Bilgi güvenliği yöneticisi nedir sorusu, mevcut ağ ve bilişim sistemlerini her türlü siber saldırıya karşı korumak için ekibiyle birlikte siber güvenlik sistemi kuran, kurulan siber güvenlik sistemini iyileştirmeye yönelik çalışmak ile görevli olan kişidir şeklinde cevaplanabilir. Şirketlerin online departmanlarında ya da sadece web servislerinde görevli olan profesyoneller tüm veri ve yasal mevzuat ile ilgilenmelidir. Bilgi güvenliği yöneticisi görev tanımı çerçevesini belirlemek için görev ve sorumluluklara göz atmak gerekebilir.

Bilgi güvenliği yöneticisi öncelikle çalıştığı işletmede üretilen ve kullanılan bilgileri mevcut bilgi güvenliği standartlarına uygun olarak gizlilik bakımından kategorize edebilme bilgisine sahip olmalıdır. Mevcut bilgi güvenliği standartlarında bilgi güvenliği için üç kural şu şekilde sıralanabilir:

• Bilginin yetkisiz kişilerce kullanımını engelleyen gizlilik kuralı,
• Bilginin yetkisiz kişilerce değiştirilmesi, silinmesi ya da zarara uğramasını engelleyen bütünlük kuralı,
• Bilginin ihtiyaç duyulan departmanlarda ilgili personel tarafından kullanımına olanak sağlayan kullanılabilirlik kuralı.

Bilgi güvenliği yöneticisi ne yapar sorusu, bu pozisyonda çalışan kişi; bu üç kurala ve güncel bilgi güvenliği standartlarına hakim olup, bunları sorumlu olduğu işletmede ekibiyle uygular şeklinde cevaplanabilir. Bilgi güvenliği kurallarının bir işletmede uygulanabilmesi için öncelikle işletmedeki mevcut bilişim teknolojileri alt yapıları ile ortak ağ sistemlerini içten ya da dıştan gelebilecek güvenlik ihlallerine karşı koruyacak siber güvenlik sisteminin ihtiyaçlarının tespit edilerek kurulması gerekir. Sonrasında kurulan siber güvenlik sistemini gelebilecek saldırılara karşı test etmek, yapılan testlere göre muhtemel riskleri bulmak ve derecelendirmek de bu pozisyonun işidir. Kurulu siber güvenlik sistemini anlık gelişen bilgi güvenliği standartlarına uygun olarak iyileştirmek gerekir. Bilgi güvenliğinin bir işletmede sağlanabilmesi için tüm çalışanların bilgi güvenliği kurallarından haberdar olması, bilgi gizliliği, bilginin gerektiği şekilde kullanımı konularına hakim olması önemlidir. Bunun için kurulan siber güvenlik sistemine diğer çalışanların da adapte olmasını sağlamak adına eğitim birimiyle ortak çalışarak eğitimler düzenlenmesini sağlamak da görevlerindendir. Bilgi güvenliği yöneticisi, dışarıdan gelen herhangi bir siber saldırı durumunda siber güvenlik sisteminin yanıtını denetler, siber saldırılarda mevcut teknolojik alt yapı ile ağ sisteminin açıklarını önceden görerek önlemler almak bilgi güvenliği yöneticisinin sorumluluğundadır. Her türlü siber saldırıda işletmeye ait ekipmanlarda depolanan bilgilerin kaybını engellemek için yedekleme sistemine yönelik yeterli bilgi sahibi olmalıdır. Ayrıca işletmede çalışan personeli bilgi güvenliği konusunda uygulanacak kurallar hakkında bilgilendirecek iletişim becerisine de sahiptir.

Bilgi güvenliği yöneticisi nasıl olunur sorusuna, ilgili bölümlerde lisans eğitimi alarak yanıtı verilebilir. Bilgi güvenliği yöneticisi olmak için öncelikle elektronik, yazılım, bilişim teknolojileri alanlarında ve Bilgisayar Mühendisliği bölümünde lisans eğitimi almış olmak tercih nedenidir. Bunun yanı sıra bilgi güvenliği yöneticisi olmak isteyen adaylar çeşitli eğitim kurumlarından sertifikalar alabilirler. Bu sertifikalar arasında, CSA, sysadmin, SIEM Korelasyon, CEH, Firewall/IPS Güvenlik, CISSP, CISA, CISM eğitimleri bulunur. Bu alanlardaki standartları bilmek, uygulamalar açısından çok elzem olduğundan, ISO27001 Bilgi Güvenliği Yönetimi Eğitimi almaları, bu alandaki standartları yakalayabilmeleri için önemli bir noktadır.

Bilgi güvenliği yöneticisi ya da bilgi güvenliği müdürü pozisyonu için başvuru yapacak adayların öncelikle eğitim şartını karşılamaları gerekir. Bunun dışında adayların; şirket verileri, şirketin elinde bulunan kişisel veriler ve tüm firmanın veri tabanına erişim imkanı olacağı için güven verici bir yapıda olmaları beklenir. Bilgi güvenliği yöneticisi olmak isteyen adayların yazılım, bilgisayar sistemleri, anti-virüs yazılımları, risk değerlendirme yöntemleri, ağ güvenliği, bilişim mimarisi ve tasarımı konularına ilgilerinin olması önemlidir. Konuyla ilgili adayların, bilgi güvenliği alanındaki anlık gelişmeleri takip eden, gelişime son derece açık, değişiklikleri hemen yapabilen kabiliyette bireyler olmaları önceliklidir. Bilgi güvenliği yöneticiliği son derece kapsamlı bir iş olduğundan, adayların ekiple çalışmayı seven, esnek olabilen, anlık kararlar alabilen, öz güvenli bireyler olması gereklidir. Analiz yeteneği ve pratik çözümler üretebilme kabiliyeti de adaylarda mutlaka olmalıdır.