Güvenlik Politikaları

  1. Ana Sayfa
  2. Blog
  3. Internet ve Ağ Güvenliği
  4. Güvenlik Politikaları
  • Niçin İhtiyaç Duyuyoruz
  • Güvenlik Politikası Nasıl Hazırlanır

    • Güvenlik politikaları, kurumların bilgi işlem sistemleri alanında yaptıkları yatırımları güvenli tutmalarını sağlayan ve kurumsal hayatın bir parçası haline getiren uygulamalardır. 1990'ların sonuyla beraber bilgi işlem sistemine yapılan yatırımların son derece hızlı şekilde artması ve yine aynı dönemde bilgi işlem hırsızlıklarının boyutlarının büyümesi, güvenlik politikalarını zorunluluk haline getirmiştir.

    • Niçin İhtiyaç Duyuyoruz

    Computer Security Institute tarafından 1996'dan beri yapılmakta olan kurumsal güvenlik araştırmaları, bilgi işlem sistemlerinin karşı karşıya olduğu risklerin boyutlarını net şekilde göstermektedir. 1998 yılında araştırmaya katılan kuruluşların %64'ü bilgi işlem açıkları ve tehditleri ile karşı karşıya olduğunu belirtmekteyken, bu rakam 2000 yılında %70'lere çıkmıştır.

    Yine bu araştırmaya göre en büyük tehlikeler, kurum dışından değil, kurum içinden kaynaklanmaktadır. Bu nedenle de güvenlik yalnızca dışarıya karşı koruma şeklinde algılanmamalı, kurumsal bilgi işlem sistemlerini, bütünleşik bir bakış açısıyla değerlendirmelidir. Güvenlik politikaları, bu ihtiyacı karşılamak üzere ortaya çıkmıştır.

    Güvenlik politikaları, bilgi işlem sistemlerinde meydana gelebilecek açıklarda, kurumun yasal yükümlülüklerini asgariye indirebilmektedir. Kurumun, bilgi işlem sistemlerinin güvenliğini kontrol altına alabilmek için yaptığı tüm çalışmaların belgelenmesi, yasal açıdan kurumu tehlikelerden koruyabilecek bir kalkan olarak ortaya çıkmaktadır.

    Ayrıca güvenlik politikaları, maliyet-fayda ve yatırımın geri dönüşü (ROI) analizleri yapılmasını, ve kısıtlı kaynakların verimli kullanılmasını sağlayacaktır. Çünkü güvenlik politikalarının en önemli özelliklerinden biri, var olan bütçeyle, riskler ve tehlikeler arasında optimum dengenin bulunabilmesini sağlamasıdır.

    • Güvenlik Politikası Nasıl Hazırlanır

    Güvenlik politikaları hazırlanırken, üç ana aşamadan geçilir:
    a) İhtiyaçların belirlenmesi,
    b) Güvenlik politikasının yazılması,
    c) Güvenlik politikasının uygulanması

    İhtiyaçların Belirlenmesi:
    Bu aşamada, kurumsal bilgi işlem kaynakları sınıflandırılır, kullanıcılar ve yöneticiler belirlenir ve öncelik sıralamaları oluşturulur.

    1. Varlıkların Belirlenmesi:
    Güvenlik politikası çalışmalarında öncelikli olarak bilgi değeri olan varlıklar sınıflandırılır. Bu sınıflandırma coğrafi esaslara göre olabileceği gibi (binalar, fabrikalar, farklı şehirlerdeki tesisler gibi), fonksiyonal alanlara göre (üretim, finans, pazarlama gibi) ya da teknoloki türlerine göre (Windows 2000, UNIX, vs gibi) de olabilir.

    2. Erişim İhtiyaçlarının belirlenmesi:
    Yukarıda belirtilen sınıflandırma sonucu neyi korumak ve güvenlik tutmak istediğimizi belirlendikten sonra, kullanıcıların hangi bilgiye ne zaman ve ne şekilde ulaşmaları gerektiği belirlenir. Örneğin muhasebe bölümünün üretimle ilgili, üretim bölümünün, insan kaynakları ile ilgili bilgilere sınırlı şekilde erişmesi gerekebilir. Bu haklar ve ihtiyaçlar dokümante edilerek her departman için öncelik sıralamaları oluşturulur.

    3. Güvenlik Tehditlerinin Belirlenmesi:
    Bilgi işlem sistemlerine yönelik tehdit örnekleri arasında sosyal mühendislik, şifre kırma, network izleme, denial of service gibi çalışmalar yer almaktadır. Bu tehditlerden hangilerinin kurum için en büyük tehlikeyi içerdiği incelenir.

    4. İş Risklerinin Belirlenmesi:
    Bilgi işlem sistemlerine yönelik (ve yukarıda belirtilen aşama ile ortaya çıkartılan) tehditlerin yaratabileceği iş zararlarının boyutları incelenir. Bu risklerin boyutları, senaryo analizi sonucunda ortaya çıkartılır. Örneğin, potansiyel bir problem durumunda, en kötü olasılıkla 100,000 USD, ortalama olasılıkla 50,000 USD, en iyi olasılıkla 10,000 USD kaybedileceği hesaplanabilir.

