Güvenlik Bir Politikadır

İnternet üzerinde sörf yapan kullanıcılardan, bu mecrayı ticaret amaçlı kullanan büyük işletmelere kadar herkesin kafasındaki en önemli kuşkulardan biri de güvenliktir. Özellikle 11 Eylül saldırısının ardından yapılan açıklamalarda, tehdit olarak biyolojik saldırıların ve internetten gelecek saldırıların gösterilmesi bu kaygının en güzel ifadesi olsa gerek. Tüm bunlar belirli bir süreci izlerken hep göz ardı edilen bir şey vardı. Güvenliğin temelinde hiçbir zaman çeşitli yazılım veya donanım araçları ile belli noktalarda koruma sağlama yaklaşımı olmamalıdır. Güvenlik, çok ciddi analizleri, detaylı tanımlamaları ve işletme bütününde yaygınlığı gerektiren oldukça önemli bir süreçtir. Kısacası güvenliği sağlamanın temeli, şirkete özel bir güvenlik politikasını ortaya koymaktan geçer.

Artık herkesin kabul ettiği bir gerçek, iş yapma modellerinde internet ile bütünleşmenin önemidir. Özellikle elektronik iş kavramının bugün geldiği noktada işbirliği içinde, birçok kaynağı paylaşma yaklaşımının ön plana çıkması ile birlikte şirketler bir zincirin tek bir halkası haline gelmektedir. Bu zincirin herhangi bir halkasında oluşacak sorun diğer tüm halkaları da etkileyecektir. Bu açıdan bakıldığında internet üzerinde faaliyet gösteren ticari topluluklardaki katılımcılar, birbirlerinin güvenlik açısından ne derece yeterli olduğunu sorgulamaktadır. Kısacası elektronik ortamda iş yapmanın şartlarından biri de sağlam bir güvenlik politikasıdır.

Ayrıca, özellikle mobilitenin artması, şirket kaynaklarına dışarıdan erişimi her geçen gün daha da gerekli kılmaktadır. Bu erişimin düzenlenmesi ve belirli standartlara oturtulması için de güvenlik politikasına ihtiyaç duyulacaktır.

Güvenlik politikasını oluşturan unsurlar kadar, güvenlik politikasının ortaya koyulması aşamasında göz önüne alınacak bazı kriterler de önemlidir. Başarılı bir güvenlik politikasının hayata geçirilmesi ve etkin biçimde uygulanabilmesi açısından, ilk aşamada doğru saptamaları yapabilmek ve politikaları doğru temeller üzerine inşa edebilmek kritik öneme sahiptir.

Her şirket, kendine özgü güvenlik ihtiyaçlarına sahiptir. Örneğin bir milli savunma kurumu ile bir üniversitenin güvenlik ihtiyaçları arasında oldukça fazla farklılık olacaktır. Bu yüzden, güvenlik politikası oluşturulmadan önce işletmenin amaçlarının net olarak ortaya koyulması ve bu amaçlara hizmet edecek biçimde politikaların şekillendirilmesi önemlidir.

Güvenlik politikası, şirket için çok önemli olan bir unsur olduğundan dolayı bu politikanın belirlenmesi aşamasında üst yönetimin tam desteğinin sağlanması gerekir. Üst yönetimin güvenlik ihtiyaçlarını anlaması, politikanın hayata geçirilmesini ve tüm işletme içerisinde eksik uygulanmasını güvence altına alması güvenlik politikasının kritik başarı faktörlerinden bir tanesidir.

Üst yönetimin desteğinin öneminin yanında işletmenin çalışanlarının da güvenlik politikası hakkında bilgi sahibi olması önemlidir. Çalışanların güvenliğin öneminin farkında olması ve güvenlik sorunlarının şirket değerleri üzerinde ne ölçüde olumsuz etkilerinin olacağının bilincinde olması etkinliği artırıcı bir yaklaşımdır. Ayrıca her çalışanı bu politikanın bir parçası haline getirmek ve politikanın felsefesini anlamalarını sağlamak gereklidir.

İşletmelerin farklı güvenlik ihtiyaçları olabileceği gibi işletme içerisindeki farklı varlıkların da birbirinden farklı güvenlik seviyelerinde olması mümkündür. Örneğin, elektronik ticaret yapan bir işletmede müşterilerin şahsi bilgileri ve özellikle kredi kartı numaralan, en üst düzeyde güvenlik gerektiren bilgilerdir. Hangi noktalarda hangi seviyede güvenlik uygulanacağının önceden belirlenmesi ve politikanın bu çerçeve içerisinde geliştirilmesi gerekmektedir.

İşletme içerisinde risk analizinin gerçekleştirilmesi de diğer bir önemli kriterdir. Önceden karşılaşılan durumlar ve çeşitli öngörüler ile desteklenecek risk analizleri ile sistemde hangi noktaların ne riskler barındırdığı ve bu risklerin önüne hangi sistematikte geçilebileceğinin belirlenmesi güvenlik politikasının etkinliğinde oldukça önemli bir noktadır.

Her ihtiyaç zaman içerisinde değişecektir. Buna güvenlik ihtiyacı da dahildir. İşletmenin iş modelinde oluşacak değişimler, yeni sistemlerin entegrasyonu, yeni iş ortakları ile çalışma ve daha birçok durumda mevcut ihtiyaçlardan daha değişik güvenlik ihtiyaçları ortaya çıkabilir. Bu yüzden güvenlik politikasının belirli periyotlarda gözden geçirilmesi ve günün şartlarına uygunluğunun saptanarak gerekli yönde değişikliklerin gerçekleştirilmesi gerekmektedir. Süreklilik olarak da tanımlanabilen bu özellik, belirli bir temele oturan politikanın fonksiyonel gelişimini mümkün kılacaktır.

Sürekli gelişen, yaşayan bir yapı olan bu politikanın, işletme içerisindeki diğer politikalar ile de uyumlu olması önemlidir. Birbiri ile çakışacak, birbirinin etkinliğini azaltacak politikaların İşletme içerisinde sıkıntı yaratması ve verimliliği düşürmesi kaçınılmaz olacaktır.

Güvenlik anlamında yatırım yapacak veya mevcut yatırımlarını revize edecek olan işletmeler güvenlik politikalarının önemini bir an önce kavramalıdır. Bugün, çok ciddi miktarlarda güvenlik yatırımı yapmasına rağmen bir güvenlik politikasına sahip olmayan birçok işletme mevcuttur. Dünyada ve özellikle Türkiye'de, güvenlik konusunda çok ciddi bir eksikliğin olduğu gerçeğini kabul etmek gerekmektedir. Bu eksikliğin farkına varmak için acı tecrübeleri beklemek yerine, doğru ve sağlam politikalar üzerine oturtulmuş etkili güvenlik çözümlerine yönelik çabalara bir an önce ağırlık verilmesi gerekmektedir.

Devlet Kuruluşunda Pornografik İçerik

ABD'de bir devlet kuruluşunda çalışan görevlinin İnternette sörf yaparken pornografik içerikli sitelere uğradığı ve ciddi miktarda pornografik içeriği kurumun sistemine yüklediği tespit edilmiştir. Bu davranışından dolayı görevlinin işine son verilmiştir. İşinden atılan görevli, kurum aleyhinde dava açmış ve kendisine kimsenin pornografik içerik üzerine herhangi bir şey söylemediğini ifade etmiştir. Kurumun yazılı herhangi bir politikası olmadığından dolayı bu görüş kabul edilmiş ve görevli mahkeme kararıyla işine iade edilmiştir.