Bilgi Güvenliğine Kurumsal Bakış
11.01.2018Aslında birçok bileşenden oluşan bilgi güvenliği konusunun başlangıcı, kişisel farkındalığı kurumsal olarak yönetebilecek bir yapının oluşturulmasıdır.
Aslında birçok bileşenden oluşan bilgi güvenliği konusunun başlangıcı, kişisel farkındalığı kurumsal olarak yönetebilecek bir yapının oluşturulmasıdır. Sonrasında kritik verinin değerlemesi ele alınmalı, kişisel ya da kurumsal verinin değerlemesi yapıldıktan sonra da uygun güvenlik politikaları için kullanılacak teknolojiler tanımlanmalıdır.
Bilgi teknolojilerinin hayatımızdaki yeri her geçen gün arttıkça bilgi güvenliği konusu daha da çok gündeme gelmeye başladı. Artık kurumsal şirketlerin yanında kişisel olarak da daha ciddi yaklaşılması gereken bir konu oldu. İnternet teknolojilerinin sağladığı avantajlar ve yarattığı fayda, her şeyimizle hayatımızı ona bağlı yaşamayı getirirken, kişisel verilerin korunması gerekliliğini ortaya çıkardı. Bu nedenle, ‘Bilgi Güvenliği’nde en önemli unsurun insan faktörü olduğundan yola çıkarak, ‘farkındalık yaratma’nın en ciddi savunma duvarımız olduğunu söyleyebiliriz.
Bilgi güvenliği aslında birden fazla halkadan oluşan geniş bir uygulama alanında değerlendirilmesi gereken bir konudur. Bireyin kişisel veri güvenliğinden başlayan ve kurumsal organizasyon ile desteklenen bir ‘kurumsal yapı’ ile yönetilmeli, gereksinimler karşısında uygun teknolojiyi belirleyecek ve güvenlik politikalarını hayata geçirebilecek teknik beceriye sahip bir ‘bilgi işlem ekibi’ ile hayata geçirilmedir. Aslında birçok bileşenden oluşan bilgi güvenliği konusunun başlangıcı, kişisel farkındalığı kurumsal olarak yönetebilecek bir yapının oluşturulmasıdır. Sonrasında kritik verinin değerlemesi ele alınmalı, kişisel ya da kurumsal verinin değerlemesi yapıldıktan sonra da uygun güvenlik politikaları için kullanılacak teknolojiler tanımlanmalıdır.
Kurumsal Yapı
Teknik tarafı nedeniyle, bilgi güvenliği konusunun sadece bilgi işlem departmanlarını ilgilendirdiği, onların çözmesi gereken bir problem olduğu düşünülür. Doğru gibi görünse de yarım bir bakış açısıdır. Bu düşünce biçimi, çözüm olarak işletmelere kazandırılan bilgi güvenliği yazılım ya da donanımlarının tam anlamıyla kullanılamamasını, dolayısıyla güvenlik zafiyetlerini de beraberinde getirmektedir. Çünkü verilerin güvenliğinin nasıl sağlanacağı ile hangi verilerin güvenliğinin sağlanması gerektiği birbirinden çok farklı konulardır ve farklı bakış açıları gerektirmektedir. Dolayısıyla ilk konu bilgi işlem departmanlarını ilgilendirse de ikinci konu iç denetim mekanizmalarının alanına girmektedir.
Bu fark edildiğinde, aslında hareket planımızın da ters sırada olması gerektiği hemen fark edilir. Yani öncelikle hangi verilerin korunması gerektiğinin belirlenmesi, sonrasında ise bu verilerin nasıl korunması gerektiği üzerine bir çalışma yapılması gerekir. Bu bağlamda, kurumsal bir yapıda ilk adım olarak bir denetim mekanizması hayata geçirilir. Gerekli yaptırımları uygulayabilmek adına yeterli yetkiye sahip, yönetim kuruluna direkt bağlı bir iç denetim departmanından bahsedebiliriz.
Böyle bir yapının kurulması bilgi güvenliğinin uygulanabilirliğini arttırır. İç denetim ekibinin iş planında, personele bilgi güvenliği ve kişisel verilerin korunması konuları ile ilgili farkındalık eğitimleri düzenlemek, şirket departman sorumluları ile görüşüp her biri için veri değerlemesini ayrı ayrı yapmak olmalıdır. Çünkü her departman için kritik verinin tanımı farklı olabilir. Sonrasında iç denetim ekibi tarafından hazırlanan bilgi güvenliği raporu yönetimin onayına sunulur. Ve bu rapora göre bilgi işlem ekibi ile gerekli teknolojik yatırımının planlaması yapılır.
