İŞLETME BİLGİ SİSTEMLERİ - Deneme Sınavı - 11

ğinin önemi de gün geçtikçe artmıştır (İlçin, 2014). Bilgi güvenliği, bilginin yetkisiz veya izinsiz bir biçimde kullanılması, erişilmesi, değiştirilmesi, silinmesi veya kullanılmaz hale gelmesini önlemek amacı ile alınacak önlemler olarak adlandırılır (Eminağaoğlu ve Gökşen, 2009).

Bilgi güvenliği, bilginin yetkisiz veya izinsiz bir biçimde kullanılması, erişilmesi, değiştirilmesi, silinmesi veya kullanılmaz hale gelmesini önlemek amacı ile alınacak önlemler olarak adlandırılır (Eminağaoğlu ve Gökşen, 2009). Bilgi güvenliğinin dayandığı kavramlar aşağıda listelenmiştir 

• Gizlilik

• Bütünlük

• Erişilebilirlik

• İzlenebilirlik

• Kimlik sınaması

• Güvenilirlik

• İnkâr edememe

Gizlilik, bütünlük ve erişilebilirlik birincil olarak, diğer kavramlar ise ikincil olarak bilgi güvenliği için sağlanmalıdır.

Bilgi sistemlerinin erişimi engellemeye yönelik saldırı tiplerinden olan “denial of service” (hizmeti kullanılamaz kılma) saldırılarını anlayabilmek için sisteme ait erişim, günlük dosyaları ve hizmet kalitesi yazılımlar ile sürekli izlenmelidir. Örneğin bir ya da birden çok kişi birleşerek bir internet sayfasına sürekli sayfayı görüntüleme isteği gönderiyor olsun. Her web sunucusunun cevap vereceği belli bir istek sayısı vardır ancak bu saldırı sırasında o kadar çok istek gönderilir ki sunucu artık gerçek isteklere de cevap veremez. Yani servis vermeyi durdurur, işte bu durumlarda bilginin erişilebilir olma ilkesi ihlal edilmiş olur.

İzlenebilirlik ilkesi bilgi sistemini kullanarak gerçekleştirilmiş olan tüm olayların kullanıcı, parametreler, olay türü ve zaman damgası gibi bilgilere göre takibi ile ilgilidir. Bu verilerin kaydedilmesinin birçok amacı olabilir; bilgisayar sistemine yapılan bir saldırının veya bir güvenlik ihlalinin sisteme zarar vermeden önce hızlı bir şekilde fark edilmesi, sisteme yapılmış olan bir saldırının veya sistemdeki bir bozukluğun nasıl yapıldığını adım adım incelemek gibi sebepler sayılabilir.

SSL (Secure Sockets Layer) sertifikaları web site adreslerinin doğruluğunu kontrol eden, bilgisayar ve web sunucusu arasındaki veri iletişimini şifreli kanal üzerinden yapılmasını sağlayan bir güvenlik önlemidir.

Truva Atları bilgisayardaki dosyalara zarar vermekten daha çok bilgisayarı ele geçirip uzaktan müdahaleye açık hâle getirmeyi hedefleyen yazılımlardır. Truva atları çoğu zaman gerçek yazılım gibi görünen programlardır. Örneğin siz internet üzerinden güvenilmeyen bir adresten müzik dinleme programı indirdiğinizi düşünürken aslında bu, müzik dinleme programı görünümü altında bir truva atı yazılımı olabilir.

Bir bilgisayar ağına bağlı olarak çalışan bilgisayardaki iletişim portları üzerinden birçok saldırı gerçekleştirilebilir. Bu ağ üzerinden gelen-giden veriyi inceleyerek, sadece kullanıcının tanımladığı yazılımların yine kullanıcının tanımladığı portlar üzerinden iletişimine izin vererek saldırıları önleyen güvenlik duvarı (firewall) yazılımları/donanımları da vardır. Bu programlar anlık olarak gelen giden trafiği ve bilgisayarın iletişim için kullandığı port adreslerini denetleyerek saldırıları engeller. Adından da anlaşılacağı gibi izin verilen uygulamalar ve portlar için şeffaf bir kapı gibi davranırken diğer uygulamalar ve portlar için duvar gibi içinden geçilmesi imkânsız bir ortam sunar. Güvenlik duvarı kullanarak bilgisayarın ağ iletişiminde IP (Internet Protocol) tabanlı, uygulama tabanlı ve port tabanlı tanımlamalar ve filtrelemeler yapılabilir.

