#486   2020-05-14 02:15 GMT        

Günlük Hayatımızda Her Konuda Karşımıza Çıkabilecek İnternet Ve Bilişim güvenliği alanında yönetsel önlemler; güvenlik yönetimi konusunda tüm kuralların ortaya koyulup, uygulanmasını sağlar.

Hemen hemen her konuda olduğu gibi bilişim güvenliğinin yönetiminde de polkitikaların doğru ve en üst düzey de belirlenmesi ve bu şekilde faaliyete geçirilmesi gerekir. Günümüzde medyada yayınlanan, maddi-manevi zararlara yol açan virüsler, banka sistemlerine giren hackerlar, bilgisayar ağlarına saldırıp, network alanında zarar vermeye çalışan scriptkiddie’ler, gibi bir çok alanda haberler karşımıza çıkmaktadır. Bunlarla beraber bir sistem yöneticisinin veya güvenlik uzmanının uğraştığı işler, her zaman gazete veya televizyonlarda çıkan haberlerle sınırlı kaldığı düşünülmemelidir. Bunların dışında günlük, haftalık hatta aylık olarak kısacası belirli bir periyodik çerçevede gerçekleştirilen bir takım işler vardır ki bunlar; yönetsel yöntemlerdir. Bu alanı oluşturan temel süreçler ise;

« Güvenlik Politikaları

« Güvenlik Denetimleri

« Risk Yönetimi

« Standartlar ve Prosedürler

Kurum veya kuruluşun, ağında bulunan bilgisayarlar ve bu bilgisayarlar üzerinde bulunan veriler, kurumun kritik amaçları ve hedefleri ile doğrudan bağlantılıdır. Bu sayede yönetsel yöntemler, kurumda çalışan en üst düzey yetkiliden, en alttaki son kullanıcıya kadar önem teşkil eder. Bir kurumda güvenlik yönetim biriminin temel görevi; güvenlik yönetimine yönelik yönerge ve direktifler oluşturmaktan öte, ilk olarak üst yönetimin güvenlik yönetimi ile ilgili gelen istekleri yerine getirmek olmalıdır. Üst yönetimin desteği olmadan, kurumsal tabanda güvenlik işini gerçekleştirmek zor olacağından, üst yönetim ile güvenlik yönetimi arasında iletişim kanalı kurulmalıdır.

« Güvenlik Politikaları

Güvenlik politikası; kurumda güvenliğin oynadığı rolün genel adıdır. Güvenlik politikasını hazırlayabilecek olan kişi veya kişiler; kurumun güvenlik uzmanlarından oluşan komitelerdir. Kurumda uygulanacak güvenlik kontrolleri, derin detaya inilmeden kavramsal olarak tanımlanmalıdır.

Örnek olarak; Internet Week dergisinin yaptığı araştırmaya göre yapılan ankette kurumlarında güvenlik teknolojisini kullanmakta olan oran % 70’i gösterirken, bu dilimin yalnızca % 38’i yazılı bir güvenlik politikasına sahip olduğunu bildirmiştir.

Bu konuda güvenlik politikasını uygulayan kurum veya kuruluşlarda, çalışanlar kesinlikle yasal sorumluluktan kurtulmuş olacaklardır. Bununla beraber, kuruma ait özel ve gizli bilgiler, bir başkası tarafından ele geçirilmesine, suistimale ve değiştirilmeye karşı korunmuş olacaktır. Aynı zamanda kurumun bilgi işlem yeteneğini geliştirmekle beraber, kullanılan kaynakların israfini engellemiş olacaktır.