Verinin Değerlemesi
Elimizdeki kullandığımız verinin tamamını koruyabilmek en azından şu an için mümkün olmadığından ister istemez bazı filtre sistemleri kullanmak durumundayız. Bu aşamada hangi verilerimizin ne derecede önemli olduğunu belirleyebilmek için bazı sorular sorarız. “Bizim için en gizli veri hangisidir?” Bu soruyu, ‘en kişisel’ ya da ‘en özel’ ifadelerini kullanarak da düzenlemek mümkün. Örneğin TC kimlik numaramız ya da kredi kartımız bu kapsama girer. Kaybı halinde o bilgiyi tekrar elde edip edemeyeceğimiz ya da elde edebilmek için gereken maliyete katlanıp katlanamayacağımız belirleyicidir. “Hangi verinin kaybı bize daha çok zarar verir” sorusunu, manevi olarak yaşayacağımız hasarı da düşünerek değerlendirebiliriz. Kurumsal olarak veri değerlemesi yaptığımızda da aslında sorularımız çok farklı değildir. İşletmelerin hangi verileri daha kritik önemdedir, kaybı halinde oluşabilecek maddi kayıpların boyutu ne olabilir, bunun marka değerine zararı ne olabilir konularında çalışılması ve öncelikle bu aşamaların tamamlanması gerekir. Kişisel verilerin değerlemesi ne kadar hızlı ve basit ise kurumsal verilerin sınıflandırması bir o kadar zor ve karmaşıktır.
• Kritik veri tanımında; kurum için anlamlı ve değerli tekrar elde etme maliyetleri yüksek ve kaybı halinin marka değerine zarar vereceği düşünülen her türlü dijital kayıttan bahsedebiliriz.
Örneğin bir Müşteri İlişkileri departmanı için CRM veri tabanının tablolarını ve Finans departmanında işlenen tüm .xls dosyalarını düşünebiliriz. İnsan Kaynakları departmanı için iletişimde olunan personelin CV’lerini, İdari İşler departmanı için bina giriş çıkış güvenliğinde personelin taşıdığı ID kartların kullanıldığı uygulamalar ve bu kayıtların tutulduğu veri tabanını düşünebiliriz. Üretim departmanı için yine aynı şekilde üretimde kullanılan proje dosyaları başlı başına kritik veriler olarak değerlendirilebilir.
Veri Tanımlamaları
Veri sınıflandırmasında günümüz teknolojilerine uygun olarak aşağıdaki başlıklar altında veri tanımlamaları mümkündür:
Veri ya da veri öbeği içerisinde belirlediğimiz anahtar kelimeler.
İçerisinde “maliyet” ya da “maaşlar” yazan anahtar kelimeler
Dünya genelinde ya da ülke bazında bir standart halinde bulunan ifadeler;
- Kredi Kartı numaraları
- Sosyal güvenlik numaraları
- TC Kimlik Numaraları
- Verileri içeren dosyaların özellikleri
- Dosya uzantıları (.xls, .pdf., .doc vb9 • Dosya boyutları (10MB’tan büyük dosyalar gibi)
Denetlenecek Veri İletişim Kanalları
İç Denetim Ekibi’nin ilgili departmanlarla yapacağı çalışma neticesinde, kurum için güvenliğinin ve izlenmesinin sağlanması gereken kritik verilerin listesi elde edilmiş olur. Bilgi güvenliği için teknik gereksinimlere ve teknolojilere karar vermeden önce belirlediğimiz verilerin hangi kanallardan transferlerine izin verileceği ve hangi güvenlik politikalarının uygulanacağına karar verilir.
Günümüzde verinin transferi için en sık kullanılan iletişim kanalları aşağıdaki gibidir:
- e-posta
- Dosya paylaşımı
- DVD yoluyla
- Harici disk
- Web Mail yoluyla
İç denetim ekibinin hazırladığı rapor doğrultusunda belirlenen kritik verilerin transferi için yukarıda belirtilen kanallardan hangilerinin şirket içinde kullanılacağına karar verilir.
Yeni Nesil Güvenlik Yaklaşımları
Bilgi güvenliğinde verinin bütünlüğü, yani üzerinde değişiklik yapılıp yapılmadığı kritik önemde bir konudur. Çeşitli korunma yolları olsa da Makine Öğrenimi ve Davranış Analizi yeteneklerinin artık daha aktif olarak kullanılması, bilinen ve bilinmeyen, yani sıfırıncı gün ataklarından korunmayı kolaylaştırmıştır. Özellikle hedefli saldırılar olarak tabir edilen, direkt kuruma yönelik olarak tasarlanan saldırılarda, mevcut zararlının daha öncesinde güvenlik üreticilerinin veri tabanı kayıtlarında olmamasından dolayı korunmak zordu. Makine Öğrenimi ile gelen davranış analizi sayesinde, artık zararlı yazılımların genel karakteristikleri ortaya çıkarılarak, henüz bilinmeyen ama benzerlik gösteren zararlı ataklar da engellenmektedir.
Sonuç olarak, tek başına teknolojiye sahip olmak veri güvenliği anlamında yeterli korumanın sağlandığı anlamına gelmiyor. Doğru bir bilgi güvenliği sağlayabilmek için insan faktörü üzerine odaklanıp yola oradan çıkmak gerekli. Doğru bir planlama için kurumsal olarak gerekli bilgi güvenliği kültürünü oluşturabilmek ve organizasyonel yapıyı teşkil etmek teknoloji yatırımından çok daha önce gerçekleştirilmelidir.