Son dönemde gerçekleştirilen geniş çaplı saldırılar, genel kabul ile Bilgi Güvenliği altında değerlendirilmekle birlikte, son dönemdeki yaygın olarak kullanılan adıyla Siber Güvenlik (Cyber Security) kavramını tekrar çok konuşulan konular listesine yerleştirdi.
Bir kurumun işleyisinin en önemli ve ayrılmaz bir parçası haline gelmiş olan Bilgi Güvenliği sisteminin hayata geçirilmesi için uzun bir süredir yürütülen çalışmalar, önemli ölçüde olgunlaşarak, bir kurumun iş süreçleri ve birimlerinin tamamını kapsayacak hale gelmiştir. Hatta bu çalışmalar, standart boyutuna kadar ulaştırılabilmiş ve bir kurumun işleyişine uyarlanabilir, şeffah ve yönetilebilir sistemler haline getirilebilmiştir. Bu çalışmaların en kapsamlılarından biri olarka COBIT 5.0 yönetim çerçevesidir.
Bilgi güvenliği uygulamaları ve kurallar dikkate alındığında, bütün dikkatlerin kurum çalışanlarına yöneldiği, başta eğitimler olmak üzere kurallar ve politikaların da yoğun olarak çalışanları kapsayacak biçimde yazıldığı, tasarlandığı görülecektir.
Bütün kurum çalışanları derken başta Bilgi Teknolojileri çalışanları başta olmak üzere yöneticiler de Bilgi Teknolojileri çalışanları dışında kalan kurum çalışanlarını kapsayacak bir tanım yapma konusunda neredeyse hemfikirdirler.
Ilginç bir biçimde Bilgi Teknolojileri bölümü çalışanları, bu tanım içinde yer almadıkları konusunda sanki fikir birliği içindedirler. Bu nedenle de temel Bilgi Güvenliği pratiklerinin uygulanması konusunda “hassas” davrandıklarını söylemek ne yazık ki çok doğru olmayacaktır.
Bilgi Güvenliği Organizasyonu, Örgütteki Yeri ve Algı
Kurumların organizasyon şemaları incelendiğinde, yaygın olarak Bilgi Güvenliği biriminin, Bilgi Teknolojileri’nin bir alt birimi olarak konumlandırıldığı görülecektir. Bilgi Güvenliği uygulamalarının etkinliğini arttırmak ve kurumun genelini kapsadığının bir göstergesi olarak yönetim masasında yer alan bir temsilcinin varlığının etkili olacağı düşünülmüş, kurumların bir kısmında doğrudan genel müdür ya da CEO’ya bağlı organizasyonlar da oluşturulmaya başlanmıştır. Hatta doğrudan yönetim kuruluna raporlayan Bilgi Güvenliği birimleri dahi konuşulur ve uygulanır hale gelmiştir.
Günümüzde Bilgi Güvenliği kavramı, Bilgi Teknolojileri alanında önemini daha da arttırarak Siber Güvenlik olarak anılmaya başlamıştır.
Bununla beraber Bilgi Teknolojileri birimlerinin işleyişine baktığımızda beklenen bütünleşmenin gerçekleşmemiş olduğunu görmek ne yazık ki üzüntü veriricidir.
Bilgi Teknolojileri biriminin bir alt birimi olarak çalışan Bilgi Güvenliği ya da Siber Güvenlik birimleri, önemli ölçüde liderlik ve operasyonel etkinlilk sorunu yaşamaktadırlar. Bilgi Teknolojileri birimi içinde diğer alt birimlerle eş yönetim düzeyinde bir yapıya sahip olsalar da ne yazık ki önemli ölöüde liderlik ve eş güdüm sorunları yaşamaktadırlar.
