E-İŞ SÜREÇLERİ - Deneme Sınavı - 7

Ülkemizde her iki standardı Türkçe hali TSE (Türk Standartları Enstitüsü) tarafından TS ISO/ IEC 17799:2005 ve TS ISO/IEC 27001:2005 isimleri ile yayınlanmıştır. Bu iki standart da doğrudan bilgi güvenliği konusunu anlatır. Teknik, teknoloji, ürün, bilgi teknolojileri ve güvenliği bu standardın içinde yer almaz. Bu standardın tek bir ilgi alanı vardır, o da bilgi güvenliğidir. Standart son halini ise 2013 yılı Kasım ayında alarak ISO 27001:2013 olmuştur.

Yetki ve erişim: Kurumlarda “bilmesi gerektiği kadar, erişmesi gerektiği kadar” gibi ilkelerin benimsenmesi gerekmektedir. Bu tip ilkelere en öncelikle uyması gereken gruplar yöneticiler ve bilişimcilerdir. Fakat bu tip ilkelerin en az uygulandığı ve en riskli eylemlerin gerçekleştiği birimler de bu iki grupta çalışanlardır. Bilgilerin depolanması: Özel sektörde, kamu kurumlarında ya da bireysel çalışmalarda en önemli sorunlardan biri; ticari sırların USB bellek, DVD, CD, taşınabilir disk, avuç içi ya da dizüstü bilgisayarlarda yani çok kolay çalınabilecek, kaybolabilecek aygıtlarda, koruma önlemi alınmadan taşınması ve kullanılmasıdır. Bilgi hırsızlığı ve sanayi casusluğu: Kurum içinden bilgi güvenliğine zarar veren saldırılar ya da kasıtsız eylemler; dışarıdan yapılanlara göre daha fazla risklere, kayıplara neden olmaktadır.  Bilgi güvenliğinin bir süreç olması: Bilgi güvenliği, başlanıp bitirilecek bir çalışma değildir. Bilgi güvenliği yönetimi, kurumlar ve bilgiler var olduğu sürece sürekli yönetilmesi ve denetlenmesi gereken bir yaşam döngüsüdür.Bilgi güvenliği için doğru çözümün bulunması: Kamu ya da özel sektörde bilgi güvenliğinde yaşanan sorunların çözümü, genelde bilişimci personelden beklenmekte ve kurumun sadece teknolojik yatırımlarıyla sorunları çözümleyeceği yanılgısı sıklıkla yaşanmaktadır. Fakat bilgi güvenliği ile ilgili risklerin ve sorunların çözümü sadece teknolojik olmayabilir. Bilgi güvenliği yönetiminde, insan ve sürecin hemen her aşamada teknolojiyle birlikte düşünülmesi gerektiği unutulmamalıdır.

Yazdığınız programın ya da tasarladığınız sistemin toplumsal sonuçlarını düşünün.

Bazı eylemler yapmak için kaynakları (insan, kapasite, bilgisayar) israf etmek.

Çalıntı malların satılması bilgisayar korsanlığı olan “hacker’lık” ile alakalı değildir.

Sosyal Mühendisler: Bir bilgiye ulaşmak için yazılım ve donanım araçlarından çok ikna yeteneklerini kullanan kişilerdir. Sosyal mühendisler, kurbanlarından almak istedikleri bilgileri edinmek için dolaylı yollar kullanırlar. Etik Bilgisayar Korsanları: Etik korsan, saldırı becerilerini, savunma amaçlı kullanarak görev yaptığı kurum ve kuruluşların saldırıya uğramasını engellemeye ya da saldırıları en az zararla atlatmaya çalışır. Eylemci Bilgisayar Korsanları: Bilgisayar korsanlığını siyasi amaçlar için yapan kişilerdir.  Hacktivist olarak da anılan eylemci korsan terimi, bilgisayar korsanı (hacker) ve eylemci (activist) sözcüklerinin birleşmesiyle üretilmiştir. Bu kişiler siyasi konulardan motive olurlar ve İnterneti siyasi mesajlar vermek, propaganda yapmak için kullanır. Kara Şapkalı Bilgisayar Korsanları: Sistemdeki açıkları bulup (insanları ya da sistem yöneticilerini uyarmak yerine) o açıkları kötü amaçla kullanan bilgisayar korsanlarına “kara şapkalı bilgisayar korsanı” adı verilir (Black hat hacker). Bunlar eriştikleri bilgileri çalabilir, silebilir ya da istedikleri gibi kullanabilirler. Ele geçirdikleri şifreleri yine İnternet aracılığıyla satabilirler. Heyecan Düşkünü Bilgisayar Korsanları: Heyecan düşkünü bilgisayar korsanları (thrill seeker hacker) bilgisayar sistemlerini eğlence için kırarlar. Bu kişiler kendilerini “iyi çocuklar” olarak varsayar ve hatta bazıları kendi aralarında belirledikleri “hacker yasaları”na uyar. Sözgelimi bilgisayar sistemlerinin girseler de bilgileri çalmak ya da değiştirmek yoluna gitmezler. Ödülleri ise öteki bilgisayar korsanı arkadaşlarınca tebrik edilmek ya da kendi kendilerini kanıtlamış olma duygusunu yaşamaktır.

BGYS standardında işlemler güvenlik önlemlerinin belirlenip kurulması, uygulanması, etkinliğinin gözden geçirilmesi ve iyileştirilmesi süreçlerini içerir ve bu işlemler sürekli olarak tekrar edilen bir döngü şeklinde işler. PUKÖ modelinin önlem al aşamasında iyileştime ve bakım faaliyetleri, planlama aşamasında BGYS'nin kurulumu, kontrol et aşamasında izleme ve gözden geçirme ve uygula aşamasında gerçekleştirme ve işletme faaliyetleri yapılmaktadır. Dolayısıyla doğru cevap D'dir.

