Giriş

Bilgisayar güvenliğine yönelik etkinlikler son yıllarda özellikle İnternet'in gelişmesiyle birlikte hız kazanmıştır. Birçok kurum bu etkinlikleri ilgili teknolojilerin satın alınması yoluyla sonuca ulaştırmaya çalışmaktadır. Oysa ki, bilgisayar güvenliği teknolojik bir çözüm olarak değil, bir çalışma kültürü olarak algılanmalıdır. Ancak bu şekilde güvenlik etkinlikleri başarıya ulaşabilir. Nitekim bir ateş duvarı yazılımı ve bir de virüs tarayıcı yazılım ile güvenlik problemlerini çözeceğini düşünen birçok kurum başarısızlığa uğramıştır.

Bilgisayar güvenliği yaklaşımının bir kurumda kültür haline gelebilmesi için birkaç aşamalı bir süreçten geçilmelidir. Anılan sürecin uzunluğu kurumun büyüklüğü, yapısı ve iş yapış biçimi ile doğrudan ilişkilidir. Süreç kuruma özgü bir bilgisayar güvenliği politikasının hazırlanması ile başlar. İkinci aşamada, belirlenen kurallar doğrultusunda önlemler alınırken kullanıcılar da bilinçlendirilir. Bilinçlendirme çalışmalarında bilgisayar güvenliği eğitiminin rolü önemlidir. Sadece bilinçli ve eğitimli kullanıcıların güvenlik önlemlerini gerektiği gibi uyguladıkları tecrübelerle sabittir. Son aşama ise, oluşturulan güvenlik yaklaşımının iş yaşamına aktarılmasıdır. Böylece bir kurumda bilgisayar güvenliği kültürü oluşur ve kalıcı olur.

Görüldüğü gibi, güvenlik kültürü için öncelikli adım bilgisayar güvenliği politikası oluşturulmasıdır. Artık Türkiye'de bazı kurumlar anılan politikaları oluşturmaya başlamıştır. Ancak, bu politikaları oluşturan ekipler ile politikaları onaylama durumunda olan kurum yöneticilerinin, ortaya çıkan politika belgesini değerlendirme kriterlerine sahip olmadıkları gözlenmiştir. Bu yazı ile bilgisayar güvenliği politikası değerlendirme kriterleri ortaya konacak ve açıklanacaktır.

Bilgisayar Güvenliği Politikaları

Politikalar, kurumun sahip olduğu bir sistemin işletilmesine veya bünyesinde gerçekleşen bir etkinliğin yürütülmesine ilişkin beklentileri ortaya koyar. Yönetim, politikalar aracılığıyla kurum çalışanlarını bilgilendirir ve yönlendirir. Kurum çalışanları anılan politikaları takip etmek zorundadır. Çalışanlar için politikalar aslında birer yol göstericidir ve yönetim politikaların bu şekilde algılanması bekler.

Bilgisayar güvenliği politikası, kurumun sahip olduğu bilgisayar sisteminin saldırılardan ve kötü kullanımlardan korunmasının ifadesidir. Bir bilgisayar güvenliği politikası ile saldırıları belirlemek ve saldırganları cezalandırmak için gerekli referans sistemi de oluşturulmuş olur. Bilgisayar güvenliği beklentilerine ilişkin hedefler, gereksinimler, prensipler ile varsayımlar bu politikaya temel oluşturur.

Bilgisayar güvenliği politikasında; politikanın hedefleri, kapsamı, kullanıcı sorumlulukları ve politikanın ihlali durumunda yapılacaklar tanımlanır. Politikanın hedefleri arasında; politikanın amacı, politikanın adreslediği gereksinimler ve dikkate alınacak varsayımlar bulunur. Politikanın kapsamı, politikanın adreslediği varlıkları ve etkinlikleri ortaya koyar. Politikanın ortaya koyduğu sorumluluklar, kurum yönetiminin bilgisayar sistemlerinin korunmasına yönelik olarak kullanıcılardan beklentilerini belirler. Politikanın ihlali durumunda yapılacaklar; toplanmış kanıtlar ve oluşmuş kayıplar doğrultusunda verilebilecek cezaları kapsamaktadır.

