İnsan Kaynakları Yönetiminde Bilgi ve Belge Güvenliği

Bilgi teknolojilerinin gelişimine bağlı olarak geçmişten günümüze 4 temel aşama vardır. Bu aşamalar sırasıyla basılı belge esaslı sistemler, kişisel bilgisayarların ilk sürümlerinin kullanımı, veritabanı yönetim sistemlerinin gelişimi ve web tabanlı teknolojilerin ortaya çıkışıdır.

Bilgi teknolojilerinin yeni gelişmeye başladığı dönemlerde insan kaynakları yönetimi ve bilgi sistemleri çok fazla entegre durumda değildi. Belirli veriler İngilizce “mainframe” olarak adlandırılan bir ana bilgisayar ortamında saklanabilmekle ve çok temel düzeyde raporlama yapmak mümkün olabilmekteydi. Sonuç olarak teslim edilen raporun basılı bir belge olması söz konusudur ve bilgisayar tek başına bu belgenin iletilmesini sağlayamamaktadır. Bu durumda, bilgi güvenliği açısından ortaya çıkabilecek çekinceler çok fazla değildir.

Kişisel bilgisayarların ilk sürümlerinin ve yerel bilgisayar ağlarının kullanıldığı dönemde, bilgiler merkezi bir sunucu bilgisayar ortamında kayıt altında tutulabilmekteydi. Ancak aynı iş yerindeki kişisel bilgisayarlar vasıtasıyla merkezi bilgisayara erişilebilmesi ve merkezi bilgisayar üzerindeki kayıtların görüntülenebilmesi söz konusuydu. Bu durumda, bilgi teknolojileri açısından gizlilik konusunda endişeler ortaya çıkmaya başlamıştır.

Sadece belirli yetkilere sahip personellerin insan kaynakları ile ilgili bilgilere ulaşması gerekmektedir. Kayıtları görüntüleyebilecek veya değiştirilebilecek çalışanların belirlenmesi gerekmektedir. Dolayısıyla, gizlilik açısından problemlerin yaşanmaması için belirli çalışanlara belirli yetkilendirme dereceleri oluşturulması ihtiyacı doğmaya başlamıştır.

Veritabanı, birbirleriyle ilişkili bilgilerin belirli bir düzene göre depolandığı alandır.

Veritabanı yönetim sistemleri veritabanlarını oluşturmak ve içerisindeki verileri işlemek için tasarlanmış yazılımlardır.

Veritabanı yönetim sistemleri teknolojisinin gelişimi ile birlikte bilgiler daha bütünleşik halde saklanmaya başlanmıştır. Bilgi sistemleri açısından insan kaynakları bölümleri ile kurumlardaki diğer bölümler entegre olabilir duruma gelmiştir. Bu durumda, veritabanı yönetim sistemlerinden faydalanılarak farklı bölümlere ait bilgilerin bir araya getirildiği karmaşık raporların elde edilmesi mümkün olabilmektedir.

Kurumsal kaynak planlama sistemleri, işletmenin tüm kaynaklarının birleştirilip verimli olarak kullanılması için tasarlanmış bilgi sistemlerine verilen genel addır. Bu sistemler, satın alma, müşteri hizmetleri, insan kaynakları gibi çok sayıda değişik bölümlere ait program modülleri içerebilirler. 

Son dönemde insan kaynakları bölümleri ile ilgili olarak web tabanlı teknolojiler ortaya çıkmıştır. Bu altyapıyı barındıran bilgi sistemleri internet tarayıcıları vasıtasıyla kullanılabilir. Web tabanlı teknolojilerin kullanılmasının en önemli avantajı fiziksel olarak herhangi bir yerde bulunan bilgisayarlardan istenilen bilgilere ulaşılabilmesidir. Bu durumda, kullanıcı adı ve şifre girilen bir web arayüzü sayesinde belirli yetkiler dâhilinde çeşitli bilgiler görüntülenebilir ve raporlanabilir.

Bilgi güvenliği, kabaca bilgiye yetkisiz kişiler tarafından yapılacak erişimin ve zarar verecek eylemlerin engellenmesi şeklinde ifade edilebilir.

Gizlilik kavramını mahremiyet (privacy) ile özdeşleştirmemiz mümkündür. Gizlilikle ilgili kavramlar temel olarak önemli bilgilerin yanlış kişilerin eline geçmesini engellemek amacını güder. Bilgiye erişim, ilgili konudaki yetkili kişiler ile sınırlı tutulmalıdır.

Bütünlük kavramı, bilgilerin eksiksiz, tutarlı ve doğru olması anlamını taşımaktadır. Bütünlüğün bozulmasına izin vermemek için yedekleme gibi bir takım yöntemler kullanılmalıdır. Bunun yanı sıra bilgilerin bütünlüğünün doğrulanması için de bir takım yöntemler mevcuttur.

Kullanılabilirlik kavramı, bilgilerin ihtiyaç duyulduğunda yetkisi olan kişiler tarafından erişilebilir olmasıdır. Kullanılabilirliğin daha iyi anlaşılması için şöyle bir örnek verebiliriz. İnternet sitelerindeki bilgilere erişim kimi zaman çeşitli sebeplerden dolayı kesintiye uğrayabilmektedir. Bu durumda, bu bilgiler yetkili kullanıcılar tarafından kullanılabilir olmamaktadırlar.

Belge, bilginin çeşitli şekillerde kayıt altına alınmış halidir. Dolayısıyla, bilgi güvenliği için yapılan tanımlar genel olarak belge güvenliğini de kapsamaktadır. Belge güvenliği, önemli belgelerin depolanması, yedeklenmesi ve bu belgelere yetkisiz kişilerin erişiminin engellenmesi şeklindeki işlemler topluluğu olarak tanımlanabilir.

