şirketleri belgeyi almaya hak kazanır. Globelleşen Güvenlik Şirketi piyasasında, güvenilir şirket ayrımı yapmak ve doğru şirketlere SSMS 5188 Belgesi kazandırmaktayız. 

 

SSMS 5188 RİSK ANALİZİ

Stratejik kararlarda ele alınan değişken ile ilgili olan riskin ayrıntılı bir biçimde anlaşılmasını sağlayan metodların bütünüdür. Başka bir deyimle, ilgi duyulan değişkene ilişkin öngörü, olasılık dağılımı şeklinde ortaya konur.

Güvenlik Risk analizi ile ilgili bazı temel kavramlar ve tanımlar:

1.Risk (Riziko) ; Belirli bir tehdidin, güvenliğin belirli bir zayıflığından yararlanarak savunulan sisteme zarar verme olasılığıdır. Risk, İtalyanca “risco” sözcüğünden gelmekte olup bir zarar ya da kayıp durumuna yol açabilecek bir olayın ortaya çıkma ihtimalidir.

2.Arta Kalan Risk ; Güvenlik tedbirleri uygulandıktan sonra geriye kalan riskler.

3.Güvenlik ; Kötüniyetli eylemlerden ve bunun etkilerinden korunmak amacı ile alınan ve sürdürülen koruyucu tedbirlerin sonucunda oluşan durum.

4.Zayıflık ; Bir sistemde yetkilendirilmemiş fiillere izin veren zaafiyet.

5.Saldırı ;

6.Saldırgan; Bir amaca ulaşabilmek için bir veya daha fazla saldırıyı deneyen kişi.

7.Değer (Kıymet) ; Korunması gereken herşey.

8.Açıklık (Güvenlik açığı) ; Bir değeri tehditlere karşı korumasız veya savunmasız hale getiren unsurlar.

9.Tehdit ; Güvenlik açıklıklarını kullanarak değere kısmen veya tamamen zarar veren etkenler olup, tehditler insan veya doğal kaynaklı da olabilir.

10.Risk Analizi ; Stratejik kararlarda ele alınan değişkenle ilgili olan riskin kapsamlı olarak anlaşılmasını sağlayan yöntemlerin bütünüdür. Bir başka ifadeyle, risklere karşı olasılık dağılımı hesaplamasıdır.

 

SSMS 5188 GÜVENLİK RİSK ANALİZİ

Yukarıda da belirtildiği gibi; Güvenlik risklerinin, bu risklerin ölçeklerinin ve tedbir alınması gereken alanların belirlenmesi sürecidir.

Risk analizinde, riskler belirlenirken mevcut değerler tek tek gözönünde bulundurulur ve her bir değerin içinde bulunduğu tehditler belirlenir. Bunun yanısıra, halihazırda mevcut olan karşı önlemler incelenir. Bir sonraki safhada, ortaya konulmuş olan değer, açıklık, tehdit ve karşı önlemlerinin değerlendirilmesi işlemi yapılır. Değerlendirilmiş değer, açıklık, tehdit ve karşı önlem değerleri girdi olarak alınıp, matematiksel ve mantıksal yöntemler kullanılarak risk değeri bulunur. Son aşama ise risk-değer eşleştirmesi olarak anılır.

Genel olarak risk analizleri, önlemlerin neler olması gerektiği ile ilgilenmeyip, bu konu tatbikata ilişkin Risk Yönetimi konusuna girer.

 

SSMS 5188 GÜVENLİK RİSK YÖNETİMİ NEDİR

Risk yönetimi, ortaya çıkabilecek risklerin önceden dikkatli bir şekilde ve detayları ile tanımlanıp değerlendirilmesi ve bu riskleri asgari düzeyde indirecek veya tamamen ortadan kaldıracak tedbirlerin alınması olarak tanımlanabilir. Güvenlik risk yönetimi çoğunlukla karmaşık ve genellikle biribiriyle ilgili riskleri kapsamakta olup, ayrıntılı yöntem ve araçlara gereksinim duyar.

