ÇALIŞMA HAYATINDA BİLİŞİM, BELGE YÖNETİMİ

İnsan kaynakları yönetiminde geçmişten günümüze bilgi teknolojileri kullanımını 4 temel aşamada ele almaktayız. Bu aşamalar basılı belge esaslı sistemler, kişisel bilgisayarların ilk sürümlerinin kullanımı, veritabanı yönetim sistemlerinin gelişimi ve web tabanlı teknolojilerin ortaya çıkışıdır.

Doğru cevap D‘dir. Sayfa: 25

Web Tabanlı Teknolojilerin Ortaya Çıkışı: Son dönemde ise insan kaynakları bölümleri ile ilgili olarak web tabanlı teknolojiler ortaya çıkmıştır. Bu altyapıyı barındıran bilgi sistemleri internet tarayıcıları vasıtasıyla kullanılabilir. Web tabanlı teknolojilerin kullanılmasının en önemli avantajı fiziksel olarak herhangi bir yerde bulunan bilgisayarlardan istenilen bilgilere ulaşılabilmesidir. Bu durumda, kullanıcı adı ve şifre girilen bir web arayüzü sayesinde belirli yetkiler dâhilinde çeşitli bilgiler görüntülenebilir ve raporlanabilir. Bu tip teknolojilere internet üzerinden erişilmesi sebebiyle güvenlik konusundaki kaygıların daha da fazla olması beklenebilir. Buna bağlı olarak ta gerekli güvenlik önlemlerinin alınması gerekmektedir.

Gizlilik kavramını mahremiyet (privacy) ile özdeşleştirmemiz mümkündür. Gizlilikle ilgili kavramlar temel olarak önemli bilgilerin yanlış kişilerin eline geçmesini engellemek amacını güder. Bilgiye erişim, ilgili konudaki yetkili kişiler ile sınırlı tutulmalıdır. Gizlilik kavramı açısından gerekli şartların sağlandığı çeşitli örnekler verebiliriz. İnternet bankacılığı kullanımı sırasında hesap numaralarının gizliliğinin korunması ve yetkisiz kişilerin eline geçmemesi bu konuda bir örnek olabilir.

Doğru cevap B‘dir.

Sayfa: 27

Türkiye’de kamu kurum ve kuruluşlarında temelde 4 adet gizlilik seviyeleri ön görülmektedir. Bu gizlilik seviyeleri “Çok Gizli”, ”Gizli”, ”Özel” ve ”Hizmete Özel” olarak adlandırılmaktadır. Bu gizlilik seviyelerinin amaçları ile ilgili tanımlar kanunlarla belirtilebilmekte ve belgelere atanan gizlilik seviyelerine göre erişim yetkileri tanımlanabilmektedir. “Çok Gizli” gizlilik seviyesi, genel olarak sadece bilmesi gerekenlerin ulaşabilmesi istenen ve izinsiz açıklandığı takdirde devletin güvenliğine büyük zararlar verecek belgeler için kullanılır.

Doğru cevap E‘dir. Sayfa: 28

İnsan faktörünü, insan kaynakları yönetiminde bilgi ve belge güvenliği açısından değerlendireceğiz. Örneğin, işe alınma süreçlerinde aday personel için bilgi ve belge güvenliğine yönelik olarak aşağıdaki koşulların sağlanmasına dikkat edilebilir.

Doğru cevap C‘dir.

Sayfa: 29

Aynı şekilde kurumların işten ayrılan personelleri için de bilgi güvenliği açısından yapılması gerekenleri belirlemiş olması gerekmektedir. İşten ayrılma veya görev değişikliği halinde kurum çalışanlarının kuruluşun bilgi işlem araçlarına ve gizlilik içeren belgelerine erişim hakları kaldırılıyor veya gerektiği gibi yeniden düzenleniyor olmalıdır.

Doğru cevap B‘dir.

