Niçin İhtiyaç Duyuyoruz
Güvenlik Politikası Nasıl Hazırlanır
Güvenlik politikaları, kurumların bilgi işlem sistemleri alanında
yaptıkları yatırımları güvenli tutmalarını sağlayan ve kurumsal hayatın
bir parçası haline getiren uygulamalardır. 1990'ların sonuyla beraber
bilgi işlem sistemine yapılan yatırımların son derece hızlı şekilde
artması ve yine aynı dönemde bilgi işlem hırsızlıklarının boyutlarının
büyümesi, güvenlik politikalarını zorunluluk haline getirmiştir.
Computer Security Institute tarafından 1996'dan beri yapılmakta olan
kurumsal güvenlik araştırmaları, bilgi işlem sistemlerinin karşı karşıya
olduğu risklerin boyutlarını net şekilde göstermektedir. 1998 yılında
araştırmaya katılan kuruluşların %64'ü bilgi işlem açıkları ve
tehditleri ile karşı karşıya olduğunu belirtmekteyken, bu rakam 2000
yılında %70'lere çıkmıştır.
Yine bu araştırmaya göre en büyük tehlikeler, kurum dışından değil,
kurum içinden kaynaklanmaktadır. Bu nedenle de güvenlik yalnızca
dışarıya karşı koruma şeklinde algılanmamalı, kurumsal bilgi işlem
sistemlerini, bütünleşik bir bakış açısıyla değerlendirmelidir. Güvenlik
politikaları, bu ihtiyacı karşılamak üzere ortaya çıkmıştır.
Güvenlik politikaları, bilgi işlem sistemlerinde meydana gelebilecek
açıklarda, kurumun yasal yükümlülüklerini asgariye indirebilmektedir.
Kurumun, bilgi işlem sistemlerinin güvenliğini kontrol altına alabilmek
için yaptığı tüm çalışmaların belgelenmesi, yasal açıdan kurumu
tehlikelerden koruyabilecek bir kalkan olarak ortaya çıkmaktadır.
Ayrıca güvenlik politikaları, maliyet-fayda ve yatırımın geri dönüşü
(ROI) analizleri yapılmasını, ve kısıtlı kaynakların verimli
kullanılmasını sağlayacaktır. Çünkü güvenlik politikalarının en önemli
özelliklerinden biri, var olan bütçeyle, riskler ve tehlikeler arasında
optimum dengenin bulunabilmesini sağlamasıdır.
- Güvenlik Politikası Nasıl Hazırlanır
Güvenlik politikaları hazırlanırken, üç ana aşamadan geçilir:
a) İhtiyaçların belirlenmesi,
b) Güvenlik politikasının yazılması,
c) Güvenlik politikasının uygulanması
İhtiyaçların Belirlenmesi:
Bu aşamada, kurumsal bilgi işlem kaynakları sınıflandırılır,
kullanıcılar ve yöneticiler belirlenir ve öncelik sıralamaları
oluşturulur.
1. Varlıkların Belirlenmesi:
Güvenlik politikası çalışmalarında öncelikli olarak bilgi değeri olan
varlıklar sınıflandırılır. Bu sınıflandırma coğrafi esaslara göre
olabileceği gibi (binalar, fabrikalar, farklı şehirlerdeki tesisler
gibi), fonksiyonal alanlara göre (üretim, finans, pazarlama gibi) ya da
teknoloki türlerine göre (Windows 2000, UNIX, vs gibi) de olabilir.
2. Erişim İhtiyaçlarının belirlenmesi:
Yukarıda belirtilen sınıflandırma sonucu neyi korumak ve güvenlik tutmak
istediğimizi belirlendikten sonra, kullanıcıların hangi bilgiye ne
zaman ve ne şekilde ulaşmaları gerektiği belirlenir. Örneğin muhasebe
bölümünün üretimle ilgili, üretim bölümünün, insan kaynakları ile ilgili
bilgilere sınırlı şekilde erişmesi gerekebilir. Bu haklar ve ihtiyaçlar
dokümante edilerek her departman için öncelik sıralamaları oluşturulur.
3. Güvenlik Tehditlerinin Belirlenmesi:
Bilgi işlem sistemlerine yönelik tehdit örnekleri arasında sosyal
mühendislik, şifre kırma, network izleme, denial of service gibi
çalışmalar yer almaktadır. Bu tehditlerden hangilerinin kurum için en
büyük tehlikeyi içerdiği incelenir.
4. İş Risklerinin Belirlenmesi:
Bilgi işlem sistemlerine yönelik (ve yukarıda belirtilen aşama ile
ortaya çıkartılan) tehditlerin yaratabileceği iş zararlarının boyutları
incelenir. Bu risklerin boyutları, senaryo analizi sonucunda ortaya
çıkartılır. Örneğin, potansiyel bir problem durumunda, en kötü
olasılıkla 100,000 USD, ortalama olasılıkla 50,000 USD, en iyi
olasılıkla 10,000 USD kaybedileceği hesaplanabilir.