Genel olarak risk yönetimi şu faydaları sağlar;

Güvenlik Risk Yönetimi, güvenlik önlemlerini etkileyebilecek şüpheli olayların belirlenmesi, denetlenmesi, yok edilmesi veya minimuma indirgenmesini içeren süreçtir. Daha önceki yazımızda da belirttiğimiz Risk analizi , fayda-maliyet analizi, seçim, gerçekleştirim, sınama, önlemlerin güvenlik değerlendirmesi ve detaylı güvenlik gözden geçirmesi faaliyetlerini içerir.

Risk analizi ve risk yönetiminin amacı; Özel güvenlik çalışmaları içinde olabilecek tehlikelere uygun cevap verebilecek, kasıtlı veya kasıtsız tehditlerin etkisini ve olma olasılığını asgari düzeye indirecek hazırlıkları, prosedürleri ve kontrolleri tanımlamaktır.

Risk yönetimi esnasında, kişi ve kurumlar tarafından riskler karşısında alınacak kararlara ilişkin olasılıklar şunlar olabilir:

1.Kabul: Korunacak değerin varlığı önemsiz, buna mukabil alınacak önlemin maliyeti yüksek ise bu durumda risk kabul edilebilir.

2.Devretme: Riski gözönüne alıp, riskin başkasına devredilmesidir. Böylelikle riski önlemek için gereken maliyet düşürülür ve sorumluluk başkasına verilir.

3.Kaçınma: Güvenlik riski bulunan ve fakat saldırı riski olmayan değerler için risk maliyetine girmek yerine, riski gözardı etmek.

Bunların yanısıra risk yönetimi ile ilgili bazı sorunlar ve ideal olmayan durumlar da ortaya çıkabilmektedir. Bunlar;

Fizibilite ve risk analizi yapma maliyetinin yüksek olması. 

Risk analizi sonuçlanana kadar geçen zaman sorunu: Güvenlik tedbirlerinin biran önce uygulanması gerektiği halde, risk analizi sonucunu beklenmek zorundadır. Bunun olumsuz etkileri olsa da bir çok projede, risk analizi yapılmadan özel güvenlik önlemleri alınmaktadır.

Risk yönetimi uygulaması, önceden belirlenmiş ve kesin adımları olan uygulamalar değildir. Bir çok risk analizi metodolojisi bulunmakta olup, bu methodlar riski yorumlama aşamasında birbirinden ayrılırlar.

Bütün kurum ve kuruluşlara uyan bir risk analizi metodolojisi yoktur. Çünkü, her organizasyonun kendine özgü bir değer listesi, bu değerlere göre farklı tehditleri vardır. Tüm bunların dışında, kuruluştan kuruluşa güvenlik anlayışı ve güvenlik ihtiyaçları da değişiklik arzetmektedir. Güvenlik risk yönetimi yapılacak olan bir projede, öncelikle ne tür bir risk analizi ve yönetimi modelinin uygulanması gerektiği belirlenmelidir.

Günümüz dünyasında, değerlerin ve buna bağlı olarak açıklıkların ve tehditlerin artması ile beraber (ekonomik suçların, hırsızlık suçlarının artması gibi), risk analizi ve yönetiminin sahasına giren, değer tanımla, açıklık belirleme, tehdit tanımla ve karşı önlem belirleme safhaları çok geniş konuları kapsadığından dolayı, bir çok risk analizi ve yönetimi yöntemi her hususu kapsayamamakta ve bazı hususlar gözardı edilebilmektedir.

 

Güvenlik risk yönetimi maliyeti arttıkça güvenlik seviyesinin de artış gösterdiği bir gerçektir. Risk yönetimi aşamasında önemli olan ne kadar güvenlik ihtiyacı olduğudur. Güvenlik modeli hakkında karar verilirken korunması gereken değerler ile riskler ve maliyetleri arasında yoğun karşılaştırma yapılmalı, esaslı riskleri mümkün olduğunca kontrol altında tutmayı sağlayabilmeli, olasılığı en düşük riskleri bile hesaplamalı, gözardı edilen risk sayısını minimum seviyede tutabilmeliyiz. Bu nedenle SSMS 5188 Temel Prensipleri’  ne başvurulmalıdır.

