Bugün iþ bilgi ile yönetiliyor. Bilginin bir kýsmý herkes tarafýndan bilinen kýsmýdýr, baþka bir kýsmý ise özeldir, hiç kimse ilgilenmez. Öyle bir kýsým vardýr ki, bazýlarýný ilgilendirir, o halde gizlidir. Bu bilgi, tasarým, satýnalma, personel, pazar, üretim metodu v.b. ile ilgili olabilir. Bu bilgi istenmeyen ellere geçtiðinde etkisi hemen (bir ihalenin kaybý gibi), veya yavaþça olabilir. Bilgiyi kaybettiðinizin farkýna varmayabilirsiniz, ancak, iþler nedense kötüdür.

Bazý kuruluþlarýn uyguladýðý kontroller vardýr. Savunmasýzlýklarý tanýmlama ve iyi uygulama örnekleri:

• Þifre kullanarak kiþisel baðlanma
• Virüs kontrolleri, yedekleme ve saklama (ayrý yerde saklama dahil) uygulamalarý
• Yetki tablolarý
• ÝK ile iþbirliði
• Ýþ planlama / kaza sonucunda ve iþ sürekliliði için yapýlacaklar
• BT hata raporlamalrý
• E-posta, fax, internet ve fotokopi için kullanma koþullarý
• Dosyalara eriþimde yetkiler

Bu gibi uygulamalar iyi bir baþlangýçtýr, ancak þifrelerin paylaþýldýðýna, bir yere kaydedildiðine, ve görünürde olduðuna sýk rastlarýz. Bir cep telefonu konuþmasýna kulak misafiri olup, hattýn öbür ucundakinin ne dediðini tahmin edebilmiþizdir.

Bilgi güvenliðinin casus savaþlarý ile ilgisi yoktur. Aþaðýdakiler için bir yönetim sistemidir:

• Gizlilik: Bilginin sadece eriþim yetkisi verilmiþ kiþilerce eriþilebilir olduðunun garanti edilmesi
• Bütünlük: Bilginin ve iþleme yöntemlerinin doðruluðunun ve bütünlüðünün temin edilmesi
• Elveriþlilik: Yetkilendirilmiþ kullanýcýlarýn, gerek duyduðunda bilgiye ve iliþkili kaynaklara eriþime sahip olabileceklerinin garanti edilmesi

Bunlarýn kaybý ticari zarara, iþ kaybýna, prestij zedelenmesine yol açabilir.

Bilgi güvenliðini paranoya ile saðlamak mümkün deðildir. Baþlama noktasý her türlü yönetim sistemi gibi risk analizidir. Riskin üç boyutu vardýr:

• Varlýðýn deðeri
• Tehdit
• Savunmasýzlýk

Riskin boyutu bu üçünün toplam etkisi ile oluþur.

1998'de yapýlan bir çalýþmaya göre baþarýsýzlýk
%57'si kaza eseri,
%24'ü kötü niyetli hareketler,
%11'i ekipman hatasý,
% 3'ü software hatasý,
% 5'i diðer nedenlerden kaynaklanmýþtýr.

Yine ayný yýlýn çalýþmasýna göre bilgi teknolojileri baþarýsýzlýklarý

%18'i enerji kesintisi,
%17'si kullanýcý hatasý,
%17'si LAN hatasý,
%14'ü dýþ kaynaklý virüsler,
% 9'u WAN hatasý,
% 6'sý çalýþanlarýn bilerek verdiði zarar,
% 6'sý operatör hatasýndan oluþmuþtur.

Risk deðerlendirme çok ciddi bir iþtir, ancak üst yönetimin taahhüdü, insanlarýn katýlýmý, ve iþ hedeflerinin açýklýðý da bir o kadar önemlidir.

Kuruluþun sahip olduðu varlýklarý deðerlendirmek, hýrsýzlýk, yangýn, sel baskýný, deprem, verinin tahribi, ve çok hýzlý geliþen bilgi teknolojileri gibi konular için kuruluþun dýþarýdan uzman desteði almasý gerekebilir.

Bilgi güvenliði yönetim sistemi standardý 2002 baskýsý BS 7799-Part 2 belgelendirmesi yapýlan bir standarttýr. Ayný standardýn birinci kýsmý Part 1 veya uluslar arasý ISO 17799 bir rehber olup iyi uygulama örnekleri verir. TSE bu standardý bir Türk standardý olarak kabul etmiþ, ve Kasým 2002'de yayýnlamýþtýr.

Standarda göre sistem kurma için kuruluþ

• Bilgi güvenliði politikasýný belirlemeli,
• Sistemin sýnýrlarýný (alan, varlýklar, kapsam, teknoloji) belirlemeli,
• Risk deðerlendirme sonuçlarýný yorumlamalý,
• Kullanacaðý kontrolleri seçmeli, ve
• Yönetim sorumluluklarýný belirlemelidir.

Bilgi güvenliði sistem dokümantasyonu

• Risk deðerlendirme prosesi kayýtlarý,
• Yönetim sorumluluðu,
• Politika (Örn: temiz masa, internet eriþimi, kriptografi, eriþim kontrolü vb.)
• Özel operasyonel dokümanlar ve prosedürler,
• Gözden geçirmelerden oluþacaktýr.

ISO 9000 disiplini elde etmiþ firmalar bunu anlamakta zorlanmayacaktýr.

Üçüncü taraflarý eriþimi de kritiktir. Servis verenler, taþeronlar, iþ ortaklarýnýn da eriþimi dikkate alýnmalýdýr. Kuruluþun zarar görmesinden zarar göreceklerin hassasiyeti yüreðe ne kadar su serpebilir?

Her ne olursa, ticari süreklilik esastýr. Çok basit bir örnek verelim; yangýn geçirmiþ bir binaya itfaiye haftalarca giriþ izni vermez ise, kuruluþ buna hazýr deðilse, iþi kaybetmeye kadar varan çok ciddi zararlar ile karþý karþýya kalabilir. Sistem iþ sürekliliði için önlemleri þart koþmaktadýr.

ABD savunma sistemleri 1995'te 250.000 kez saldýrýya uðramýþ, bunlarýn %65'i baþarýlý olmuþtur. Çok ciddiye alýnmasý gereken bu sistem standardý jeneriktir; yani her boyutta, her tür kuruluþ bunu uygulayabilir. Önemli olan geç kalmamaktýr.