Bilgi güvenliği süreçlerinde İK’nin önemi

Bilgi ve iletişimin günümüz iş hayatı ve sosyal yaşamının vazgeçilmez bir parçası haline gelmesi sonucunda internetin geniş tabanlı kullanımı, kurumların verimliliklerinin arttırması, bilginin elde edilmesi ve kullanılabilir başka bilgilere dönüşmesi konusundaki rolü de bir hayli genişledi.

Kurumlar bu süreçlerin oluşmasını hızlandırmak amacıyla her geçen gün gelişen teknolojiden biraz daha fazla yararlanıyor ve pazarlarda kendilerine rekabet üstünlüğü sağlamak amacıyla süreçlerini geliştiriyor.

İşte bu noktada, kurumların esas varlığını oluşturan ve teknolojinin kurumsal amaçlar için kullanımını gerçekleştiren “insan”, bilgi güvenliğinin en zayıf ve “kontrolü en zor” halkasını oluşturuyor. Bu konuda en kritik durum ise kurumların İnsan Kaynakları yönetiminde “güvenlik denetimi” olarak tanımlanabilecek süreçlerin ortaya çıkmasıdır.

Teknolojinin kurumlar tarafından kullanılması çoğu kez başlangıçta ön görülmeyen bir dizi anomaliyi oluşturuyor. Kurumun iş yapma şekli ve kendisini dış dünyaya bağlayan global network’ler ile iletişimin etkisiyle insan faktörü güvenlik zayıflıklarının ve tehdit mekanizmalarının ana merkezini oluşturmuştur.

Internet’in çok yaygın olarak kullanılmasına paralel olarak güvenlik açıklarının artması, davranış temelli güvenlik açıklarını oluşturan sosyal mühendislik, kimlik hırsızlığı gibi tehdit profillerini ortaya çıkartmıştır.

Kurumlar sahip oldukları birçok hassas bilginin dışarıya açık olması sonucunda ise içten ve dıştan tehdit altına girmiştir. Bu nedenle, özellikle İnsan Kaynakları yönetim süreçlerini izleyen kurumsallaşmış ya da kurumsallaşan firmalar için bu husus gün geçtikçe daha hassas bir konu haline gelmektedir.

Bugünün dijital ekonomi dünyasında, bilgiye güvenli kanallardan erişimi sağlamak, hassas bilgilere erişimin yetkilendirmiş kişiler haricinde sınırlandırılması bir seçim değil zorunluluk halini almıştır. Özellikle kurumsal profil, etik, iletişim vb. süreçlerin değerlendirmesini gerçekleştiren insan kaynakları departmanları için bu durum oldukça kritiktir.

Araştırmalar gösteriyor ki, etkili atak modelleri arasından ilk ikisi, bilgilere yetkisiz erişim ve kurum bilgilerinin çalınması üzerine gerçekleşmiştir. Yapılan araştırmaların ikinci yönü ise günümüz dünyasında geçmiş yıllara göre atakların artık yıkıcı yönünün geride kaldığını; yerine bilgi sızdırma, hırsızlığı ve istihbarat çalışmaları yönünün daha ön planda olduğunu gösteriyor.

Tehdit profilleri olarak bakıldığında ise iç tehdit %70 gibi ciddi bir güvenlik problemi olarak karşımıza çıkmaktadır. Özellikle insan kaynakları departmanları tarafından yapılan bilgilendirmelerde (formlar, kullanılan eğitimlerdeki materyaller, çalışanların kritik geçmişi ve kimlik bilgileri, maaş bilgileri, yapılan toplantı notları, e-mail içerikleri, chat vb durumlarda) kurumlar tarafından, bilgi güvenliği açısından gerekli güvenlik pratikleri uygulanmamaktadır.

Daha net örnek vermek gerekirse, örneğin toplantı güvenliğinde uyulması gereken prosedürler (Toplantı gizliliği, NDA) halen birçok kurumun İnsan Kaynakları departmanı tarafından bilinmemektedir. Çoğu zaman kritik görüşmelerin güvenlikten uzak iş yemeklerinde yapılması vb süreçler halen yaşanmaktadır. Güvenliğin çoğu zaman fiziksel denetim ya da IT yönetimi içerisindeki basit bir unsur olarak düşünülmesi birçok güvelik açığının ana kaynağıdır.