 

SSMS 5188 TEMEL PRENSİPLERİ NELERDİR

  1. Koruma ve Sağlamlaştırma: Bu ilk adımda, proje güvenliğini arttırma amaçlı faaliyetler gerçekleştirilir. Yaygın biçimde bilinen saldırılara karşı tedbirler alınır ve bu tedbirler önemle denetlenerek işler hale getirilir. Diğer bütün adımlar bu uygulamanın sonucunda ulaşılan düzeye göre geliştirileceğinden bu aşamanın etkin bir biçimde planlanması ve gerçekleştirilmesine çok dikkat edilmelidir.
  2. Hazırlık Adımı: Hazırlık aşamasında, bilinmeyen saldırıların belirlenmesi ve bu saldırılara müdahale edilebilmesi için gerekli olan hazırlıklar yapılır. (Bilindik saldırılar için alınan tedbirler ile bu adımda gerçekleştirilen işlemler karıştırılmamalıdır. Bilindik saldırılara karşı alınan tedbirler koruma ve sağlamlaştırma adımının konusuna girer.) Bu adımda önemli olan bilinmeyeni belirleyebilmek ve gerçekleştiğinde müdahale edebilmek için gerekli ortamı ve alternatif güvenlik önlemlerini oluşturmaktır.
  3. Tespit Adımı: Bu adımda, güvenlik üzerinde etki edebilecek yetkisiz veya şüpheli olayları tespit etmek için gerekli faaliyetler gerçekleştirilir. Araç trafiği, birey davranışlarının, giriş ve çıkışların izlenmesi bu basamakta ele alınmalıdır. Bir yetkisiz giriş veya şüpheli olay tespit edildiğinde ilk inceleme de bu adım
  4. kapsamında yapılır.
  5. Müdahale Adımı: Müphem bir olayın tespit edilmesi halinde olayın gerçekten bir saldırı olup, olmadığının belirlenmesi, saldırı ise en kısa zamanda saldırının etkilerinin yok edilerek güvenliğin tekrar fasılasız ve sorunsuz şekilde çalışır hale getirilmesi ve gerekiyor ise saldırganlar aleyhine hukuki işlemlerin başlatılması bu adım kapsamında değerlendirilir.
  6. İyileştirme Adımı: Saldırılara müdahale edilmesinden sonra benzeri saldırıların olası etkisini azaltmak ve mümkünse bu tür saldırıların gerçekleşmesini önlemek üzere özel güvenliği arttırıcı tedbirlerin alınması bu adım çerçevesinde ele alınır. Müdahale sonrasında alınan tedbirlerin genele yayılmasını sağlamak için yapılabilecek bir çalışma da bu adımda düşünülür.

 

SSMS 5188 FAYDALARI NELERDİR

 

SSMS 5188 GÜVENLİK SEKTÖRÜ KALİTE BELGESİ NASIL ALINIR

KALİTÜRK® ve benzeri belgelendirme firmalarının yaptıkları denetimler 3.taraf denetimler olarak tanımlanmaktadır(Bkz ISO 19011). Yönetim Sistemini kurmuş ve uygulamaya geçirmiş olan firmaların belgelendirilmesi aşağıdaki aşamalarından sonra gerçekleştirilebilmektedir : 

