Microsoft Word dergi 2008 V23 no2 sayfa 507-522. doc
Yüklə 0,71 Mb. Pdf görüntüsü
|
|
Keywords: Information security, enterprise information security, IT security, security policies, information security standards, information security management system.
İletişim ortamlarının yaygınlaşması ve kullanımının artması sonucunda elektronik ortamlarda bulunan bilgilerin her geçen gün katlanarak artmasından dolayı bilgi güvenliğinin sağlanması ihtiyacı kişisel veya kurumsal olarak en üst seviyelere çıkmıştır. Bunun önemli sebepleri iş veya günlük yaşamın bir parçası haline gelen elektronik uygulamaların artması, ihtiyaç duyulan bilgilerin ağ sistemleri üzerinde
Y. Vural ve Ş. Sağıroğlu Kurumsal Bilgi Güvenliği ve Standartları Üzerine Bir İnceleme 508 Gazi Üniv. Müh. Mim. Fak. Der. Cilt 23, No 2, 2008 paylaşımı, bilgiye her noktadan erişilebilirlik, bu ortamlarda meydana gelen açıkların büyük tehdit oluşturması ve en önemlisi kişisel ve kurumsal kayıplarda meydana gelen artışlar olarak sıralanabilir. Kişi ve kurumların bilgi güvenliğini sağlamadaki eksikliklerinin yanında saldırganların saldırı yapabilmeleri için ihtiyaç duydukları yazılımlara internet üzerinden kolaylıkla erişebilmeleri fazla bilgi birikimine ihtiyaç duyulmaması ve en önemlisi ise kişisel ve kurumsal bilgi varlıklarına yapılan saldırılardaki artışlar, gerek kişisel gerekse kurumsal bilgi güvenliğine daha fazla önem verilmesine yeni yaklaşımların ve standartların kurumlar bünyesinde uygulanması zorunluluğunu ortaya çıkarmıştır.
Kurumsal bilgi güvenliği, bilginin üretildiği, işlendiği ve saklandığı her ortamda sağlanmak zorundadır. Bunun için mevcut yazılımlar, donanımlar, ortamlar ve insan kaynakları dikkate alınmalıdır. Bilginin korunmasına çalışıldığı ilk günden itibaren güvenlik zincirinin en zayıf halkasını her zaman insanlar oluşturmuşlardır [1]. Birçok teknik veya teknik olmayan güvenlik kontrolleri uygulansa dahi bu kontroller saldırganlar tarafından en zayıf halka olan insan faktörü kullanılarak çeşitli yöntemlerle aşılabilmektedir. Genel bir söylem olan “gücünüz en zayıf halkanız kadardır” ilkesi bilgi güvenliği içinde geçerlidir [2]. Yapılan çalışmalarda [1-7] bilgi güvenliği açıkları ve kayıplarının artması sebebiyle bu konunun henüz doğru olarak anlaşılmadığı, gereken önemin verilmediği ve bilinçlenmenin gereken seviyede olmadığını bizlere göstermektedir.
2005 yılında yaygın olarak kullanılan ve 2006 yılının son aylarına damgasını vuran ve günümüzde hala popüler olan sazan avlama (phishing) saldırganlar tarafından kullanılan etkili bir saldırı yöntemidir. Geçmiş yıllarda bilgi sistemlerine en büyük zararları veren virüsler 2006 yılı itibariyle yerlerini casus programların sazan avlama yöntemiyle kullanıldığı saldırılara bırakmıştır. Dünyada olduğu gibi ülkemizde de sıkça karşılaşılan bu yöntemde genellikle bilgi güvenliği bilinci olmayan kullanıcılar kurban olarak seçilmekte ve internet bankacılığı odaklı soygunlar yapılmaktadır. Sazan avlama çalışma grubu (Anti-Phishing Working Group) tarafından Temmuz 2006 tarihinde yayınlanan aylık rapora göre 14,191 web sitesi üzerinde kimlik hırsızlığı, soygun ve diğer kötücül amaçlar için kullanılan 23,670 tekil sazan avlama vakası tespit edilmiştir [4]. Netcraft firması tarafından geliştirilen ve web tarayıcılarıyla bütünleşik olarak çalışan güvenlik yazılımı sayesinde sazan avlama saldırıları konusunda yapılan incelemelerde 2005 yılında 41.000 olan saldırı sayısının 2006 yılı sonunda 609.000’e çıktığı gözlemlenmiştir [5]. Dünyaca ünlü güvenlik firması tarafından verilen bu rakamlar tehlikenin hangi hızla ilerlediğinin gösterilmesi açısından önemlidir. Sazan avlama konusunda Messagelabs firması tarafından yapılan bir başka araştırmada Netcraft firmasının sonuçlarını desteklemektedir. Ocak 2006 tarihi itibariyle %10,6 olan sazan posta oranı Aralık 2006 sonu itibariyle %68,6 gibi yüksek bir rakama çıkmıştır. Bu artışın 2005 yılı genelinde %13,1 olduğu göz önüne alındığında 2006 yılındaki rakamın ne kadar büyük olduğu görülmektedir [6].