Yukarıda bahsedilen zafiyetler başlangıçta sosyal mühendislik oluşumuyla başlamakta ve devamında birçok güvenlik saldırılarının ana temasını oluşturmaktadır. Güvenlik bir süreç sorunudur; kullanılan teknolojik unsurlar sadece araçtır. Uygun politika ve prosedürlerle donatılmamış kurumlar en yüksek güvenlik teknolojilerini kullansalar dahi süreçlerin teknik olduğu kadar operasyonel ve yönetsel boyutlarına hâkim olamadıkları sürece bu veya benzer durumlarla sıkça karşılaşılacaktır. Bu nedenle kurumun asıl varlığı olan çalışanların ve onlarla katma değer oluşturan kurumların, üst yönetim kademesinden başlayarak bu hususlara hassaslıkla eğilmeleri artık bir zorunluluk halini almıştır.

Şirketlerin çoğu kez sinerjisi, çalışma şekli ve yönetimi kendiliğinden şirket kültürü ve etiği denilen genellikle pek sorgulanmayan ve denetimi de pek mümkün olmayan bir dizi güvenlik sorununu getirmektedir. 1990’lı yılların sonlarına doğru başta İngiltere olmak üzere bazı Avrupa ülkelerindeki kuruluşlar bu durumu gündeme getirerek temel bilgi güvenliği standartlarını oluşturan ISO 17799 ya da BSI 7799 olarak bilinen standardı oluşturmuşlardır. 2005 yılı ikinci yarısı itibariyle bu standart kendini genişleterek ISO 27001 halini almıştır. Bu noktada standart güvenlik suçlarının yönetiminde İnsan kaynakları’nın önemi göz ardı edilmemiş; İşçi, işveren ve kontraktor (taşeron) çalışma modellerinde güvenlik süreçleri ve ilgili prosedürler tanımlanmıştır.

Bütün bu yaklaşımlar ele alındığında 3 kavram önümüze çıkıyor;

• Gizlilik (Confidentiality)
• Bütünlük (Integrity)
• Kullanılabilirlik (Availability)

Kurumlar için gizlilik, bilginin yetkili olan kişilere ulaşılabilir ve yetkilendirilmemiş kişilere göre ulaşılamaz olma durumdur.

Bütünlük, bilginin içeriğinin kontrolünü ele alır. Bir uçtan diğerine bilgi taşınırken yetkisiz bir biçimde bozulmamasını, değiştirilmemesini ve yok edilememesini sağlar.

Kullanılabilirlik ise, bilginin kullanıma hazır ve erişilebilir olma durumudur.

Bilgi Güvenliği yaklaşımları bazen değişik bakış açıları ve yaklaşımlar içerse de uzmanlar bu 3 konsept üzerinde hem fikir olmuşlardır.

Bütün bunlardan çıkartılması gereken sonuç güvenliğin bir teknoloji sorunu olmaktan çok süreç ve iş yönetimi sorunu olduğunu kabul etmemizden geçer. Bu nedenle günümüz koşullarında kurumların esas değerini oluşturan insan varlığı ve onun bu süreçlere göre performansından ödün vermeden güvenli şekilde yönetmek, kurumun olduğu kadar çalışanlarında yararına olmaktadır.

Bu bağlamda her kurum bu yapılandırmayı sektör bağımsız olarak gelecekte gündemlerine almak zorunda kalacaklardır. Bilginin taşınabilir ve form değiştirebilir olması nedeniyle kurumlar bu yapılandırmayı er ye da geç oluşturacaktırlar. Bu bağlamda kurumların IK departmanları bu süreçlerin oluşturulmasında sınırsız sorumlu olacaktırlar.

Ozan Ozkara
SPD İletişim Sistemleri, Teknik Danışman

Bizde içerik bol, seni düzenli olarak bilgilendirmemizi ister misin? :)