Bilgisayar güvenliği politikasının geniş kapsamlı olması durumunda anılan politika, bilgisayar güvenliği temel politikası ve ona bağlı bilgisayar güvenliği gereksinim politikalarından oluşacak bir yapıya dönüştürülebilir. Temel politika ana hedefleri ve sorumlulukları içerirken, gereksinim politikaları belli bir gereksinim doğrultusunda spesifik hedeflerden yola çıkarak beklentileri karşılayacak prensipleri ortaya koyar. Gereksinimler, belli başlıklar altında toplanmış unsurlar şeklinde ifade edilebilir. Bilgisayar güvenliği temel politikasında yer alan tüm ifadeler gereksinim politikaları için bağlayıcıdır. Anılan ilişki, anayasa ve yasalar arasında bulunan ilişkinin bir benzeridir.

Gereksinim politikaları ayrıca, genel prensiplerin belirlenen varlıklara uygulanması sonucunda ortaya çıkan yönetsel prosedür ve mekanizmaları da içermelidir. Yönetsel prosedürler, çalışanların uyması gereken kurallar ve yapması gereken işlerden oluşur. Mekanizmalar ise, belirli görevleri yerine getiren özel donanım veya yazılımlardır. Politikaların uygulanması, belirli bir hedefe yönelik yönetsel prosedür ve mekanizmaların standart veya kılavuzlar altında toplanması ile kolaylaştırılabilir. Standartlar; belirli teknolojiler, yöntemler, veya uygulamalar için geliştirilir. Standartların ömrü açıkladıkları teknolojinin, yöntemin, ya da uygulamanın ömrüyle sınırlıdır. Kılavuzlar ise, bir sistemin işletilmesinde yol gösterici olarak hazırlanır. Standartların aksine kılavuzları takip etmek zorunlu değildir, isteğe bağlıdır.

Politikaların kurumlarla birlikte yaşamak zorunda olduğunu ve bu yüzden yönetim gerektirdiğini açıktır. Politikaların bir yaşam döngüsü vardır. Politika, bir gereksinim sonucunda doğar ve gereksinim şekil değiştirdikçe yenilenir. Ayrıca politikanın uygulanması ve uygulatılması sırasında elde edilen geri kazanımlar sayesinde politika geliştirilir. Anılan gereksinim ortadan kalktığında da ilgili politika kurum politikasından çıkarılır. İşte bu döngünün sağlıklı ve etkin işleyebilmesi için politikaların yönetilmesi gereklidir.

Politika Belgesi Değerlendirme Kriterleri

Bilgisayar güvenliği politika belgesi değerlendirme kriterleri aşağıdaki başlıklar altında toplanmıştır:

1)      Amaç ve Kapsam

2)      Kurum ve Bilgisayar Sistemi Tanıtımı

3)      Risk Analizi

4)      Önlem Tasarımı

5)      Politika Uygulama ve Uygulatma Planları

6)      Politika Güncelleme Koşulları

7)      Politika Yazım Şekli

Bilgisayar güvenliği politikaları aynı anda birçok amaca hizmet eder. Bunlardan bazıları şöyle sıralanabilir:

·        yönetim ile çalışanlar arasında bir iletişim kanalı açmak,

·        yönetimin perspektifini çalışanlara aktarmak,

·        yönetimin çalışanlara verdiği desteği göstermek,

·        etkinliklerin koordinasyonunu sağlamak,

·        etkinlikler arasında tutarlılık sağlamak,

·        disiplin suçları için temel oluşturmak,

·        davalara karşı önlem almak.

Bilgisayar güvenliği politikası hedefleri, yukarıda sıralanan amaçlar gibi, kesin ve net ifadeler ile politika içinde yer almalıdır.

