İŞ HAYATINDA STANDARTLAR

İnternet erişiminin hızla artmasıyla aslında işletmelerin en büyük sorunu güvenlik olmuştur. İşletmeler bilgi sistemlerinin güvenliğine yönelik birçok önemli tehditle karşılaşabilmektedir

Kişisel gizlilik: Kimin hangi işi yaptığı veya müşterinin hangi malı satın aldığı gibi bilgiler kimseyle paylaşılmamalıdır.

Bilgisayar virüslerine benzer bir yapıda olan solucanlar, virüsler gibi bir başka çalıştırılabilir programa kendisini iliştirmez veya bu programın parçası olmazlar. Solucanlar, yayılmak için başka bir programa veya virüslerde olduğu gibi insan etkileşimine ihtiyaç duymayan, kendi kendini çoğaltan bir yapı arz ederler. Bu da solucanların neden bilgisayar virüslerinden daha hızlı yayıldığını açıklamaktadır.

Kasten elektronik iletişimi engelleme girişimi, suçun aracı olarak bilgisayar kullanımına örnektir. Diğer seçenekler suçun hedefi olarak bilgisayar kullanımına örnektir.

Güvenlik duvarı, yetkisiz kullanıcıların özel ağlara girmesini engeller. Giren ve çıkan ağ trafiğini kontrol eden yazılım ve donanımım bir birleşimidir.

Çerezler kullanıcı web sitelerini ziyaret ettiğinde bilgisayarın sabit diskine yerleşen küçük yazı dosyalarıdır. Çerezler kullanıcının web tarayıcı yazılımını tanımlar ve web sitesine ziyaretleri izler. Ziyaretçi bir çerez saklamış siteye geri döndüğünde, web sitesi yazılımı kullanıcının bilgisayarını araştıracak, çerezi bulacak ve kişinin geçmişte ne yaptığını öğrenecektir.

2014 yılında alınan ISO/IEC 27001 sertifikaları göz önüne alındığında 2014 yılında en çok sertifika edinen bölge 11.303 ile Doğu Asya ve Pasifik  olmuştur. Bunu Avrupa (8710) ile Merkez ve Güney Asya (2.253) izlemektedir. Türkiye’de ise 2006 yılında 10 ISO/IEC 27001 sertifikasından 2014 yılında 224 sertifikanın alındığı bir artış süreci görülmektedir.

ISO’da Uluslararası Standartlar geliştirilir ancak ISO sertifikalandırma süreci içinde yer almaz ve sertifika yayınlamaz. Bu hizmet dış sertifikalandırma kuruluşları tarafından gerçekleştirilmektedir. Yani bir işletme veya organizasyon ISO tarafından sertifikalandırılmaz.

Müşteriler, işletmenin içindeki tehdit unsurlarıdır.

Paket koklama, ağ üzerinde iletilen verilerin çalınması işlemine denir. Bir paket koklayıcı ağ üzerindeki tüm trafiği kontrol etmek için bilgisayar içerisine yerleşir ve kendi kendine çalışır. Bunlar yazılımsal ya da donanımsal olabilir.

Uygulamada farklılıklar bulunmakla birlikte bilgi güvenliği konusunda temel standartlar aynıdır:

Solucanlar, yayılmak için başka bir programa veya virüslerde olduğu gibi insan etkileşimine ihtiyaç duymayan, kendi kendini çoğaltan bir yapı arz ederler.

Casus yazılımların da bazı türleri kötü amaçlı yazılım gibi hareket eder. Casus yazılım, kullanıcılara ait önemli bilgilerin ve kullanıcının yaptığı işlemlerin, kullanıcının bilgisi olmadan toplanmasını ve bu bilgilerin kötü niyetli kişilere gönderilmesini sağlayan yazılım olarak tanımlanır.

Bir bilgisayar korsanı (hacker) bir bilgisayar sistemine yetkisiz erişim elde etmeye çalışan bir bireydir. Hackerlar Web siteleri ve bilgisayar sistemlerinin uyguladığı güvenlik korumalarındaki zayıflıkları bularak sıklıkla açık bir sistem yaratan ve kolay kullanılan İnternetin çeşitli özelliklerinden faydalanarak yetkisiz erişim elde ederler. Hacker faaliyetleri sadece sisteme izinsiz girmenin ötesinde ürün ve bilgi hırsızlığına, bunun yanında sistem zararı ve siber barbarlık (cybervandalism), bilinçli engelleme, içerik bozma ve hatta bir Web sitesinin veya kurumsal bilgi sisteminin çökertilmesine kadar genişlemiştir.

