Genel Olarak ;
Günümüzde bireyler, kuruluşlar ve devletler için “Bilgi” kavramı maddi ve somut varlıklardan daha önemli bir varlık haline gelmiş bulunmaktadır. Artık her türlü iş ve işlemin elektronik ortamda gerçekleştiği göz önüne alındığında ve kişisel bilgilerimiz dahil, özellikle şirketlerin maddi varlıklara dönüşecek ticari sır niteliğindeki bilgileri, stratejik planlar, fikri ve sınai mülkiyete dayalı bilgileri, müşteri, personel bilgileri, iç işleyişe yönelik politikaları bilişim sistemlerinde yer almakta ve elektronik ortamlarda işlenmektedir.
Unutulmamalıdır ki; güvenliği sağlanmamış bilişim sistemleri, siber saldırılar ve bilişim suçluları için en uygun ortamı oluşturmaktadır.
Güvenliği sağlanmış sistemlerde dahi, her geçen gün malware yazılımlarla güvenlik duvarlarının açıkları aranmakta ve zayıflıkları tespit edilmeye çalışılmaktadır. Günümüzde bilgiye sızma veya ele geçirme çeşitleri ve saldırıları oldukça artmış olup siber terörizm, güvenlik duvarlarının dışında, bilgiye saldırmak için adeta ufak bir delik aramaktadır diyebiliriz. Bu eylemler karşısında ise bilginin korunması, Bilgi Güvenliği (İnformation Security) adıyla anılan tamamen ayrı bir disiplinin oluşmasına neden olmuştur.
Saldırı ve casusluklardan korunmak için “Bilgi”nin; yazılım-donanım ve fiziki yönlerden güvenliğini sağlamak, şirketlerin hem kendi menfaat ve itibarlarına katkı yapacak, hem de belirli yasa ve standartlara uyumu sağlayacaktır. Tabidir ki, bilgi her ne kadar maksimum düzeyde dahi korunsa, mutlak güvenliğinin sağlanması mümkün olamayacaktır.
Bilgi kaçağına yol açacak ve özellikle dikkat edilmesi gereken diğer bir alan ise, bizzat insan unsuru yani personel, tedarikçiler ve şirkete gelen ziyaretçilerdir.
Bilginin; ihmalen, kusur kapsamında ya da kasıtlı olarak, bilgi sahibinin rızası hilafına kötüniyetle veya şirket içi ya da dışı casusluk faaliyetleri dahilinde, üçüncü kişilerle/rakiplerle paylaşılması söz konusu olabilir.
Casusluk ve muhtelif espiyonaj faaliyetleri bakımından bilgiyi korumak için neler yapılabilir ?
Öncelikle personelin ihmal suretiyle veya kusurlu olarak bir güvenlik ihlalinde bulunmasının önlemesi için, şirketlerin bir takım planları kurgulayıp uygulamaya geçirmesi ve tüm çalışanlar için (personel,tedarikçiler, grup şirket çalışanları vs.) bilgi güvenliği ve gizlilik bakımlarından bilinç oluşturması önemlidir.
Bu bilincin sağlanması ve sistemli bir yol haritası için öncelikle;
- 1. Bilgi güvenliği ve gizlilik konusunda politikalar oluşturulmalıdır.
2. Bilgi güvenliğine yönelik politika ihlalleri halinde, ihmal veya kusurun derecesine göre kademelendirilmiş yaptırımlar belirlenmelidir.
3. Yaptırımları da içeren bu politikalar, uygun bir şekilde tüm personele duyurulmalıdır.
4. Personele, çözüm ortaklarına, tedarikçilere periyodik olarak şirket içi eğitimler verilmeli ve yeni başlayan personel için hazırlanacak oryantasyon programlarında, mutlaka bilgi güvenliği ve gizlilik eğitimlerine yer verilerek, personelin bu eğitimleri aldığı da belgelenmelidir.
5. Şirket içerisinde bilgi güvenliği farkındalığı, çeşitli uygulama ve anketlerle sürekli ölçülmelidir.
6. Bilgi varlıkları önem ve gizlilik açısından sınıflandırılarak, bilginin şirket içinde veya dışında bu sınıflandırmaya uygun olarak kullanılması sağlanmalıdır. Örneğin G-5 kodu herkese açık bir bilgiyi ifade edebilirken, G-1 kodu altında çok gizli bir bilginin yer aldığı ve sadece belirli kişilerin ulaşabileceği bir bilgi olduğu, G-3 kodlu bir belgenin şirket dışına çıkarılamayacağı ve tüm personele açık olduğu anlaşılmaldır.
