Varlık Envanteri Nedir?

Varlık envanteri, bir organizasyonun sahip olduğu tüm değerli unsurların (fiziksel, dijital veya finansal) tanımlandığı, sınıflandırıldığı ve kayıt altına alındığı güncel bir listedir.

Özellikle ISO 27001 Bilgi Güvenliği Yönetim Sistemi gibi standartlarda, risk analizi yapabilmek için “neyi koruduğumuzu bilmek” amacıyla oluşturulan en temel dökümandır.

Varlık Envanterinde Neler Yer Alır?

Bir envanter sadece “eşya listesi” değildir; her varlığın kimliği ve durumu hakkında kritik bilgiler içerir:

• Fiziksel Varlıklar: Sunucular, bilgisayarlar, mobil cihazlar, ağ donanımları (router/switch) ve hatta ofis mobilyaları.
• Yazılımsal Varlıklar: İşletim sistemleri, lisanslı uygulamalar, veritabanları ve özel yazılımlar.
• Bilgi Varlıkları: Müşteri dataları, fikri mülkiyetler, sözleşmeler, finansal kayıtlar ve personel bilgileri.
• Hizmet Varlıkları: Bulut bilişim hizmetleri, internet servisleri ve dış kaynaklı teknik destekler.

Varlık Envanter Tablosunda Bulunması Gereken Temel Bilgiler

Etkili bir takip için her bir kalem şu başlıklarla tanımlanır:

1. Varlık Adı ve Tanımı: Benzersiz bir isim veya kod.
2. Varlık Sahibi (Owner): Varlığın güvenliğinden ve güncelliğinden sorumlu olan birim veya kişi.
3. Varlık Türü/Sınıfı: Donanım mı, yazılım mı yoksa veri mi?
4. Konum: Fiziksel olarak nerede (Ofis A, Veri Merkezi B) veya dijital olarak nerede saklanıyor?
5. Kritiklik Derecesi: Bu varlık kaybolursa iş süreçleri ne kadar etkilenir? (Düşük, Orta, Yüksek).
6. Gizlilik Sınıfı: Sadece üst yönetim mi görebilir, yoksa tüm personel mi?

Varlık Envanteri Neden Önemlidir?

• Güvenlik: Neye sahip olduğunuzu bilmezseniz, onu koruyamazsınız. Bir siber saldırı anında hangi sistemlerin risk altında olduğunu envanter sayesinde görürsünüz.
• Maliyet Yönetimi: Gereksiz lisans ödemelerini önler ve kullanım ömrü dolan cihazların planlı değişimini sağlar.
• Yasal Uyumluluk: KVKK veya GDPR gibi kanunlar çerçevesinde, kişisel verilerin nerede tutulduğunun bilinmesi zorunludur.
• Süreklilik: Felaket kurtarma (Disaster Recovery) senaryolarında hangi sistemlerin öncelikli ayağa kaldırılacağına bu liste rehberlik eder.

Bu envanteri hazırlarken genellikle Excel tablolarından başlanır, ancak varlık sayısı arttıkça otomatik tarama yapan özel yazılımlarına geçiş yapılması önerilir.

Varlık envanteri yönetimi, bir işletmenin “bağışıklık sistemi” gibidir; neye sahip olduğunuzu bilmek, hem siber saldırılara hem de mali kayıplara karşı en büyük savunmanızdır.

Aşağıda, varlık envanteri konusunu derinlemesine anlamanızı sağlayacak varlık envanteri hakkında en çok merak edilen sorular ve yanıtları yer almaktadır.

Varlık Envanteri Hakkında En Çok Sorulan Sorular

• Varlık envanteri sadece fiziksel cihazları mı kapsar? Hayır. Modern bir envanter; donanımların yanı sıra yazılım lisanslarını, dijital verileri, fikri mülkiyetleri ve hatta dışarıdan alınan bulut hizmetlerini de kapsar.
• ISO 27001 için varlık envanteri neden zorunludur? ISO 27001 standardı, risk analizini temel alır. Risk analizi yapabilmek için önce hangi varlıkların korunması gerektiğini (varlık envanteri) belirlemek şarttır.
• Varlık “Sahibi” tam olarak kimdir? Varlık sahibi, o varlığın günlük yönetiminden, güvenliğinden ve doğruluğundan sorumlu olan kişi veya birimdir; her zaman satın almayı yapan kişi olması gerekmez.
• Envanter ne sıklıkla güncellenmelidir? Statik bir liste yerine dinamik bir süreç olmalıdır. İdeal olarak, her yeni varlık girişinde veya mevcut varlıkların durum değişikliğinde (personel ayrılışı, cihaz değişimi vb.) anlık güncellenmelidir.
• Excel envanter tutmak için yeterli mi? Küçük ölçekli yapılar için yeterli olsa da, ölçek büyüdükçe hata payı artar. Bu aşamada otomatik tarama yapan yazılım araçları önerilir.