  1. TEKLİF AŞAMASI : Sistemini kurmuş olarak belgelendirilmek isteyen firmalar öncelikle fiyat teklifi alır. Fiyatlar belirlerken Belgelendirilecek firmada çalışan personel sayısına ve firmanın kapsamındaki tasarım durumlarına göre belirlemektedirler. Firmanın büyük olması denetim için daha fazla gün ayrılmasını v.b. durumları gerektirdiği için tetkikin bütün proseslerinin gerçekleştirilmesinde öncelikli olarak çalışan sayısının bilinmesi gerekmektedir. Fiyat teklifinin kabulü halinde belgelendirilecek olan firma KALİTÜRK®’ a müracaat eder.
  2. MÜRACAAT AŞAMASI : Belgelendirilmek isteyen işletme, KALİTÜRK®' a ait müracaat formunu doğru ve eksiksiz olarak doldurarak müracaat SSMS 5188 Güvenlik Sektörü Kalite Yönetim Sistemi dokümanlarını ve istenen diğer ek evrakları hazırlar. Başvuru yapılmış olur. 
  3. DOKÜMAN TETKİKİ AŞAMASI(1.AŞAMA DENETİM): KALİTÜRK®' a müracaat eden firma müracaat sırasında ilgili sistem / sistemlere ait Dokümanlarının bir örneğini de sunar. KALİTÜRK® tarafından görevlendirilen Baş Denetçi tarafından Sistem dokümanları incelenerek ilgili standart şartlarını karşılayıp karşılamadığı kontrol edilir. Bu inceleme neticesinde şartlar karşılanmış ise firma denetim planına alınır. Karşılamaması durumunda ise müracaat eden firmaya durum yazılı olarak raporlanarak eksikliklerinin gidermesi istenir. Firmanın eksikliklerini gidermesinden sonra denetim planına alınır. Doküman tetkiki ile birlikte baş denetçi tarafından gerekli görülmesi halinde bir ön ziyaret de planlanabilmektedir. 
  4. DENETİM PLANLAMA AŞAMASI: KALİTÜRK® ISO 17021 şartlarına bağlı kalarak kuruluşun büyüklüğüne göre firmada uygulamaların yerinde görülmesi için gerekli olacak denetim süresini ve uygun denetçileri , tarihi belirler. Bu bilgiler firmaya ulaştırılarak teyidi istenir. Denetim Plan Teyidinin ardından ilgili tarihte denetim yapılır. 
  5. DENETİM AŞAMASI (2.AŞAMA DENETİM): Planlanan tarihte firma denetimi gerçekleştirilir. Denetim açılış toplantısı ile başlar. Daha sonra denetim programına uygun olarak ilgili departmanlar yerlerinde ziyaret edilerek sistem şartlarına ait dokümanlar ve uygulamaları denetçiler tarafından incelenir. Bütün standart maddeleri ve departmanların tetkikinin ardından denetçiler var ise bulgularını değerlendirerek Belgelendirme için olumlu veya olumsuz olarak tavsiye kararını verir. Bu karar kapanış toplantısı vasıtası ile firmaya da aktarılır. Denetim ekibinin verdiği karar olumsuz olur ise ilgili uygunsuzlukların düzeltilmesi talep edilir. Denetim ekibinin verdiği karar olumlu ise veya uygunsuzlukların giderilmesi, bunun KALİTÜRK® tarafından teyit edilmesinin ardından ( takip tetkiki veya tetkik sırasında yapılan düzeltmeler, düzeltmelerin KALİTÜRK®’ a ulaştırılması ve bunun doğruluğunun onaylanması ) belgelendirme kuruluşunun iç prosedürü işlemeye başlar. 
  6. SÖZLEŞME AŞAMASI: Raporların ilgili komite tarafından incelenerek onaylanması durumunda sertifikalar hazırlanarak firma ile Belgelendirme Sözleşmesi yapılır ve ilgili sistem belgesi firmaya sunulur.Belgeler ve sözleşme üç yıl geçerli olup bu süre içerisinde KALİTÜRK® tarafından yılda en az 1 defa Gözetim Tetkiki yapılarak sistem şartlarının devamlılığının takibi yapılır. Bu tetkikin sonuçları ve sözleşme şartları baz alınarak bu çalışmalar devam ettirilir.  
  7. BELGE YENİLEME AŞAMASI:  Belge geçerlilik süresi dolmadan bir iki ay önce, belge sahibi firma başvuruda bulunarak, belge süresinin uzatılmasını talep eder. Bu durumda belgenin denetimi yapılır ve belge geçerlilik süresi ilk ara denetim yapılarak devam eder, 2. Aradenetim bitmiş ise üç(3) yıl daha devam eder(yeniden belgelendirme sürecine döner).