7. Yukarıdaki şekilde sınıflandırılmış gizlilik kodları, şirketin yazılı, basılı ve elektronik ortamdaki tüm materyallerinde adeta bir mühür gibi yer almalı ve tüm ilgililere belletilmelidir.
8. İşe yeni başlayacak olan personel adaylarının geçmişleri iyi incelenmeli ve ilgili personel hakkında yeterli güven oluşmalıdır.
9. Şirket sistemine dışarıdan erişim mevcutsa, bu şekilde çalışacak personel için kriptolu uzaktan erişim uygulamalarının sağlanması (vasco-digipass) ve bu erişimlerin de kayıtlarının loglanması önemlidir. Ayrıca hangi programlara, kimlerin ve hangi kademelerde (okuma, değiştirme, paylaşma vb.) erişmesi gerektiği de belirlenmelidir.
10. Bu aksiyonlar iç ve dış denetçilere periyodik olarak denetlettirilerek eksiklikler saptanmalı ve uyum süreci takip edilmelidir.
Yukarıdaki liste, şirketin büyüklüğüne sektörün hassaslığına, şirketin imtiyazlı olup olmamasına göre çoğaltılabilecektir. Bilgi güvenliği ve gizlilik kontrolünün sağlanmasında, yukarıda belirttiğimiz donanım-yazılım ve fiziki güvenlik uygulamalarının önemi ortadadır.
Fiziki güvenlik yönünden kameralar, biyometrik veya elektronik geçiş sistemleri ve diğer uygun fiziki yapılanmalar, bilgi hırsızlığı ve casusluk faaliyetlerini asgari düzeye düşereceği gibi (caydırıcılık) bir bilgi kaçağının olması halinde de, bunu yapanların tespit edilmesini kolaylaştıracağından, bu yöndeki yararları yadsınamayacaktır.
Genelde kötü niyetli olarak, bilgiyi ele geçirmeye yönelik casusluk faaliyetlerinin engellenmesi, şirketler için göz önüne alınması gereken ciddi bir husustur. Özellikle büyük ya da küçük ölçekli şirketlerde “nasıl olsa bizim kuruluşumuzda casusluk gibi faaliyetler olmaz” şeklindeki bir anlayışın terkedilmesi, korumayı başlatmak için atılacak ilk adımdır.
Bazı casusluk eylemlerinin altında, zorlamaya maruz kalmış, haksızlığa uğratıldığını düşünen, işletmeye küsen kişilerin intikam duygusuyla hareket ederek, casusluk ve bilgi hırsızlığı faaliyetinde bulundukları, uygulamada rastlanan vakalardandır. [Örnek, Rusya’da 2002 yılında, petrol ve gaz şirketi olan Gazprom’un küstürülen bir çalışan, Gazprom’un bilgisayar sistemlerini kontrol altına almak üzere bir hacker grubuna katılmıştır (Quinn, 2002 Cracks in the system. Time Europe ).] Tabiki bu konuda işletmelerin alacağı çok da fazla bir önlem olmadığını belirtmek gerekir. Zira, çoğu insan (makul sınırların dışında) öznel düşüncelerle hareket edebildiğinden, hangi durumun çalışana haksızlık olarak değerlendirileceği de cevaplanamayacak bir soru olarak kalmaktadır.
Şirkete çeşitli kanallardan sızan ajanlar da olabilir. Bu nedenle bilgileri korumakla yükümlü olanların, tedarikçiler veya işletmeye temizlik, teknik, güvenlik vb.destek veren üçüncü parti çalışanları konusunda hassas davranmaları ve özellikle bu çeşit hizmet sağlayan şirketlerin, rakiplerle veya rakiplere yakın şirketlere hizmet vermediğinin araştırılması yerinde olacaktır. Bu nedenle destek hizmetleri sağlayan şirketler seçilirken, ayrıntılı olarak bu şirketlerin ortaklık yapıları ve referanslarının incelenmesi tavsiye edilir.
Yukarıda belirttiğimiz casusluk faaliyetlerinin engellenebilmesi amacıyla, fiziksel güvenlik önlemlerinin içerisinde yer alacak ve önemsiz gibi görünen, aslında ciddiyet arz eden bir kaç noktaya da değinilmesi yararlı olacaktır.
-Örneğin; yazıcıların ve evrakın tutulduğu alanlara, kağıt imha makinaları yerleştirilerek, açıkta yazılı bilgi bırakılmaması, makul bir maliyet ile sağlanabilir.
-Özellikle üst düzey yöneticilerin ofislerinde, toplantı odalarında periyodik olarak, böcek ve gizli kamera taraması yapılarak, herhangi bir casusluk faaliyeti olup olmadığı belirlenebilir.
Bu makalenin devamını burayı tıklayarak okuyabilirsiniz.
Kaynak : 