Bilgi Güvenliği ve Yurt İçindeki Genel Uygulamalar

Günümüzde şirketler operasyonel verimlerini, ciro ve karlılıklarını artırabilmek amacıyla teknolojiden daha fazla yararlanabilme hedefindeler. Elde edilen verilerden faydalı bilgi edinebilmek, operasyonlarında işlemlerini hızlandırmak ve hata payını azaltmak amacıyla her geçen gün daha fazla operasyon adımını ve şirket bilgisini elektronik ortama aktarmaktalar.

Şirketlerin gerek yasal olarak saklanma ihtiyacı, gerekse geçmiş değerlerin korunması, işlenerek potansiyelin kazanca çevrilmesi gibi ihtiyaç ve amaçları dolayısıyla elektronik ortamda barındırılan verileri ile gelir kaybına yol açmamak üzere hatasız, duraksız sürdürülmeye çalışılan operasyonlarının gerçekleştirildiği eskiye nazaran oldukça büyük önem taşıyan bilgisayarları ve bunların oluşturduğu ağların güvenliği bir şirketin gündelik faaliyetlerinin yanı sıra varlığını sürdürebilmesi, ticari değerini ve kazançlarını koruyabilmesi için temel faktörlerden birisi olmuştur.

Orta ve büyük ölçek boyutuna ulaşmış pek çok firma ihtiyaçları doğrultusunda bilgi ve ağ güvenliğini sağlamaya yönelik bir çok yazılım ve donanım çözümlerine yatırım yapmaktadır. Bilgi güvenliği ve sistem sağlığının önemi dikkate alınarak yapılan bu yatırımlara karşın pek çok firma istediği güvenlik ve sistem sağlığına sahip olamamaktadır.

Bu durumun en önemli sebebi bilgi ve ağ güvenliği denildiğinde içerisinde yüzlerce bileşenin bulunması ve bu bileşenlerin dinamik hususlar olmasıdır. Gün geçtikçe farklı amaçlar için kullanılan bilgisayarlar bir yana, tıpkı bir ana karayolu gibi ağ trafiği de gün içerisinde belirli kurallar ile akmakta, dönem dönem trafik ihtiyaçları doğrultusunda ağın yeniden yapılandırılması, yönetilmesi gerekmektedir. Zaman içerisinde ihtiyaçlar doğrultusunda yeniden şekillendirilen ağ, ve bu ağa bağlı bilgisayarlar ve içerdikleri bilgiler de güvenlik açısından farklı tehditlere maruz kalabilmektedir.

Bilginin güvenliğini ve sistemin sağlıklı çalışırlığını sağlama hedefi, yaşayan bir sistem olan ağın (networkün) periyodik olarak kontrolü, çeşitli disiplinlerle ve bilgi sahibi kişilerce yönetilmesi, zafiyetlerinin taranması ve gerektiği ölçüde ayarlarının düzenlenmesi, yeni teknolojilerin kullanılması gibi belkide bakım adı altında fazlaca daralttığımız aslında çok sayıda önem taşıyan işlemin yapılmasını gerektirir.

Yatırımların yapılması, bakımların sağlanması sonrasında "Güvende miyiz?" sorusunun yanıtı da elbette görecelidir. Bu uyarı canınızı boş yere sıkmamalı, farkında olmak her zaman güvenliğe doğru atılan sağlam bir adımdır. Risklerinizin farkında olmak ve bu risklere göre önlem almak, bu sistematiğe göre yaşamak son derecede kazançlı çıkmanızı sağlayacaktır.

Firmaların bilgi ve ağ güvenliğini sağlamaya yönelik kullanılmakta olan bir çok yazılım ve donanım çözümlerine yaptıkları yatırımlara karşın tüm güvenlik zinciri en zayıf halkası olan kullanıcıların, çoğu zaman farkında olmadan bilinçsizce yarattığı sistem açıkları ile tehdit altında kalabilmekte, bu açıkların giderilmesine yönelik çoğu zaman da gereğinden de fazla yatırım yapılmak zorunda kalınmakta üstelik yapılan bu ek yatırımlar kesin çözüm niteliği de taşımamaktadır.

Ağ ve bilgi güvenliğinin sağlanabilmesi üzere gerçekleştirilen Onca yatırıma rağmen güvenlik zincirini tehlikeye atabilecek olan bu zayıf halkanın güçlendirilebilmesi ise kullanıcıların ihtiyaç duyulan nitelikte; şirketin sistem güvenliği politikalarına uygun olarak, bilinçlendirilmesi, eğitilmesi ile sağlanabilmektedir.

Bir çok kurumsal nitelikteki firma sistem güvenliğini sağlayabilmek ve operasyon akışına engel oluşabilecek potansiyel sorunları önleyebilmek amacıyla eğitimler düzenlemekte, farkındalık seviyesini artırarak kullanıcılar tarafından yaratılabilecek güvenlik açıkları ve sistem hatalarını azaltmaya çalışmaktadır. Kurumsal boyuttaki firmalar kadar olmasa da elektronik çağını yakalamış olan orta ve büyük ölçekli KOBİ'lerin de mutlaka farkındalık eğitimlerini dikkate alması, bu kapsamda gerekli genel ve firma özelinde eğitimleri programlaması işletme sağlığı açısından önem taşımaktadır. KOBİ'ler için ISR'ın TÜBİTAK desteği ile geliştirmekte olduğu "ScavDat" projesi ile bu ihtiyaçlara yönelik çözümlerimiz hakkında bilgi almak için www.isr.com.tr üzerinden ya da bilgi[at]isr.com.tr mail adresinden bize çekinmeden ulaşabilirsiniz.