Sayfa: 30

Beyaz Şapkalı Bilgisayar Korsanları (White Hat Hacker): Bu gruptaki bilgisayar korsanları aynı zamanda etik bilgisayar korsanları olarak ta bilinirler. Amaçları sadece bilgi sistemlerinin açıklarını tespit etmektir ve bilgi sistemlerinin içerdiği bilgilere zarar verme eğiliminde değillerdir. Hatta kimi zaman şirketlerin bilgi sistemlerinin güvenlik düzeyini test etmek amacıyla bu türdeki bilgisayar korsanları ile çalışmaları söz konusu olabilmektedir. Bu sayede bilgi sistemlerinin açıklarını kapatabilmektedirler.

Doğru cevap E‘dir.

Sayfa: 30-31

Truva atı: İngilizce “trojan horse” olarak adlandırılan bu kötü amaçlı yazılımlar bilgisayarların yetkisiz kişilerce uzaktan kullanılabilmesine imkân sağlayan programlardır. Bu tip programlar, mitolojideki Truva savaşındaki hediye görünümlü Truva atının kenti ele geçirmek isteyen askerlere kentin kapılarını açması gibi bir rolü bilgisayar ortamında oynamaktadırlar. Kullanıcıların Truva atını içeren yazılımı çalıştırmasıyla birlikte bilgisayar korsanları bilgisayardaki bir takım kaynaklara erişebilirler.

Doğru cevap C‘dir.

Sayfa: 31

Sadece kablosuz bilgisayar ağlarının güvenliğini sağlamak için de şifreleme ve MAC adresi filtreleme gibi çeşitli yöntemler bulunmaktadır. Bu konuda, İngilizce kısaltmaları WEP (kablolu dengi gizlilik) ve WPA (kablosuz bağlantı korunmuş erişim) olan şifreleme yöntemlerini örnek verebiliriz. Bu yöntemler sayesinde kablosuz ağlara erişim için girilen şifreler daha korunaklı bir şekilde sunuculara ulaşacak ve doğrulamaları gerçekleştirilecektir. MAC adresi filtreleme kullanıldığında ise sadece tanımlı bilgisayarların kablosuz ağa giriş yapabilmesi mümkün olmaktadır. Çünkü MAC adresi olarak adlandırdığımız kavram ağa bağlı bilgisayarlar için kimlik numarası türünde bir bilgidir ve her bir cihaz için farklı olması söz konusudur.

Doğru cevap A‘dır.

Sayfa: 33

Bilgisayarların Güvenliği:

Öncelikle kurumlar içerisinde kullanılan yazılımların güncel olmasına dikkat edilmelidir. Yazılım firmaları, sistem açıklarına karşı sürekli güncelleme içerisindedirler ve bu durum genellikle güncel yazılımların birçok saldırı tehditine karşı daha güvenli olmalarını sağlar. Örneğin, kimi zaman çeşitli Windows sürümleri için güvenlik yaması (security patch) yayınlandığını görebiliriz. Eski sürümler için bu tip güvenlik yamalarını ayrıca yüklemek gerekirken yeni program sürümlerinde bu güvenlik açıklarına karşı önlemler alınmış olduğunu görebiliriz. Bunun yanısıra yasal güvence altındaki lisanslı yazılımlar ile çalışılması da kurumlar adına güvenlik açısından faydalı bir yaklaşımdır. Bir diğer önlem de kurum içerisindeki bilgisayarlara antivirüs yazılımları yüklenmesidir. Böylelikle bilgisayar korsanlarının kötü amaçlı yazılımları kullanarak bilgisayarlara zarar vermesinin büyük oranda önüne geçilmiş olur. Yedekleme kavramını da bu başlık altında ele alabiliriz. Bilgisayarlardaki önemli bilgilerin yedeklerinin alınması her zaman için faydalı bir yaklaşımdır. Örneğin bir veritabanının düzenli olarak yedeklenmesi bir siber saldırı sonrasında veri kaybına uğranılmadan sistemin çalışmaya devam etmesine imkân sağlar. Büyük kurumlara ait bilgi sistemlerinin yedekleri çoğu zaman bulunmaktadır. Yedek sistemlerin fiziksel olarak farklı yerleşim yerlerinde olması da söz konusu olabilmektedir. Sunucuların veya sunucuların bulunduğu ortamın fiziksel zarara uğraması gibi durumlarda sistemlerin yedekleri devreye alınarak kesinti engellenmiş olur.