Zombi bilgisayar, üçüncü tarafların denetimini ele geçirdiği bilgisayarı tanımlamakta kullanılan bir terimdir. Bu ele geçirme işi ise genellikle zararlılar yoluyla yapılmaktadır. Bilgisayarınızın “zombi” hale gelmesi, onun bir veya daha çok kişi tarafından sizin haberiniz olmadan kontrol edilmesi, örneğin istenmeyen e-postaların gönderilmesi veya İnternetteki diğer PC’lere saldırılar düzenlenmesi anlamına geliyor.

Suçun Hedefi Olarak Bilgisayarlar Korunan verilerin gizliliğini ihlal etmek, İzinsiz olarak bir bilgisayar sistemine erişmek, Korunan bir bilgisayara dolandırmak için bilerek erişmek, Korunan bir bilgisayara kasten erişmek ve bilerek veya dikkatsizce bir zarara sebep olmak, Korunan bir bilgisayara kasten zarar veren bir programı, program kodunu veya bir komutu bilerek iletmek, Korunan bir bilgisayara zarar vermek için tehdit etmek.

 Suç Aracı Olarak Bilgisayarlar Ticari sırların hırsızlığı Yazılımın veya kitaplar, makaleler, müzik ve video gibi telifli entelektüel sermayenin yetkisiz kopyalanması, Dolandırma planları Tehdit ve taciz için e-posta kullanma, Kasten elektronik iletişimi engelleme girişimi Saklanan e-posta ve sesli postayı içeren elektronik iletişimlere yasa dışı olarak erişilmesi, Bir bilgisayar kullanarak çocuk pornografisi dağıtmak veya sahip olmak.

Güvenlik altyapısı oluşturma aşamaları: Risklerin tespit edilmesi,  Farkındalık,  İnsan kaynağı istihdamı, Önleme, Yakalama, Zararı en aza indirme, Kurtarma, Düzenleme ve Güvenlik standartlarına uyumdur.

ABD’de Federal Ticaret Komisyonu tarafından orijinal hali (1973) geliştirilen Adil Bilgi Uygulamaları online (çevrim içi) mahremiyetin korunması için bir kılavuz sağlamaktadır. Bu prensipler aşağıda verilmektedir.

Bildirim/farkındalık (temel prensip): Web siteleri veri toplamadan önce bilgi uygulamalarını açıklamak zorundadır. Bilgiyi toplayanın kimliği; verinin kullanımı; toplamanın yapısı (aktif/pasif); gönüllü veya zorunlu durumu; reddetmenin sonuçları ve verinin gizliliğini, bütünlüğünü ve kalitesini korumak için atılması gereken adımları içermelidir.

Seçim/onay (temel prensip): Müşterilere bilgilerinin iç kullanım ve üçüncü taraflara dağıtımını da içerecek şekilde ikincil amaçlarla işlemi desteklemek dışında nasıl kullanılacağını seçmelerine izin veren bir seçim rejimi olmalıdır.

Erişim/katılım: Müşteriler kendileri hakkında toplanan verilerin doğruluğunu ve eksiksizliğini düzenli, uygun maliyetli bir süreçte inceleyebilmeli ve itiraz edebilmelidir.

Güvenlik. Veri toplayıcıları müşteri bilgisinin yetkisiz kullanımdan uzak ve güvenli olmasını sağlayacak adımlar atmalıdırlar.

Uygulama: Adil Bilgi Uygulamalarının uygulanması için bir mekanizma kurulmalıdır. Uygulama, öz denetim, müşterilere ihlallere karşı hukuki çözüm veren düzenlemeler veya kanunları içermelidir.

BGYS süreçlerine uygulanan PUKÖ modeli aşamaları su şekilde özetlenebilir:

Güvenlik politikası: Bilgi güvenliğini arttırıcı kurallar ve yönetim tavsiyelerini içerir.

Bilgi güvenliği organizasyonu: Kurum içindeki bilgi güvenliği yönetimini kolaylaştırır.

İnsan kaynakları güvenliği: İnsan hatası, hırsızlık, dolandırıcılık ya da ekipmanın amacı dışında kullanılması gibi riskleri en aza indirmesini sağlar.

Fiziksel ve çevresel güvenlik: Saldırıyı, kalite kaybını ya da endüstriyel vasıtaların ve verinin bozulmasını engeller.

İletişim ve operasyonel yönetim: Bilgi isleme donanımlarının yeterli ve güvenilir olduğunun kontrolünü sağlar.