« Güvenlik Denetimleri

Güvenlik Denetimi; bir kurumun güvenlik yapısının, güvenlik politikasının, prosedürlerin ve standartların ayrıntılı olarak ele alınması ve zayıf yönlerin tespiti ile belirlenen bu yönlerin zayıflıklarının giderilmesi için önerilerin sunulmasıdır. Başarılı bir güvenlik denetimi, tüm iş birliği taraflarının katılımıyla olur. Lakin genelde güvenlik ile ilgili bir denetim söz konusu olduğunda, bir çok insan olumsuz bir ön yargıya kapılır ve rahatsız olur. Halbuki güvenlik denetimi; kurum içerisinde güvenlik politikasına uygun çalışılıp çalışılmadığını, bilgisayarlardaki girişler ve çıkışlar, dosya işlemleri ve ağ erişim haklarının değiştirilmesini sağlar. Örnek olarak güvenlik denetiminde sorgulanabilecek konular; salt okunur veya yazılabilir verilerin belirlenmesi, önemli verileri değiştirebilecek kimliklerin tespit edilmesi, sistem erişimini ve kaynak kullanımını engelleyebilecek faktörleri, sisteme erişimin nasıl sağlanacağı, bilgisayarlar, bilgisayar ağları ve bunların bulundukları binaların fiziki açıdan güvenli olup olmadığı, sistemde yapılan değişikliklerin izlenip izlenmediği, kullanıcı grupları, kullanıcıların erişim yetkileri, kullanıcıların sahip olduğu haklar, vs diye daha bir çok denetim eklenebilir.

« Risk Yönetimi

Risk; kuruma zarar verici bir olayın gerçekleşme olasılığı olarak tanımlanabilir. Risk yönetimi ise; kurumun karşı karşıya bulunduğu risklerin tanımlanması, bu risklere karşı değer biçilmesi, risklerin kabul edilebilir bir seviyenin altına indirilmesi ve sürekli bu seviyenin altında kalmasını sağlayacak mekanizmaların oluşturulmasıdır. Yüzde yüz bir çalışma ortamı oluşturmak, imkansızdır. Mutlaka her çalışma ortamında bir veya birden fazla güvenlik boşluğu ve buna bağlı olarak riskler oluşacaktır. Yapılması gereken, karşı karşıya olunan riskleri doğru bir şekilde yönetmektir.

Bilişim Güvenliği açısından kurum veya kuruluşların karşısına çıkabilecek riskler şu şekildedir; Kurumda çalışan kişilerin bireysel hataları, kurumun bilgisayarlarındaki donanım hataları, gizli verilerin değiştirilmesi veya verilerin yok olması, yazılım uygulamalarının hatalı veya yanlış çalışması şeklinde niteleyebiliriz.

« Standartlar ve Prosedürler

Bir kurumun güvenlik standartları, o kurumda bulunan bilgisayar yazılım ve donanımların nasıl kullanacağı hakkında bilgi verir. Standartlar, gerçek hayatta ve uygulamada karşılaşabilecek bütün durumları ele almayabilir. Bu durumda bir yönerge yardımı ile standartta yeterince açık olmayan alanlar açıklığa kavuşturulur.

Prosedürler ise; bir işi gerçekleştirmeye yardımcı olmak amacıyla hazırlanmış olan ve atılacak adımları detaylı olarak inceleyen dökümanlardır. Örnek olarak; bir yazılımın yüklenmesi, bir donanımın kurulması, yazılım veya donanım ayarlarının değiştirilmesi, sistemdeki kullanıcı hesaplarının doğrulanması gibi prosedürler hazırlanabilir.

Prosedür ve standartlar; birbirleriyle bütünlük içinde birbirlerini destekleyecek biçimde hazırlanmalıdır. Örnek verecek olursak; yönergede kullanıcının bir sisteme girmesi için kimlik sınamasından geçmesi gerektiği belirtiliyorsa, ilgili prosedür de bu tür bir kimlik sınaması yapması için gereken faaliyetler adım adım hazırlanmalıdır ve kişinin anlayacağı şekilde belirtilmelidir.

Bilişim Güvenliği ve Bilişim Suçlarına Karşı Mücadele Derneği (www.bg.org.tr)