Ülkemizde sazan avlama ve benzeri saldırı teknikleriyle ilgili araştırmalar yapılmadığından, bu konuda istatistikler verilememiştir. Ancak bu tür araştırmaların bilgi güvenliğine önem veren gelişmiş ülkelerde yapıldığını (A.B.D. İngiltere, Avustralya, vb.) göz önüne alırsak ülkemizde durumun daha da kötü olduğu ortaya çıkacaktır. Buradan da anlaşılacağı gibi önümüzdeki yıllarda çok yüksek teknik bilgiler üzerine kurulu saldırılardan ziyade bilgi güvenliği bilincine haiz olmayan kişilerin kandırılması sonucunda ortaya çıkan güvenlik açıklarının saldırganlar tarafından ustaca kullanılacağı tahmin edilmektedir.
Gartner ve Deloitte gibi bağımsız araştırma kuruluşlarının raporları incelendiğinde kurum ve kuruluşların güvenlik teknolojilerine yeterli ölçüde yatırım yapmadıkları görülmektedir. Deloitte firmasının 30 ülkede 2006 yılında gerçekleştirdiği araştırmada kurumların %73’nün güvenlik yatırımı yaptığı, yatırım yapan firmaların bilgi işlem müdürlerinin %54’nün ise bu yatırımları yetersiz buldukları belirtilmiştir [7]. Türkiye’de yapılan araştırmalarda ise 2005 yılı bilişim genel yatırımları 19 milyar dolar iken güvenlik yatırımları 30 milyon dolar, 2006 yılında bilişim yatırımları 23 milyar dolar iken güvenlik yatırımları 40 milyon dolara ulaşmakta ve 2007 yılında ise 47 milyon dolar olması beklenmektedir [7].
Literatürde yaşanan önemli olaylardan görüleceği üzere kurumsal bilgi güvenliğinin üst seviyede sağlanabilmesi için bilgi güvenliğinin devamlılık gerektiren bir süreç olduğu ve bu sürecin kurumsal bilgi güvenliği standartları çerçevesinde yönetilmesi gerektiği unutulmamalıdır. Sazan avlama saldırılarıyla kullanıcıların kandırılmasını önlemenin yegâne yolunun kurumsal bilgi güvenliği yönetim sistemleri çatısı altında yapılacak olan eğitim ve bilinçlendirme çalışmalarının olduğu unutulmamalıdır.
Bu çalışmanın amacı; kurumsal bilgi güvenliğini genel olarak incelemek, mevcut çalışmaları özetlemek, kurumsal bilgi güvenliğinin kurumlarda etkin bir şekilde hayata geçirilmesinin önemini vurgulamak, kurumsal bilgi güvenliğinin etkin bir şekilde hayata geçirilmesinde önemli bir yer tutan ISO tarafından yeni yayınlanan ve hali hazırda geliştirilmekte olan ISO/IEC 27000 serisi standartlarını kısaca sunmak, ülkemizde konuya daha çok önem verilmesini sağlamak ve kurumsal bilgi güvenliğinin önemini güncel açıdan değerlendirmek, kurumsal bilgi Kurumsal Bilgi Güvenliği ve Standartları Üzerine Bir İnceleme Y. Vural ve Ş. Sağıroğlu Gazi Üniv. Müh. Mim. Fak. Der. Cilt 23, No 2, 2008 509
güvenliğinin üst seviyede sağlanmasına yönelik güncel tehditler ve eğilimleri incelemek, konunun önemini bir kez daha vurgulamak ve konuya tekrar dikkat çekmek, ülkemizde bu alanda yayınlanmış kapsamlı bir makale olmamasından dolayı bu konudaki bilgi açığını kapatmak, konuya geniş bir açıdan bakarak bu konudaki farkındalığını daha da artırmak, yüksek seviyede kurumsal bilgi güvenliğini tehdit eden önemli açıkları tespit etmek ve giderilmesine yönelik öneriler sunmak olarak sıralanabilir.
Konunun daha iyi anlaşılması ve gerekli tedbirlerin doğru bir şekilde alınabilmesi için Bölüm 2’de kurumsal bilgi güvenliği tanımı ve kapsamı verilmiştir. Bölüm 3’de ise kurumsal güvenlik için oluşturulması ve uygulanması gereken güvenlik politikaları açıklanmıştır. Bölüm 4’de bilgi güvenliğinin doğru bir şekilde yürütülebilmesi için gerekli olan kapsam özetlenmiştir. Bilgi güvenliğinin yüksek seviyede sağlanmasında temel unsurlarından olan uluslararası standartlar Bölüm 5’de tanıtılmıştır. Bu bölümde ayrıca ülkemizde bu konuda yapılan çalışmalarda sunulmuştur. Son bölümde ise bu çalışmada sunulan hususlar değerlendirilmiş ve yüksek seviyede kurumsal bilgi güvenliğinin sağlanmasındaki önemli unsurlar değerlendirilmiş ve öneriler sunulmuştur.
Yüklə 0,71 Mb. Dostları ilə paylaş:
|