5. Yeni İş Olasılıklarının Belirlenmesi:
SSL benzeri güvenli yöntemler kullanılarak elektronik ortamda pazarlama
ve satış tekniklerinden hangilerinin kullanılabileceği, bu durumlarda
potansiyel getirilerin ve maliyetlerin ne olacağı hesaplanabilir.
Güvenlik Politikasının Yazılması:
Güvenlik ihtiyaçları belirlendikten sonra, güvenlik politikasında
yeralması gereken noktalar ortaya çıkmıştır. Güvenlik politikalarında
genellikle aşağıdaki bölümler yeralır:
1. Giriş mektubu:
Genellikle Genel Müdür veya şirket yönetiminden yetkili bir kişinin
imzasını taşıyan böyle bir mektup, Güvenlik Politikasına verilen yönetim
desteğini göstermek için önemlidir.
2. Amaç:
Bu noktada güvenlik politikasının hangi amaçla hazırlandığı, kimler
tarafından kullanılacağı ve kullanımının kimler tarafından izleneceği
açık ve net şekilde belirtilmelidir.
3. Yetki ve Sorumluluklar:
Yukarıdaki Amaç bölümünde belirtilen kullanıcı ve yöneticilerin,
Güvenlik politikası çerçevesindeki yetki ve sorumlulukları belirtilir.
Bu, kullanıcı ve yöneticilerin yetki ve sorumlulularını belirtmenin yanı
sıra, yetkili kişilerin veya yetkili pozisyonların da açık tarifini
yapmalıdır.
4. Bilgisayar ve Internet kullanımı:
Bu bölüm, kurumun bilgisayarlarının ve bilgi işlem sistemlerinin
kullanımı hakkında genel kullanım kuralları içerir. Bu bölümde, örneğin
Internet'e hangi kullanıcıların gireceği, Internet'ten hangi tür
dosyaların indirilmesine izin verilebileceği, kullanıcıların hangi
durumlarda ne gibi sorumlulukları olduğu belirtilir.
5. Erişim kontrolü:
Bu bölümde, kimlik belirleme, onaylama, şifrelerin belirlenme ve
kullanılma kuralları, hesap yönetimi, şirket dışı personel tarafından
(örneğin bayiler) şirket kaynaklarına ulaşım hakları gibi alanlar
düzenlenir.
6. E-posta:
Bu bölümde, belirli durumlarda e-postaların izlenebilmesi,
e-postaların şifrelenmesi, mesajların arşivlenmesi gibi e-posta kullanım
kuralları belirlenir.
7. Laptop, PDA ve Benzeri mobil cihazların kullanımı:
Laptop ve PDA gibi mobil cihazlar, şirket bilgilerini şirket
sınırları dışında taşıdıklarından, bilgi işlem sistemleri için önemli
açıklar içerebilmektedir. Bu nedenle mobil cihazlarda hangi koruma ve
güvenlik yöntemlerinin kullanılacağı bu bölümde belirlenmelidir.
8. Internet Güvenliği:
Bu alanda Internet kullanım saatleri, kuralları, Internet'ten HTTP
veya FTP protokolleri ile ile hangi dosya tiplerinin Internet'ten
indirilebileceği gibi noktalar belirtilir. Ayrıca kurum elemanlarının
VPN gibi bir teknoloji ile Internet üzerinden kurum sistemlerine nasıl
ulaşacağı, şifreleme yöntemleri irdelenir.
9. Ağ Güvenliği
Router, Firewall gibi ağ güvenliği ürünlerinin kullanımı, Internet
üzerinden, VPN benzeri teknolojileri kullanarak şubeler arası bilgi
paylaşımı, modem kullanımı gibi konular bu bölümde yeralır.
10. Fiziksel Güvenlik:
Binaya, server odalarına erişimin nasıl olacağı, kullanıcıların iş
istasyonlarının zimmet kuralları, ağ altyapısı gibi konular bu bölümde
yeralır.
Güvenlik Politikasının Uygulanması:
Yazılı bir güvenlik politikasına sahip olan kurumların önündeki en
önemli görev, bu güvenlik politikasının düzenli olarak kullanımının
sağlanmasıdır. Pek çok kurum, yazılı prosedürleri günlük hayatın parçası
haline getirmekte zorlanmaktadır. Burada en önemli ihtiyaç,
kullanıcıların eğitimidir. Bu eğitim, bilgi işlem güvenliğinin neden son
derece önemli olduğunu, kullanıcıların günlük hayattaki çalışma
presiplerinin neden bilgi işlem güvenliği için potansiyel bir tehdit
teşkil edebileceğini açıklamalıdır.
Ayrıca güvenlik politikaları düzenli olarak gözden geçirilmeli, yeni
gelişmeler, ihtiyaçlar ve tehditlerin ışığında gerekirse yenilenmelidir.
Bu, Güvenlik Politikalarının yaşayan sistemler haline gelmesini ve
uygulamanın da kurumun günlük hayatının bir parçası haline gelmesini
sağlamak için son derece önemlidir.
Etkili Bilgi İşlem Güvenlik Politikalarının özellikleri
. Uzun vadeli bakış açısı
. Kısa ve net değerlendirmeler
. Sorumluluk, yetki ve rollere dayalı
. Gerçekçi
. İyi tanımlanmış
. Düzenli yenilenen