    5. Yeni İş Olasılıklarının Belirlenmesi:
    SSL benzeri güvenli yöntemler kullanılarak elektronik ortamda pazarlama ve satış tekniklerinden hangilerinin kullanılabileceği, bu durumlarda potansiyel getirilerin ve maliyetlerin ne olacağı hesaplanabilir.

    Güvenlik Politikasının Yazılması:

    Güvenlik ihtiyaçları belirlendikten sonra, güvenlik politikasında yeralması gereken noktalar ortaya çıkmıştır. Güvenlik politikalarında genellikle aşağıdaki bölümler yeralır:

    1. Giriş mektubu:

    Genellikle Genel Müdür veya şirket yönetiminden yetkili bir kişinin imzasını taşıyan böyle bir mektup, Güvenlik Politikasına verilen yönetim desteğini göstermek için önemlidir.

    2. Amaç:

    Bu noktada güvenlik politikasının hangi amaçla hazırlandığı, kimler tarafından kullanılacağı ve kullanımının kimler tarafından izleneceği açık ve net şekilde belirtilmelidir.

    3. Yetki ve Sorumluluklar:

    Yukarıdaki Amaç bölümünde belirtilen kullanıcı ve yöneticilerin, Güvenlik politikası çerçevesindeki yetki ve sorumlulukları belirtilir. Bu, kullanıcı ve yöneticilerin yetki ve sorumlulularını belirtmenin yanı sıra, yetkili kişilerin veya yetkili pozisyonların da açık tarifini yapmalıdır.

    4. Bilgisayar ve Internet kullanımı:

    Bu bölüm, kurumun bilgisayarlarının ve bilgi işlem sistemlerinin kullanımı hakkında genel kullanım kuralları içerir. Bu bölümde, örneğin Internet'e hangi kullanıcıların gireceği, Internet'ten hangi tür dosyaların indirilmesine izin verilebileceği, kullanıcıların hangi durumlarda ne gibi sorumlulukları olduğu belirtilir.

    5. Erişim kontrolü:

    Bu bölümde, kimlik belirleme, onaylama, şifrelerin belirlenme ve kullanılma kuralları, hesap yönetimi, şirket dışı personel tarafından (örneğin bayiler) şirket kaynaklarına ulaşım hakları gibi alanlar düzenlenir.

    6. E-posta:

    Bu bölümde, belirli durumlarda e-postaların izlenebilmesi, e-postaların şifrelenmesi, mesajların arşivlenmesi gibi e-posta kullanım kuralları belirlenir.

    7. Laptop, PDA ve Benzeri mobil cihazların kullanımı:

    Laptop ve PDA gibi mobil cihazlar, şirket bilgilerini şirket sınırları dışında taşıdıklarından, bilgi işlem sistemleri için önemli açıklar içerebilmektedir. Bu nedenle mobil cihazlarda hangi koruma ve güvenlik yöntemlerinin kullanılacağı bu bölümde belirlenmelidir.

    8. Internet Güvenliği:

    Bu alanda Internet kullanım saatleri, kuralları, Internet'ten HTTP veya FTP protokolleri ile ile hangi dosya tiplerinin Internet'ten indirilebileceği gibi noktalar belirtilir. Ayrıca kurum elemanlarının VPN gibi bir teknoloji ile Internet üzerinden kurum sistemlerine nasıl ulaşacağı, şifreleme yöntemleri irdelenir.

    9. Ağ Güvenliği

    Router, Firewall gibi ağ güvenliği ürünlerinin kullanımı, Internet üzerinden, VPN benzeri teknolojileri kullanarak şubeler arası bilgi paylaşımı, modem kullanımı gibi konular bu bölümde yeralır.

    10. Fiziksel Güvenlik:

    Binaya, server odalarına erişimin nasıl olacağı, kullanıcıların iş istasyonlarının zimmet kuralları, ağ altyapısı gibi konular bu bölümde yeralır.

    Güvenlik Politikasının Uygulanması:

    Yazılı bir güvenlik politikasına sahip olan kurumların önündeki en önemli görev, bu güvenlik politikasının düzenli olarak kullanımının sağlanmasıdır. Pek çok kurum, yazılı prosedürleri günlük hayatın parçası haline getirmekte zorlanmaktadır. Burada en önemli ihtiyaç, kullanıcıların eğitimidir. Bu eğitim, bilgi işlem güvenliğinin neden son derece önemli olduğunu, kullanıcıların günlük hayattaki çalışma presiplerinin neden bilgi işlem güvenliği için potansiyel bir tehdit teşkil edebileceğini açıklamalıdır.

    Ayrıca güvenlik politikaları düzenli olarak gözden geçirilmeli, yeni gelişmeler, ihtiyaçlar ve tehditlerin ışığında gerekirse yenilenmelidir. Bu, Güvenlik Politikalarının yaşayan sistemler haline gelmesini ve uygulamanın da kurumun günlük hayatının bir parçası haline gelmesini sağlamak için son derece önemlidir.

    Etkili Bilgi İşlem Güvenlik Politikalarının özellikleri
    . Uzun vadeli bakış açısı
    . Kısa ve net değerlendirmeler
    . Sorumluluk, yetki ve rollere dayalı
    . Gerçekçi
    . İyi tanımlanmış
    . Düzenli yenilenen