Belge güvenliği açısından Türkiye’de kamu kurum ve kuruluşlarında temelde 4 adet gizlilik seviyeleri ön görülmektedir. Bu gizlilik seviyeleri “Çok Gizli”, ”Gizli”, ”Özel” ve ”Hizmete Özel” olarak adlandırılmaktadır.

İnsan faktörünü, insan kaynakları yönetiminde bilgi ve belge güvenliği açısından değerlendireceğiz. Örneğin, işe alınma süreçlerinde aday personel için bilgi ve belge güvenliğine yönelik olarak aşağıdaki koşulların sağlanmasına dikkat edilebilir:

• Kurumun bilgi güvenliği ile ilgili politikaları doğrultusunda yeni işe alınacak personelin üzerine düşen sorumluluklar belgelenmiş olmalıdır.
• Yeni işe alınacak personelin belgelenmiş olan bu sorumlulukları algıladığından emin olunmalıdır.
• Yeni işe alınacak olan personelin, gizlilik ve açığa çıkarmama anlaşmalarını imzalaması işe alınma şartının bir parçası olarak istenmelidir.
• Gizlilik ve açığa çıkarmama anlaşmaları, işe alınan personelin ve kuruluşun bilgi güvenliği sorumluluklarını kapsıyor olmalıdır.

Bilgi güvenliğine yönelik saldırıların amacı çoğunlukla işleyen sistemleri bir şekilde kesintiye uğratmak veya sistemlerin işleyişini tamamen durdurmaktır. İnternet sitesinin hizmet vermesini engellemek, internet sitesini başka sayfalara yönlendirmek, internet sitesinin içerdiği dosya ve bilgilere zarar vermek gibi eylemleri bilgi güvenliğine yönelik saldırılara örnek verebiliriz.

Beyaz Şapkalı Bilgisayar Korsanları (White Hat Hacker): Bu gruptaki bilgisayar korsanları aynı zamanda etik bilgisayar korsanları olarak da bilinirler. Amaçları sadece bilgi sistemlerinin açıklarını tespit etmektir ve bilgi sistemlerinin içerdiği bilgilere zarar verme eğiliminde değillerdir.

Kara Şapkalı Bilgisayar Korsanları (Black Hat Hacker): Bu gruptaki bilgisayar korsanları bilgi sistemlerine yetkisiz giriş yaparak sistemlerin işleyişine ve içerdiği bilgilere zarar vermek amacını güderler.

Gri Şapkalı Bilgisayar Korsanları (Grey Hat Hacker): Bu gruptaki bilgisayar korsanları kara şapkalı bilgisayar korsanları ile beyaz şapkalı bilgisayar korsanlarının karışımı niteliğindedir. Genel olarak kötü amaçlı olmasalar da bilgi sistemlerindeki güvenlik açıklarını bazen kendi çıkarları için kullanabilirler.

Kötü amaçlı yazılımlar, İngilizce “malicious software” veya kısaca “malware” olarak adlandırılan ve bilgi sistemlerine zarar verebilen yazılımlardır. Bu tür yazılımlar, e-posta eklerindeki dosyalar ve sosyal medyadaki bağlantı linkleri gibi çeşitli yolları kullanarak yayılırlar. Kötü amaçlı yazılımlar virüs, truva atı, solucan, tuş kaydedici, casus yazılım gibi alt başlıklar altında toplanmaktadır.

Virüs: Bilgisayara kullanıcıların bilgisi olmadan yüklenen ve kullanıcının isteği dışında işlemler yapan bir programdır.

Truva atı: İngilizce “trojan horse” olarak adlandırılan bu kötü amaçlı yazılımlar bilgisayarların yetkisiz kişilerce uzaktan kullanılabilmesine imkân sağlayan programlardır.

Solucan: İngilizce “worm” olarak adlandırılan bu kötü amaçlı yazılımlar kendilerini başka bilgisayarlara yayılmak için çoğaltan programlardır.

Tuş kaydedici: İngilizce “keylogger” olarak adlandırılan bu kötü amaçlı yazılımlar bilgisayar veya başka elektronik cihazlarda yazılan her şeyi kaydeden ve başkalarının bu bilgileri toplamasına izin veren programlardır.

Casus yazılım: İngilizce “spyware” olarak adlandırılan bu kötü amaçlı yazılımlar bulundukları bilgisayardaki kişisel bilgileri veya internet aktivitelerini bilgisayar korsanlarına gönderen programlardır.

• Bilgi sistemlerine erişim için kullanıcılara verilecek olan yetkiler ve kullanıcı şifresi doğrulama yöntemleri bu kapsamda değerlendirilebilir. 
• Bir diğer husus, bilgi sistemlerinde tanımlı olan kullanıcı şifrelerinin kolayla tespit edilebilir olmamasıdır.
• Kurumların içerisindeki bilgisayarlar kablolu veya kablosuz yerel ağlar üzerinde haberleşmektedir. Bu sebeple, bilgisayar ağının dış tehditlere karşı korunması önem arz etmektedir. Bu anlamda kurumların bilgi sistemlerinde merkezi olarak konumlandırılmış bir takım yazılım veya donanımlar kullanmaları faydalı olacaktır.
• Kurumlar içerisinde kullanılan yazılımların güncel olmasına dikkat edilmelidir. Yazılım firmaları, sistem açıklarına karşı sürekli güncelleme içerisindedirler ve bu durum genellikle güncel yazılımların birçok saldırı tehdidine karşı daha güvenli olmalarını sağlar.