Artarak Devam Eden Çağrı Merkezi Aramaları ve Güvenlik Zorlamaları

Gündelik hayatımızda aldığımız elektrik, su, TV, internet, telefon vb. altyapı hizmetleri, gerekse gıda, giyim ve ihtiyaç malzemeleri gibi temel alışverişlerimizde hepimiz kişisel bilgilerimizi vermek durumunda kalabiliyoruz.

Hizmetin kalitesini artırma ve hızlı iletişim gerekliliği gibi sebepler dolayısıyla belirtmek zorunda kaldığımız bu bilgilerimiz, paylaştığımız kurum tarafından pek çok sefer bizden izin alınmadan amacı dışında 3. taraflarla; çeşitli kurumlara da dağıtılıyor.

Bilgileri elde edilen kişinin eziyet derecesinde reklam iletişimlerine, otomatik reklam aramalarından tutun da ilgisi dahilinde olmayan pek çok konu ile tacize maruz kalması bir yana, bilgileri kullanılan bizlerin hakları iyiden iyiye hiçe sayılarak adeta aşağılanıyoruz.

Bilginin izinsiz paylaşımı ile müşteri bilgilerinin güvenliğini hiçe sayan kurumlar bu verileri ilettikleri kurumlara bilgi kaynağının açıklanmaması üzere ciddi talimatlar vermekteler. Bu durumda bilgisi izinsizce el değiştiren, güvenliği hiçe sayılan bizler, tarafımıza gelen çağrılarda size nasıl ulaştıklarını sorduğunuzda aşağılarcasına bilgi kaynağının gizlilik taşıdığını saçmalar vaziyetteler.

Bu tip aramaların - e-postaların çokluğu bizim için zaman kaybından öte duyarsızlık gibi kötü bir alışkanlık kazanmamıza yol açıyor. Bilgimizin güvenliğinin sağlanamamasından şikayetçi olmayı bırakıp durumu kabullenerek bize önerilen hizmet ve/veya tarafımıza yönlendirilen soruları kolaylıkla yanıtlar hale geliyoruz.

Bu konuda en açık örnek yakın dönemlerde yaşanan bilindik çağrı merkezi benzeri numaraların lokal (0216 , 0212 , 0312, 0262 vb.) alan kodları ile aramalara yanıt verenlerin kurum aldatmacası çerçevesinde pek çok kullanıcıyı dolandırıcılık seviyesinde kandırması ve bilgi toplaması.

Unutmayalım ki karşımızdaki kurum ister devlet kurumu ister özel bir kurum olsun telefon üzerinden hukuken geçerli olan resmi bir bildirimde bulunamaz. Ses kaydı alındığını belirterek özellikle kayıt güncelleme, ihbar iletimi gibi konulara ilişkin bizleri arayanlar bu bildirimleri resmi çerçevede gerçekleştirme yetkisine sahip değildir.

Sizi arayıp hesabınızın, hattınızın, işlemin güvenliği vb sebepler ile kimliğinizi teyit etmek zorunda olduğunu belirten ve kimlik bilgilerinizi, özel bilgilerinizi "teyit amaçlı" isteyen, özellikle de daha önce tanımadığınız, genel markaların çağrı merkezi numaralarına benzemeyen şüpheli numaralardan gelen talepleri asla muhatap almayınız.

Unutmayınız ki güvenlik teyidi tek taraflı olamaz; arayan kişinin de aramakta olduğu kurumu, yetkili bulunduğunu, kimliğini size doğrulayabiliyor olması gereklidir ki bu doğrulama yapılmadan verilen bilgiler yüzünden pek çok vatandaşımız mağdur durumda kalmaktadır. Pek çok kurum bu dolandırıcılıkların önüne geçebilmek için görevlendirdikleri kişi ve/veya şirketleri kendi bünyesinde olmasa dahi web sayfaları ve/veya çeşitli reklamlarında anons ettiği çağrı merkezi numaraları üzerinden aramaktadır.

Şüpheli bir aramayla karşılaştığınız takdirde herhangi bir bilgi vermek istemediğinizi belirtmeli ve arayan kişi ikna sürecine girmeye çalışmadan görüşmeyi derhal sonlandırmalısınız. Görüşmenin gerekliliği had safhada belirtiliyor, acil olduğu belirtiliyor ve/veya inandırıcılığının yüksek olduğunu düşünüyorsanız bu durumda sizin ilgili kurumun beyan ettiği iletişim bilgilerü üzerinden iletişime derhal geçeceğinizi belirterek, görüşmeyi derhal sonlandırarak ilgili kuruma telefon veya bizzat başvuru ile sizin ulaşıyor olmanız hem olası bilgi çalınma - dolandırıcılık girişimini önleyecek hem de bildiri konusu gerçek ise gerekenin yerine getirilmesini sağlamış olacaktır.

Bu tip girişimlerde "saldırganlar" senaryo bazlı çalışmalarda bulunup ikna gücü yüksek kurgular ile sizden bilgi elde etmeye ve nihayetinde çıkarları doğrultusunda kullanmayı, size zarar vermeyi hedeflemektedirler. Teknolojinin yaygınlaşması dolayısıyla saldırı mecraları artık fiziki dolandırıcılık - saldırı safhasından da ileriye gitmekte; telefon ile saldırılara, e-posta, web türü elektronik saldırılara dönmüş bulunmaktadır.

Kullanıcısı olduğumuz teknolojik cihazların ve methotların bize sağladığı faydaların yanında risklerin de bilgisine sahip olmak; farkında olmak, kullanım sıklığınızın gerektirdiği ölçüde periyodik olarak fayda ve zararları hakkında bilgi araştırması yapmak, eğitimler almak artık çağımızda bir zorunluluk halini almıştır.