Bilgisayar güvenliği politikasının kapsamı, korunacak kaynakları ve korumanın boyutunu tanımlar. Bunu yapabilmek için öncelikle kurumun hedefleri ve bu hedeflere ulaşmada rol alacak sorumluluklar ve etkinlikler ortaya konmalıdır. Böylece korunacak kaynaklar belirlenebilir. Bilgisayar sistemine sahip bir kurumda korunacak kaynaklar ya da değerler; insan, donanım, yazılım, bilgi, politikalar olmak üzere beş grupta toplanabilir. Bu değerlerin özellikleri koruma boyutunun belirlenmesinde kullanılmalıdır. Bilgisayar güvenliği politikası kapsamı içinde bilgisayar sistemi özellikleri ile birey ve grup bazında sorumlulukların mutlaka yer alması gerekir. Bilgisayar güvenliği politikası ayrıca, politikanın geçerli olacağı koşulları ve bu koşullar dışında kalan durumlarda yapılacakları da içermelidir. Bu sayede sadece öngörülen değil öngörülemeyen durumlar için de sorumluluklar ve yürütülecek etkinlikler ortaya konmuş olacaktır.

Bilgisayar güvenliği politikası kapsamı belirlendikten sonra dikkate alınan varlıklara ilişkin zayıflıklar, bu zayıflıklara etkiyebilecek tehditler ve anılan tehditlerin oluşma olasılıkları açıkça ortaya konmalıdır. Bunlar, risk analizi çalışmasının girdisini oluşturacaktır. Kullanılan risk analizi yönteminin açıklanması gelecekte bu politika üzerinde çalışacak kişiler için faydalı olabilir. Risk analizi çalışması sonucunda yüksek önceliğe sahip tehditler belirlenmeli ve yazıya dökülmelidir.

Risk analizi ile ortaya çıkan tehditlerin ve oluşma olasılıklarının asgariye indirilmesi için alınacak önlemler; kurallar, prosedürler ve mekanizmalar olarak belirlenmelidir. Tercihen, bu önlemler ilgili gereksinim politikası içinde yer almalıdır. Alınacak önlemlerin kabul edilebilir, uygulanabilir ve tutarlı olmasına dikkat edilmelidir. Önlemi alınamayan riskler ayrı bir bölümde belirtilmeli ve bilgisayar güvenliği çalışmaları dışında kalan yöntemlerle, sigorta ettirme gibi, çözülmesi önerilmelidir.

Bilgisayar güvenliği politikası, politika uygulayıcılarını tanımlamalı ve genel hatları ile sorumluluklarını ve çalışma yöntemlerini açıklamalıdır. Politika ihlallerinin tespit edilmesi durumunda yapılacaklar ayrıca belirtilmelidir. Hangi koşullarda hangi cezanın verileceği bilgisayar güvenliği politikası içinde yer almalıdır. Böylece, politikayı okuyup imzalayan her çalışan ilk andan itibaren alabileceği cezaları ve koşullarını bilecektir.

Bilgisayar güvenliği politikası zaman içinde güncellenmek zorundadır. Bu yüzden, politika kendisinin güncellenme koşullarını içermek durumdadır. Güncellemenin kimler tarafından nasıl yapılacağı açık bir şekilde belirtilmelidir. Ne tür güncellemelerin yönetim onayı gerektirdiği de politikaya yazılmalıdır.

Yukarıda yapılan açıklamalar doğrultusunda bilgisayar güvenliği politikası, anlaşılır şekilde, yoruma yer bırakmayacak kesin ve net ifadeler kullanılarak ve kurum koşulları dikkate alınarak yazılmalıdır. Politikalar detay içermeyen abstrakt ifadelerden oluşmalıdır. Politikaların değişik yorumlanmasını önlemek için bazı yazarlar politikaların hangi durumlarda ne şekilde algılanması gerektiğini açıklar, bazı yazarlar ise yorumlamaya ilişkin örnekler verir.

Sonuç

Bilgisayar güvenliği politika belgesi değerlendirme kriterlerinin bu yazıda açıklanan kriterler ile sınırlı olmadığı düşünülmelidir. Bu değerlendirme grubuna yeni kriterler eklenebilir. Bu yazıda ortaya konan kriterler istenir ise, bir denetim listesine dönüştürülebilir. Bu sayede, bir politikanın değerlendirme sonuçları kolaylıkla gözlenebilir.

Yrd. Doç. Dr. Tuğkan TUĞLULAR