Bilgi güvenliği yönetiminde iç tehditler arasında bilgi hırsızlığı ve sanayi casusluğu, bilginin depolanması, yetki ve erişim, bilgi güvenliği için doğru çözümlerin bulunması, tam güvenlik ve bilgi güvenliğinin bir süreç olması yer almaktadır. Bununla birlikte kurumlarda “bilmesi gerektiği kadar, erişmesi gerektiği kadar” gibi ilkelerin benimsenmesi yetki ve erişim risk durumuyla ilişkilidir, Doğru vevap A'dır.

Bilgisayar kullanımında dikkat edilmesi gereken 10 temel ilke arasında diğer insanların bilgisayar çalışmalarına karışmayın, bir bilgisayarı, diğer insanlara zarar vermek için kullanmayın, diğer insanların fikir eserlerini sahiplenmeyin ve bir bilgisayarı yalancı şahitlik yapmak için kullanmayın yer almaktadır. Bununla birlikte Bedelini ödemediğiniz bir yazılımı kopyalamak veya kullanmak etik dışı bir davranış olarak değerlendirilmektedir. Dolayısıyla doğru cevap C'dir.

E-posta bir mesajı bir gönderenden bir veya daha fazla alıcıya aynı maliyet ve zaman kullanımıyla ulaştırmaktadır. E-posta günümüzde en hızlı ve ucuz haberleşme aracı olarak değerlendirilmektedir. Dolayısıyla doğru cevap C'dir.

Bilgisayarların doğrudan suç aracı olarak kullanıldığı durumlar arasında yasadışı kumar oynatma, sahtecilik, para aklama, çocuk pornosu, kötü propaganda, elektronik maskeleme, şantaj, çalıntı malların satılması, kredi dolandırıcılığı, uyuşturucu trafiği yer almaktadır. Bununla birlikte bilgisayarlar suçluların haberleşmesi için kullanılması gibi kimi zaman suçun işlenmesine dolaylı katkıda bulunmaktadır. Dolayısıyla doğru cevap B'dir.

1970’lerde John Drapper ABD’de telefon sistemine girerek ücretsiz konuşma
yapmıştır. Bu olay ilk iletişim sistemi korsanlığıdır. Dolayısyla doğru cevap D'dir.

Bilgisayar korsanları arasında heyecan düşkünü bilgisayar korsanları, kara şapkalı bilgisayar korsanları, etik bilgisayar korsanları, dolandırıcılar, casuslar, sosyal mühendisler,sitem kırıcılar, amatörler, eylemci bilgisayar korsanları ve siber teröristler yer almaktadır. Bununla birlikte siyasi, sosyal kurumlara ve kişilere gözdağı vermek, baskı oluşturmak amacıyla resmi kurumların bilgisayarlarına ve bilgi sistemlerine saldıran kişilere “siber terörist” adı verilir. Dolayısıyla doğru cevap B'dir.

İşletmeler bilgi güvenliğini sağlamak amacıyla bir dizi önlemi kullanmak durumundadır. Bu önlemler arasında kimlik yönetimi ve doğrulama, sistemin sürekliliğini sağlama ve yazılım kalitesini garanti etme, kablosuz ağların güvenliği ve sistemlere ve verilere saldırıları engelleme yer almaktadır. Bununla birlikte güvenlik duvarları, virüse ve casus yazılımlara karşı kullanılan önlemler, bilgisayarlarda çerez denetimi, saldırı algılama sistemleri verilere ve sistemlere saldırıları engelleme kapsamında yer almaktadır. Dolayısıyla doğru cevap C'dir.

E-ticarette ödeme güvenliği için iki yöntemden söz edilebilir. Bunlar SSL (Secure Sockets Layer, Güvenli Yuva Katmanı) ve SET (Secure Electronic Transaction, Güvenli Elektronik İşlem)'dir. Dolayısıyla doğru cevap A'dır.

Avrupa Birliği Siber Suçlar Sözleşmesinde yer alan dört ana başlık bilgisayar veri ve sistemlerinin gizliliğine, bütünlüğüne karşı suçlar, bilgisayarla ilişkili suçlar, içerikle ilgili suçlar ve telif hakları ve benzer hakların ihlali ile ilgili suçlardır. Bununla birlikte ileri teknoloji suçları Aralık 1997’de Washington’da toplanan G8 üyesi ülkelerin ilgili Bakanlarının yaptığı toplantıya konu alan bir başlıktır. Dolayısıyla doğru cevap E'dir.

Karar vermenin beş temel aşaması sırasıyla; Amaç belirleme veya sorun tanımlama-Amaç ve sorunları irdeleme-Alternatif belirleme-Alternatifleri değerleme-Seçim yapma'dır.

Çok boyutlu küp analizi, veri ambarı/veri martı ile doğrudan ilgilidir. Doğru cevap D'dir.

İşletmelerde iş zekasının baştan kurulacak bir sistem olduğu düşünüldüğünde, işletmeler için bazı maliyetler yaratması kaçınılmazdır. Genel anlamda düşündüğümüzde, iş zekasının pazarlama maliyetleri adında bir alt başlığı yoktur. Doğru cevap E'dir.

Genellikle tüketici davranışlarını tahmin etmek amaçlı kullanılan öngörücü analizler, özellikle finans ve pazarlama olmak üzere işletmenin tüm çalışanlarına karar vermede yardımcı olmaktadır. Doğru cevap B'dir.