5 minute read
Uçtan uca gerçek bilgi güvenliği
Uçtan uca gerçek bilgi güveliği
Advertisement
Cevat BALEK/ Yüksek Mühendis ÖLÇSAN TEKNOLOJİ A.Ş.
Bilgi güvenliği pek çok boyutta dikkatle ele alınması gereken bir konudur. Bir kurum için bilginin ve gizliliğinin ne demek olduğu, bilgi güvenliğinin ne anlama geldiği konularında pek çok yazı kaleme alınmış ve konu az çok tanımlanmıştır. Bu yazıda bilginin ve gizliliğinin sadece statik olmakla kalmayıp iş süreçlerini de içine alan bir dinamizme doğru kaymakta olduğunu ortaya koyarak, kişilerin biyometrik bilgileri ile doğrulanmasını da içeren “gerçek -veya uçtan uca- güvenlik” dediğimiz konunun önemine vurgu yapacağız.
Bilgi nedir? Bilgi bir kurumun, kuruluşun veya organizasyonun faaliyetlerini yürütmekte kullandıkları verilerin anlam kazanmış haline denir. Bilgi, bir kurumun mevcudiyetini ve sürekliliğini sağlayan yegâne faktördür ve güvenliğinin sağlanması gerekir. Temel bilgi türlerini kabaca aşağıdaki gibi kabul edebiliriz:
Kağıt üzerine basılmış, yazılmış bilgiler
Elektronik olarak saklanan bilgiler
Posta ya da elektronik ortama aktarılmış bilgiler
Kurumsal bilgi sayfalarında ve videolarda gösterilen bilgiler
Metin olarak, sözlü veya görüntülü olarak aktarılan veya kaydedilen söyleşiler
Bilgi güvenliği nedir? Bilgi güvenliği, hayati öneme sahip bilginin korunması, bütünlüğünün sağlanması ile birlikte erişebilir ve ulaşabilir olmasının sağlanması için alınan gerekli önlemler ve tedbirlerdir. Bilgi güvenliğinin temel ilkeleri gizlilik (confidentiality), bütünlük (integrity) ve ulaşılabilirlik’tir (availability). Elbette, her temel ilkenin altında ilkeyi yerine getirmek için pek çok alt ilke vardır. Gizlilik (confidentiality): Sadece yetki sahibi kişilerin bilgiye ulaş masıdır.
Bütünlük (integrity): Bilginin ve bilgi işleme yöntemlerinin, doğruluğu ve eksiksizliğidir. Ulaşılabilirlik (availability): Yetkili personelin, bilgiye ve ilgili varlıklara gereğinde ulaşımıdır.
Şekil 1. Bilgi güvenliği unsurları (CIA Ve Diğerleri) [1]
Yeni bir temel bilgi olarak sürecin kendisi Tanımı yapılan temel bilgiler yapıları itibarı ile statiktirler. Ancak, çoğu kurum, aslında tüm kurumlar, tanımlı veya henüz tanımlayamadıkları iş süreçlerine uygun olarak mevcut işlerini yürüterek,
tüm bu bilgileri dinamik olarak kullanırlar. Özünde dinamik olan iş bilgisinin mevcut bilgi güvenliği stratejisi içinde yer alması önemli bir artıdır, hatta yer almaması önemli bir eksi olarak bile değerlendirilebilir. Dolayısıyla, işlerin alınıp verilmesi dâhil olmak üzere, bir iş etrafında toplanan tüm bilgiye, sadece o iş ile ilgisi olduğunu belirtilen kişilerce gerektiğinde ulaşılabilmesi de önemlidir. Daha net ifade ile, özünde dinamik olan iş akış bilgisinin kendisi de temel bilgilerden biri sayılmalıdır. İş fırsatlarından tutun, fiziksel güvenliğe haiz pek çok işin yapılması ile ilgili e-postalar, dokümanlar, iş atamaları, vb. olarak etrafta dolaşan bağlamsal bilgiye de statik bilgi kadar önem verilmesi gereklidir. Uçtan uca güvenli bir iş takip sistemi kullanmayan kullanıcıların, hassas bilgilere haiz olan işlerini kendi ürettikleri şifre belirleme yöntemleri ile şifreleyerek genellikle e-posta üzerinden göndermelerini örnek olarak verebiliriz. E-posta sistemindeki güvenlik açıkları bir yana, kendi belirledikleri şifre üretme ve değiştirme yöntemini de sıklıkla unutan bu kullanıcıların, kendilerinin veya iletişimde oldukları paydaşların şifreledikleri bilgileri açıp göremez duruma düşmeleri az rastlanan bir durum değildir. Benzer bir şekilde, yine aynı proje ile ilgili hassas olarak takip edilmesi gereken haberler ve tartışma alanları gibi mecralar ya bilgi güvenliği zayıf bilgi sayfalarıdır ya da ilgili gruplara atılan şifreli e-postalar ile yönetilirler. Münferit yöntemlere başvurarak paylaşılan bilgilerin ve yürütülen işlerin yönetmenin imkânsızlığı bir yana, hassas bilgilerin kaybı
na yol açıp ulaşılabilirlik ilkesinin ihlal edilmesine vesile olmakla birlikte büyük bir güvenlik zafiyetinin mevcut olduğu da su götürmez bir gerçektir.