Doğru cevap D‘dir.

Sayfa: 33

Gizlilik kavramını mahremiyet (privacy) ile özdeşleştirmemiz mümkündür. Gizlilikle ilgili kavramlar temel olarak önemli bilgilerin yanlış kişilerin eline geçmesini engellemek amacını güder. Bilgiye erişim, ilgili konudaki yetkili kişiler ile sınırlı tutulmalıdır. Doğru cevap C'dir.

Belge güvenliği açısından Türkiye’de kamu kurum ve kuruluşlarında temelde 4 adet gizlilik seviyeleri ön görülmektedir. Bu gizlilik seviyeleri “Çok Gizli”, ”Gizli”, ”Özel” ve ”Hizmete Özel” olarak adlandırılmaktadır.

Solucan: İngilizce “worm” olarak adlandırılan bu kötü amaçlı yazılımlar kendilerini başka bilgisayarlara yayılmak için çoğaltan programlardır. Bu tip programlar, içerisinde yayıldıkları bilgisayar ağlarını yavaşlatırlar. Solucan bir kez sisteme girdikten sonra kendi başına ilerleyebilir. Örneğin, içerisine girdiği bilgisayardaki e-posta adreslerini elde ederek başka kişilere kendi kopyalarını gönderebilir. Ağ kaynaklarının yüksek oranda kullanılmasından dolayı ilgili ağların kilitlenmesine, e-posta sunucularının aşırı yüklenmesine veya internet sayfalarına erişim hızının düşmesine neden olabilmektedirler. Doğru cevap A'dır.

Beyaz Şapkalı Bilgisayar Korsanları (White Hat Hacker): Bu gruptaki bilgisayar korsanları aynı zamanda etik bilgisayar korsanları olarak ta bilinirler. Amaçları sadece bilgi sistemlerinin açıklarını tespit etmektir ve bilgi sistemlerinin içerdiği bilgilere zarar verme eğiliminde değillerdir. Hatta kimi zaman şirketlerin bilgi sistemlerinin güvenlik düzeyini test etmek amacıyla bu türdeki bilgisayar korsanları ile çalışmaları söz konusu olabilmektedir. Bu sayede bilgi sistemlerinin açıklarını kapatabilmektedirler.

• Kara Şapkalı Bilgisayar Korsanları (Black Hat Hacker): Bu gruptaki bilgisayar korsanları bilgi sistemlerine yetkisiz giriş yaparak sistemlerin işleyişine ve içerdiği bilgilere zarar vermek amacını güderler. Daha önce de bahsedilen Kevin Mitnick isimli Amerika’lı bilgisayar korsanı bu anlamda dünyadaki en önemli örneklerden birisidir. Ancak Kevin Mitnick günümüzde bilgi güvenliği danışmanlığı yapmaktadır. Dolayısıyla şu an için daha çok beyaz şapkalı bir bilgisayar korsanı olduğunu söyleyebiliriz.

• Gri Şapkalı Bilgisayar Korsanları (Grey Hat Hacker): Bu gruptaki bilgisayar korsanları kara şapkalı bilgisayar korsanları ile beyaz şapkalı bilgisayar korsanlarının karışımı niteliğindedir. Genel olarak kötü amaçlı olmasalar da bilgi sistemlerindeki güvenlik açıklarını bazen kendi çıkarları için kullanabilirler.

