Bilisim güvenliginde yönetsel yöntemler
Hemen hemen her konuda oldugu gibi bilisim güvenliginin yönetiminde de polkitikalarin dogru ve en üst düzey de belirlenmesi ve bu sekilde faaliyete geçirilmesi gerekir. Günümüzde medyada yayinlanan, maddi-manevi zararlara yol açan virüsler, banka sistemlerine giren hackerlar, bilgisayar aglarina saldirip, network alaninda zarar vermeye çalisan scriptkiddie’ler, gibi bir çok alanda haberler karsimiza çikmaktadir. Bunlarla beraber bir sistem yöneticisinin veya güvenlik uzmaninin ugrastigi isler, her zaman gazete veya televizyonlarda çikan haberlerle sinirli kaldigi düsünülmemelidir. Bunlarin disinda günlük, haftalik hatta aylik olarak kisacasi belirli bir periyodik çerçevede gerçeklestirilen bir takim isler vardir ki bunlar; yönetsel yöntemlerdir. Bu alani olusturan temel süreçler ise;
« Güvenlik Politikalari
« Güvenlik Denetimleri
« Risk Yönetimi
« Standartlar ve Prosedürler
Kurum veya kurulusun, aginda bulunan bilgisayarlar ve bu bilgisayarlar üzerinde bulunan veriler, kurumun kritik amaçlari ve hedefleri ile dogrudan baglantilidir. Bu sayede yönetsel yöntemler, kurumda çalisan en üst düzey yetkiliden, en alttaki son kullaniciya kadar önem teskil eder. Bir kurumda güvenlik yönetim biriminin temel görevi; güvenlik yönetimine yönelik yönerge ve direktifler olusturmaktan öte, ilk olarak üst yönetimin güvenlik yönetimi ile ilgili gelen istekleri yerine getirmek olmalidir. Üst yönetimin destegi olmadan, kurumsal tabanda güvenlik isini gerçeklestirmek zor olacagindan, üst yönetim ile güvenlik yönetimi arasinda iletisim kanali kurulmalidir.
« Güvenlik Politikalari
Güvenlik politikasi; kurumda güvenligin oynadigi rolün genel adidir. Güvenlik politikasini hazirlayabilecek olan kisi veya kisiler; kurumun güvenlik uzmanlarindan olusan komitelerdir. Kurumda uygulanacak güvenlik kontrolleri, derin detaya inilmeden kavramsal olarak tanimlanmalidir.
Örnek olarak; Internet Week dergisinin yaptigi arastirmaya göre yapilan ankette kurumlarinda güvenlik teknolojisini kullanmakta olan oran % 70’i gösterirken, bu dilimin yalnizca % 38’i yazili bir güvenlik politikasina sahip oldugunu bildirmistir.
Bu konuda güvenlik politikasini uygulayan kurum veya kuruluslarda, çalisanlar kesinlikle yasal sorumluluktan kurtulmus olacaklardir. Bununla beraber, kuruma ait özel ve gizli bilgiler, bir baskasi tarafindan ele geçirilmesine, suistimale ve degistirilmeye karsi korunmus olacaktir. Ayni zamanda kurumun bilgi islem yetenegini gelistirmekle beraber, kullanilan kaynaklarin israfini engellemis olacaktir.
« Güvenlik Denetimleri
Güvenlik Denetimi; bir kurumun güvenlik yapisinin, güvenlik politikasinin, prosedürlerin ve standartlarin ayrintili olarak ele alinmasi ve zayif yönlerin tespiti ile belirlenen bu yönlerin zayifliklarinin giderilmesi için önerilerin sunulmasidir. Basarili bir güvenlik denetimi, tüm is birligi taraflarinin katilimiyla olur. Lakin genelde güvenlik ile ilgili bir denetim söz konusu oldugunda, bir çok insan olumsuz bir ön yargiya kapilir ve rahatsiz olur. Halbuki güvenlik denetimi; kurum içerisinde güvenlik politikasina uygun çalisilip çalisilmadigini, bilgisayarlardaki girisler ve çikislar, dosya islemleri ve ag erisim haklarinin degistirilmesini saglar. Örnek olarak güvenlik denetiminde sorgulanabilecek konular; salt okunur veya yazilabilir verilerin belirlenmesi, önemli verileri degistirebilecek kimliklerin tespit edilmesi, sistem erisimini ve kaynak kullanimini engelleyebilecek faktörleri, sisteme erisimin nasil saglanacagi, bilgisayarlar, bilgisayar aglari ve bunlarin bulunduklari binalarin fiziki açidan güvenli olup olmadigi, sistemde yapilan degisikliklerin izlenip izlenmedigi, kullanici gruplari, kullanicilarin erisim yetkileri, kullanicilarin sahip oldugu haklar, vs diye daha bir çok denetim eklenebilir.
« Risk Yönetimi
Risk; kuruma zarar verici bir olayin gerçeklesme olasiligi olarak tanimlanabilir. Risk yönetimi ise; kurumun karsi karsiya bulundugu risklerin tanimlanmasi, bu risklere karsi deger biçilmesi, risklerin kabul edilebilir bir seviyenin altina indirilmesi ve sürekli bu seviyenin altinda kalmasini saglayacak mekanizmalarin olusturulmasidir. Yüzde yüz bir çalisma ortami olusturmak, imkansizdir. Mutlaka her çalisma ortaminda bir veya birden fazla güvenlik boslugu ve buna bagli olarak riskler olusacaktir. Yapilmasi gereken, karsi karsiya olunan riskleri dogru bir sekilde yönetmektir.
Bilisim Güvenligi açisindan kurum veya kuruluslarin karsisina çikabilecek riskler su sekildedir; Kurumda çalisan kisilerin bireysel hatalari, kurumun bilgisayarlarindaki donanim hatalari, gizli verilerin degistirilmesi veya verilerin yok olmasi, yazilim uygulamalarinin hatali veya yanlis çalismasi seklinde niteleyebiliriz.
« Standartlar ve Prosedürler
Bir kurumun güvenlik standartlari, o kurumda bulunan bilgisayar yazilim ve donanimlarin nasil kullanacagi hakkinda bilgi verir. Standartlar, gerçek hayatta ve uygulamada karsilasabilecek bütün durumlari ele almayabilir. Bu durumda bir yönerge yardimi ile standartta yeterince açik olmayan alanlar açikliga kavusturulur.
Prosedürler ise; bir isi gerçeklestirmeye yardimci olmak amaciyla hazirlanmis olan ve atilacak adimlari detayli olarak inceleyen dökümanlardir. Örnek olarak; bir yazilimin yüklenmesi, bir donanimin kurulmasi, yazilim veya donanim ayarlarinin degistirilmesi, sistemdeki kullanici hesaplarinin dogrulanmasi gibi prosedürler hazirlanabilir.
Prosedür ve standartlar; birbirleriyle bütünlük içinde birbirlerini destekleyecek biçimde hazirlanmalidir. Örnek verecek olursak; yönergede kullanicinin bir sisteme girmesi için kimlik sinamasindan geçmesi gerektigi belirtiliyorsa, ilgili prosedür de bu tür bir kimlik sinamasi yapmasi için gereken faaliyetler adim adim hazirlanmalidir ve kisinin anlayacagi sekilde belirtilmelidir.
Bilisim Güvenligi ve Bilisim Suçlarina Karsi Mücadele Dernegi
Volkan BILGIÇ