Bilgi güvenliğinde yerli ve milli yazılımlar Tüm bu bilgiler ışığında, bilgi güvenliği adına atılacak en önemli adımlardan birinin de yerli ve milli yazılımlar olduğunu savunan ÖLÇSAN, yazılımlarını yerli ve milli olarak Türk mühendis kadrosuyla hayata geçirme hedefini, şu ana kadar birçok kurum ve kuruluşta çalıştırdığı ürün ve yazılımlarıyla gerçekleştirmiş ve burada yazılım ile donanım arasındaki tüm yolun güvenliği, kriptolaması gibi unsurları da yerli milli algoritmalarıyla elde etmiştir.
Dinamik bilgiyi de esas olarak alan uçtan uca gerçek bilgi güvenliği İşin niteliği ne olursa olsun herhangi bir kurumda iş ve sorun takibinin en etkili ve esnek şekilde yerine getirilmesi ile birlikte, hem proje hem de proje kapsamında yapılan işler ile ilgili olarak projeye dahil olan çalışanlarla ve paydaşlarla paylaşılan bilgilerin son derece hassas olduğu çalışma alanlarında uçtan uca güvenli bir iş takip ortamı sağlamak önemlidir. Güvenli iş takibi için, tüm kullanıcıların parmak izi veya retina gibi biyometrik özellikleri veya en azından kendilerine özel olarak hazırlanmış kişisel kartları ile sisteme girişlerini zorunlu kılınmalıdır. Bilgilere erişim yapacakları sırada, ekrana bir başka kişinin bakmasının yüz tanıma ile tespiti durumunda, ekranın otomatik olarak kapatılması sağlanır. Projede üstlendikleri rollere bağlı olarak, kimin hangi bilgiyi görebileceğine ilişkin temel bilgi güvenliği katmanının üzerine, hassas bilgilerin sunucuda ve ağ iletişiminde ancak ilgili kullanıcıların açabileceği şekilde şifrelenmesini de sağlanmalı. Sunucu veya ağın uzaktan ele geçirilmesi durumunda bile, hassas bilgilere yetkisiz erişimi engelleyen uçtan uca bir güvenli bir iş ve proje takip ortamı gerekir.
ODAK ÖLÇSAN’ın geliştirdiği “Güvenli Süreç Yönetim Platformu ODAK”, bir işletmenin tüm iş süreçlerinin
uçtan uca güvenli ve gerçek zamanlı olarak; takibi, yönetilmesi, performans değerlemesini yapar. Siber güvenliğin önem kazandığı günümüzde veri gizliliğini ön planda tutan ODAK, gerçek zamanlı takip ile projede hedeflenen ve gerçekleşen arasındaki farkları, performans-maliyet-zaman vs. gösterir ve müdahale etmek için ortam sunar. Süreçte yaşanılan anlık sorunları görme ve müdahale etme imkânı sunar. Çalışanların, performansını değerlendirir ve raporlar. İş ile ilgili detaylı bilgileri ve kişileri aynı sayfada toplayan platform, ilgililerle güvenli iletişimi sağlar. Ekip içinde güvenli ve hızlı şekilde bilgi ve dosya paylaşımını gerçekleştirir. Yüz tanıma ve/veya parmak izi tanıma ile iş takip sistemini kullanacak kişiyi tanıyan, birden fazla kişi göz atıyorsa hemen ekranı kapatan sisteme sahip olan platform, tanınan kişinin görebileceği, düzeltebileceği projelerde hangi yetkilere sahip olacağının, özel notları görüp göremeyeceğinin detaylı tanımını yapar ve yönetir. ODAK sunucusu ile istemci arasındaki bilgi alışverişinin tamamının projeye özel bir şifreyle korunması ile gizli işlerin sadece ilgili projeye üye olanlar tarafından okunup düzeltilebileceğinden emin olunur. Dinamik bilgiyle uçtan uca gerçek bilgi güvenliğini esas alan ODAK, işletmelere güvenli çalışma ortamı sağlar. İster yakın ister uzak ofislerde olsun, işletmelerdeki iş süreçlerinin sağlıklı bir şekilde devam etmesine imkan vererek verimli bir çalışma alanının oluşmasını sağlar.
K!M EagleEYE K!M EagleEYE, tüm geçiş kontrol noktalarından başarı ile geçtikten sonra bilgisayarının başına gelen kullanıcının bilgiye erişimini güvenli şekilde sağlamak için ÖLÇSAN tarafından tasarlanmış bir yerli yazılımdır. Kullanıcı, bilgisayara biyometrik bir unsurla giriş yaptığında, sonrasında arkada çalışan yazılım webcam veya bilgisayarın kamerasından kişiyi izler, doğru yüz ekrana baktıkça erişim için izin verir, eğer ekranın başından kalkılırsa ya da tanımlı olmayan ikinci bir yüz ekrana bakarsa ekranı güvenli moda alarak kapatır. Bu erişim geçiş kontrol sistemlerinde artık son noktaya gelinip bilgiye erişilecek noktada kullanılarak GKS ile tam bir bütünlük sağlayarak uçtan uca güvenli olmasını sağlar.
[1] https://www.siberportal.org/blue-team/securing-information/bilgi-guvenligiunsurlari-cia-ve-digerleri/