Doğru cevap A'dır.

Tuş kaydedici: İngilizce “keylogger” olarak adlandırılan bu kötü amaçlı yazılımlar bilgisayar veya başka elektronik cihazlarda yazılan her şeyi kaydeden ve başkalarının bu bilgileri toplamasına izin veren programlardır. Genellikle bilgisayar kullanıcılarının girdiği kullanıcı adı ve şifre gibi bilgileri izinsiz şekilde elde etmeyi amaçlarlar. Doğru cevap B'dir.

Ağ Güvenliği: Kurumların içerisindeki bilgisayarlar kablolu veya kablosuz yerel ağlar üzerinde haberleşmektedir. Bu sebeple, bilgisayar ağının dış tehditlere karşı korunması önem arz etmektedir. Bu anlamda kurumların bilgi sistemlerinde merkezi olarak konumlandırılmış bir takım yazılım veya donanımlarlardan bahsetmemiz söz konusu olacaktır. Buna bir örnek olarak güvenlik duvarı (firewall) yazılımını verebiliriz. Güvenlik duvarı (firewall), yerel ağ ile dış ağlar arasındaki trafiği kontrol eden yazılım veya donanımlardır. Örneğin, kurumun yerel ağına dışarıdan bağlantı kurulmak istenilmesi halinde tanımlanmış belirli kurallar dâhilinde bu bağlantılara izin verilebilir. Doğru cevap D'dir.

Virüs: Bilgisayara kullanıcıların bilgisi olmadan yüklenen ve kullanıcının isteği dışında işlemler yapan bir programdır. Virüslerin kendi kendine kopyalayarak çoğalması da söz konusu olabilmektedir. Virüsler genelde “exe” veya “bat” gibi dosya uzantılarına sahiptirler. Virüsler, bilgisayarlara bulaşıp yerleşme şekillerine göre temel olarak dosya virüsleri, önyükleme sektörü virüsleri, makro virüsler, ağ virüsleri gibi değişik gruplara ayrılabilmektedir. Doğru cevap D'dir.

Virüsler, bilgisayarlara bulaşıp yerleşme şekillerine göre temel olarak dosya virüsleri, önyükleme sektörü virüsleri, makro virüsler, ağ virüsleri gibi değişik gruplara ayrılabilmektedir. Doğru cevap A'dır.

İnsan faktörünü, insan kaynakları yönetiminde bilgi ve belge güvenliği açısından değerlendirmek gerekirse,  işe alınma süreçlerinde aday personel için bilgi ve belge güvenliğine yönelik olarak aşağıdaki koşulların sağlanmasına dikkat edilebilir: 
• Kurumun bilgi güvenliği ile ilgili politikaları doğrultusunda yeni işe alınacak personelin üzerine düşen sorumluluklar belgelenmiş olmalıdır.
• Yeni işe alınacak personelin belgelenmiş olan bu sorumlulukları algıladığından emin olunmalıdır.
• Yeni işe alınacak olan personelin, gizlilik ve açığa çıkarmama anlaşmalarını imzalaması işe alınma şartının bir parçası olarak istenmelidir.
• Gizlilik ve açığa çıkarmama anlaşmaları, işe alınan personelin ve kuruluşun bilgi güvenliği sorumluluklarını kapsıyor olmalıdır.

Doğru cevap E'dir.

Bütünlük kavramı, bilgilerin eksiksiz, tutarlı ve doğru olması anlamını taşımaktadır. Bütünlüğün bozulmasına izin vermemek için yedekleme gibi bir takım yöntemler kullanılmalıdır. Bunun yanı sıra bilgilerin bütünlüğünün doğrulanması için de bir takım yöntemler mevcuttur. Bilgisayar ağları üzerinden yapılan veri aktarımları sonrasında hedefe ulaşan verilerin bütünlüğünün doğrulanmasını buna örnek olarak verebiliriz. Doğru cevap C'dir.