Her ne kadar aynı birim içinde yer alsalar da Bilgi Güvenliği hala tek başına, farklı bir birim olarak algılandığı gibi tanımladığı politikalar, standartlar ya da çalışma biçimleri de diğer Bilgi Teknolojileri birimleri tarafından dahi kedi işlerine müdahale olarak değerlendirilmekte ve işleri yavaşlattıkları, ek maddi ve operasyonel yükler getirdikleri ileri sürülebilmektedir. Böylelikle de Bilgi Teknolojileri çalışanları dahi en temel Siber Güvenlik ilkelerini gözardı eder hale gelmektedir.
Bir diğer nokta ise politikalar, kurallar ve ilkeler açısından denetleyecekleri ya da en azından kontrol edecekleri CIO’ya raporluyor olmaları, önemli bir çatışma olasılığı da yaratmaktadır.
Bilgi Güvenliği’nin, daha etkili olabilmesi amacıyla doğrudan üst yönetime, genel müdür ya da yönetim kuruluna bağlandığı durumlarda, yukarda bahsedilen ayrışma daha da ön plana çıkarak bütünü ile farklı bir birim olarak algılanan Bilgi Güvenliği ya da Siber Güvenlik birimlerine ilişkin Bilgi Teknolojileri birimlerinde çalışanlar açısından olumsuz düşünceler kuvvetlenmektedir.
Bilgi Güvenliği Yönetim Sistemi Kontrolleri
Bilgi Güvenliği Yönetim Sistemlerinin sağlıklı bir biçimde kurulabilmesi amacıyla hazırlanmış olan standartlara ve çerçeve programlara bakıldığında, kontrollerin önemli bir bölümünün Bilgi Teknolojileri çalışanlarının takibetmesi amacıyla hazırlanmış olduğu görülecektir.
Bilgi Teknolojileri çalışanlarının bilgiye erişim olanak ve fırsatlarının genişliği ve çeşitliliği her ne kadar kontrollerin sayısını arttırıyor olsa da bu durum, Bilgi Teknolojileri çalışanlarının Bilgi Güvenliği kavramı ile aralarındaki ilişkinin çok da kuvvetli olmadığını gösteren en önemli verilerden birisidir.
Daha da önemlisi, denetim raporları incelendiğinde, kontrollerin uygulamalarında eksiklikler, tekrar eden denetim bulguları gibi bir çok durumla karşılaşmak da mümkün.
Bilgi Teknolojileri denetim sonuçlarının kapatılma süreçleri incelendiğinde, bir çoğunun oldukça uzun zaman aldığı, uzun süre teknik bahaneler kullanılarak kapatılmadığı görülecektir. Daha da önemlisi ana sorun kaynağı olan uygulama ya da süreci ortadan kaldırmak yerine sadece o andaki denetim bulgusunu düzeltip sonrasında alışkanlıklara devam etme eğiliminin de çok yüksek olduğu söylenebilir.
Bu eğilim, denetim bulgularının tekraar eder bir biçimde ortaya çıkmasına, kimi zaman ise sayısının sürekli artmasına yol açmaktadır.
İşini İyi Bilmek, Aşırı Güven
Her Bilgi Teknolojileri çalışanı, öncelikle kendi yaptığı işe, kullandığı teknolojiye güvenerek güne başlar. Bu güveni taşımadığında işini yürütebilmesi mümkün olamayacağı gibi çalıştığı kurumun işlevini yerine getirmesi de mümkün olmayacaktır.
Bununla beraber bu güvenin miktarı ya da niteliği değiştiğinde, sadece kurum için değil, bütün siber ortam için bir risk ortaya çıkabilmektedir.
Bilgi Teknolojileri çalışanlarında sıklıkla görülen fanatik taraftarlık, kullandığı ürün ya da teknolojiye aşırı bağımlılık, bu teknoloji ya da ürünü yüceltme, her derde deva sihirli bir araç olarak görme davranışı, diğer teknoloji ve ürünleri, hatta kullanıcıları küçümseme biçiminde de evrilebilmektedir.