TDK’ya göre ahlak, ahlak ile ilgili olarak tanımlanan etik, bireylerin davranışlarını yönlendirmek için seçim yapmakta kullandıkları doğru ve yanlışa ilişkin ilkeleri ifade etmektedir (Laudon, 2014). Bilişim etiğini ise elektronik ve internet ortamlarında yazılı olan veya olmayan ancak büyük oranda üzerinde uzlaşma sağlanmış uygulamalar veya davranış kalıpları olarak tanımlanmaktadır. Türkiye Bilişim Derneği, raporunda bilişim etiğini bilişim hizmeti sunanlar ve bunlardan faydalanan kişilerin birbirleri ile olan davranışlarını inceleyen ve etiğin bir alt dalı olarak tanımlamıştır.

Her toplumun kendi sosyo-kültürel özellikleri de etik uygulamaları farklılaştırabilir, Bilgisayar Etik Enstitüsü (Computer Ethics Institute) tarafından ortaya konulan bilgisayar kullanım ve ağ üzerindeki iletişimine yönelik etik ilkeler aşağıda listelenmiştir:

- Bilgisayar başka insanlara zarar vermek için kullanılamaz. 

- Başkalarının bilgisayar çalışmalarına karışmamalısınız.

- Size ait olmayan bilgisayar dosyalarını incelememeli/karıştırmamalısınız.

- Bilgisayarı hırsızlık yapmak için kullanmamalısınız. 

- Bilgisayarı yalan bilgiyi yaymak için kullanmamalısınız. 

- Ücretini ödemediğiniz lisanslı bilgisayar programlarını kullanmamalısınız ve/veya kopyalamamalısınız.

- Başkalarının bilgisayar kaynaklarını izinsiz ya da ücretsiz kullanmamalısınız.

- Başkalarının ürettiği fikir eserlerini sahiplenmemelisiniz. 

- Yazdığınız programların ya da tasarladığınız sistemlerin toplumsal sonuçlarını düşünmelisiniz.

- Bilgisayarınızı her zaman saygı kuralları çerçevesinde kullanmalı ve diğer insanlara saygı duymalısınız.

Kişisel veriler üzerinde anonimleştirme yapmak için elimizde veri setinin tamamı olmalıdır, bu bütün veri seti üzerinden anonimleştirme yapılabilir. Eğer elimizde anonim veri yani belirli bir kişi ile ilişkilendirmesi mümkün olmayan bir veri varsa bunun üzerinde anonimleştirme yapmaya gerek yoktur. Verileri anonimleştirmek için çeşitli yöntemler kullanılabilir: Maskeleme yöntemi, bazı alanlar silinerek veya yıldızlanarak verinin belirlenemez hâle getirilmesidir. Örneğin kişinin Türkiye Cumhuriyeti kimlik numarası 12345678900 olsun maskelemeden sonra *********00 olacaktır, burada dikkat edilmesi gereken husus küçük veri setlerinde maskeleme yapılsa da veri anonimleşmemiş olabilir, anonimleşmiş veri bir kişi ile ilişkilendirilebilir.

Bilgi güvenliği, bilginin yetkisiz veya izinsiz bir biçimde kullanılması, erişilmesi, değiştirilmesi, silinmesi veya kullanılmaz hale gelmesini önlemek amacı ile alınacak önlemler olarak adlandırılır (Eminağaoğlu ve Gökşen, 2009). Bilgi güvenliğinin dayandığı kavramlar aşağıda listelenmiştir (Stallings, 2003; Çalışkan, 2019):

İzlenebilirlik: Bu ilke, bilgi sistemini kullanarak gerçekleştirilmiş olan tüm olayların kullanıcı, parametreler, olay türü ve zaman damgası gibi bilgilere göre takibi ile ilgilidir. Bu nedenle doğru seçenek E seçeneğidir.

Rootkit yazılımlar: Bilgisayarlardaki işletim sistemlerinin çekirdek yazılımları etkileyerek bulaştığı bilgisayarda, yönetici yetkisi ile işlem yapmayı sağlayan bulunması çok zor olan en tehlikeli yazılımlardandır (Samet ve Aslan, 2018). Bu tür yazılımlar tek başlarına değil, virüs, solucan ve truva atları ile birlikte bütün sisteme saldırırlar. Bulaştıkları dosyalar işletim sistemini oluşturan temel dosyalar olduğu için antivirüs yazılımlar tarafında da çok zor tespit edilirler. Bu tür virüsler Unix ve Linux türevi işletim sistemleri ve Windows işletim sistemi için geliştirilebilirler. Bu nedenle doğru seçenek seçeneğidir.