Kullandığı teknoloji ve kendine aşırı güven noktasına ulaşan Bilgi Teknolojileri çalışanları ile Bilgi Güvenliği ilkelerini konuşmak, daha da önemlisi belirlenen kontrolleri uygulamasını sağlamak giderek güçleşmektedir. Belirli bir işletim sisteminin çok güvenli olduğuna inanmış bir sistem yöneticisinin sunucu güçlendirme konfigürasyonlarını yapması için şkna etmek, bu konfigürasyonların yapılması politikalarla desteklense ve zorunlu hale getirilmiş olsa dahi çok kolay olmayacaktır ne yazık ki.
Her ne kadar bir çok hatada kullanıcıları suçlamakla başlasak da konuşmamıza, için aslına baktığımızda bir çok temel güvenlik önleminin sistem konfigürasyonu seviyesinde yapılmamış olduğunu da görüyoruz. Kullanıcı ne yaparsa yapsın, firewall konfigürasyonunu düzgün yapmış bir sistem yöneticisi, kullanıcı hatası ya da bilgisizliği sonucu oluşabilecek güvenlik açığı ve ataklarının riskini de en aza indirecektir.
Öte yandan kullanıcı ne kadar dikkatli olursa olsun, en temel güvenlik noktalarından biri olan firewall üzerinde dahi yanlış konfigürasyon yapan, güvenlik teknolojilerini anlamak konusunda çaba göstermeyen, güvenliği işinin bir bütünleşik bir parçası olarak görmeyen sistem yöneticisi kurum için büyük bir yıkıma yol açabilecektir. Bir zararlı kodla enfekte olmuş bir son kullanıcı sisteminin, kurum iletişim ağı üzeründen, yanlış sistem konfigğrasyonları nedeniyle haberleşmeye başlaması kurumu da sorumlu hale getirerek saldırının etki ve boyutunu büyütebilecek duruma gelebilmektedir.
Bütün bu noktalar dikkate alındığında, Bilgi Teknolojileri kulalnıcıları için düzenlenen bilgilendirme eğitimlerinin yanı sıra Bilgi teknolojileri çalışanalrı için daha yoğun eğitimler düzenlenmesi kaçınılmaz bir zorunluluk haline gelmiştir.
Bilgi Teknolojileri çalışanlarının, Bilgi Güvenliği kontrol, önlem, kural ve politikalrını işi yavaşlatan, zorlaştıran bir yığın doküman olarak görmekten uzaklaşıp, işlerinin en önemli parçalarından biri olarak görmelerinin zamanını geldi de geçiyor bile,
Bilgi Güvenliği politika ve pratiklerinin uygulanmaması, kuruma verdiği zararın yanı sıra Bilgi Teknolojileri çalışanlarının yasal olarak da sorumluluklarla karşı karşıya kalmalarına neden olabilmektedir. Daha da önemlisi, Bilgi Güvenliği politika, kural ve uygulamaları, toplumun güvenli bir biçimde internet kullanımına katkı sağlayarak topyekün bir fayda da sağlamaktadır.
Günümüzde kullandığımız otomobillerde sonradan eklenmiş bir ABS sistemi, aldıktan sonra üzerine takılan hava yastıkları, evdekii kemerlerle yapılmış bir emniyet kemeri sistemi nasıl düşünülemezse, daha da önemlisi bu sistemlerin yer almadığı bir araç nasıl artık düşünülemiyorsa, bu fiziksel gğvenlik sistmelerinin araçlarla bütünleştiği gibi Bilgi Teknolojileri sistem, donanım ve süreçleri ile bütünğ ile entegre olmuş Bilgi Gğvenliği sistemleri kurmanın zamanı çoktan geldi.
Bu entegrasyonun en önemli bileşeninin de Bilgi Teknolojileri çalışanları olduğunu her zaman aklımızda bulundurmak gerekiyor.
Güvenli günler dileğiyle,
Kaynak : 