Truva Atları: Bilgisayardaki dosyalara zarar vermekten müdahaleye açık hâle getirmeyi hedefleyen yazılımlardır. Truva atları çoğu zaman gerçek yazılım gibi

görünen programlardır. Örneğin siz internet üzerindengüvenilmeyen bir adresten müzik dinleme programı indirdiğinizi düşünürken aslında bu, müzik dinleme programı görünümü altında bir truva atı

yazılımı olabilir. Truva atları virüsler gibi kendilerini kopyalamazlar (Samet ve Aslan, 2018). Bir truva atı program bilgisayarınızda çalıştırıldığında kötü niyetli kişiler sizin her türlü verinizi çalabilir, kamera veya mikrofon gibi donanımlara erişebilir. Bu nedenle doğru seçenek C seçeneğidir.

Bir başka yöntemi ise, veri yükleme ve veri gösterme programlarına yetkisiz müdahalelerde bulunarak bilgisayar sistemine yanlış veri girişi, sistemden sahte belge üretme ya da kullanılan bir programı değiştirerek yapılan. Bu nedenle doğru seçenek A seçeneğidir.

Kişisel verilerin korunması ile ilgili Avrupa Konseyi tarafından kökü 1970’lere dayanan çalışmalar sonucunda 28 Ocak 1981 tarihinde imzaya açılan “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi” 1 Ekim 1985 tarihinde yürürlüğe girmiştir. Bu sözleşme 17 Mart 2016 tarih ve 29656 sayılı Resmi Gazete’de yayımlanarak  Türkiye’deki hukuk sistemine dâhil edilmiştir. Bu sözleşmenin amacı, üye ülkelerde kişilerin kişisel verilerini, otomatik veya otomatik olmayan yollarla işleme tabi tutulmasına karşı güvence altına

almaktır. Kişisel verilerin korunması, Türkiye Cumhuriyeti Anayasası’nda 2010 yılında yapılan değişiklikle de anayasal güvenceye kavuşturulmuştur. Türkiye Cumhuriyeti Anayasası Madde 20’ye göre herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Bu nedenle doğru B seçenek seçeneğidir.

Verileri anonimleştirmek için çeşitli yöntemler kullanılabilir: Maskeleme yöntemi, bazı alanlar silinerek veya yıldızlanarak verinin belirlenemez hâle getirilmesidir. Örneğin kişinin Türkiye Cumhuriyeti kimlik numarası 12345678900 olsun maskelemeden sonra *********00 olacaktır, burada dikkat edilmesi gereken husus küçük very setlerinde maskeleme yapılsa da veri anonimleşmemiş olabilir, anonimleşmiş veri bir kişi ile ilişkilendirilebilir . Bu nedenle doğru seçenek A seçeneğidir.

Diğer bir yöntem toplulaştırma/ kümülatif veri yaratma olarak bilinir, bu yöntemde veriler toplulaştırılır. Örneğin bir fabrikadaki çalışan sayısı 1000 olarak verildiğinde, bu sayı içerisinde yer alan %20’sinin lise mezunu, %40’ının üniversite mezunu, %20’sinin yüksek lisans mezunu olmasına ilişkin veriler anonim hâle getirilmiş olacaktır. Bu nedenle doğru seçenek C seçeneğidir.

İnkâr Edememe: Bu ilke, bir bilgi sistemine kaydedilen verilerin izinsiz değiştirilmediği veya orijinal olup olmadığı konusunda anlaşmazlık olduğunda

devreye girer. Sözü edilen ilkenin doğrulanması için hem anlaşmazlığa düşen kişilerin

kimliklerinin hem de belgenin orijinalliğinin de üçüncü bir kurum tarafından doğrulanması gereklidir.

Bu durum daha çok internet üzerinden gönderilen belgelerin değiştirilmediğini veya bir

internet sitesinin doğruluğunu göstermek için kullanılır. İnternet sayfalarının doğruluğunu kontrol

etmek için SSL (Secure Sockets Layer) adı verilen güvenlik sertifikası web sayfasına yüklenir.. Bu nedenle doğru seçenek  E   seçeneğidir.

Bilgi hakları; bireylerin, diğer bireylerin ve devlet de dâhil örgütlerin gözetimi veya müdahalesi olmadan tek başına hareket etmeyi talep etme hakkını ifade eden kişisel gizlilik hakkı/mahremiyet/özel yaşam ile ilgilidir.  Bu nedenle doğru seçenek  D   seçeneğidir.