5651 Sayılı Kanun Hakkında ..

5651 Sayılı Kanundan Haberdar mısınız?

5651 sayılı kanun ve ilgili Telekomünikasyon Kurumu (TİB) yönetmeliği her kurum için bazı yükümlülükler getiriyor.

Kanunun ve yönetmeliğin birçok konuda net tanım yapmadığını söylememiz yanlış olmayacaktır.

1. Her Kurum İçin Yükümlülükler

Kanun çerçevesinde tüm kurumlar Toplu Kullanım Sağlayıcı olarak değerlendirilmektedir ve kanunun yedinci maddesi ikinci fıkrası gereği tüm kurumlar, sekizinci maddede tanımlanmış konusu suç olan içeriğe sahip web sitelerine erişimi engelleyici tedbirler almakla yükümlüdür. İlgili tedbirlerin tanımı kanunda veya yönetmelikte net olarak belirtilmese de beklenen tedbir her kurumun bir URL Filtering (filtreleme) çözümü kullanmasını zorunlu kılmaktadır. Ayrıca tüm kurumlar iç IP dağıtım kayıtlarını (DHCP logları) saklamakla yükümlüdür.

2. Yer Sağlayıcılar

Hosting şirketleri ve kendi web sunucusunu barındıran tüm kurumlar kanunda Yer Sağlayıcı olarak değerlendirilmektedir. Kanun gereği kendi web sunucusunu barındıran firmalar/kurumlar ve hosting şirketleri Faaliyet Belgesi almakla yükümlüdür. Yine bu şirketler Web, Ftp ve Smtp sunucusuna gelen/giden trafiğin bilgilerini altı ay boyunca saklamak ve oluşan verilerin bütünlük değerlerini (hash) zaman damgası ile birlikte saklamak ve gizliliğini temin etmekle yükümlüdür. Bu bilgiler kaynak ip adresi, hedef ip adresi, istenilen url, saat, tarih ve komut detayları (http get/post) olarak tanımlanmıştır.

3. İçerik Sağlayıcıları

Kanunun dördüncü maddesine göre Web sitesi bulunan her şirket artık site içeriğinden sorumlu olacaktır.

Kaynak: Nebula Bilişim

5651 Sayılı Kanun

İlgili Yazılar:
IPv6'ya Geçiş için Başbakanlık Genelgesi
Kamuda Lisanslı Yazılım Kullanılması için Başbakan'dan Genelge

5651 sayılı kanun, bilgi güvenliği, dhcp, filtering, filtreleme, hash, internet, IP, içerik, kayıt, log, sağlayıcı, site, sunucu, url, web, yönetmelik, zaman damgası

Yazının devamı..

Kişisel Bilgisayarlar için Temel Güvenlik Adımları

Kişisel Bilgisayarlar için Temel Güvenlik Adımları
Yazar: Burak Bayoğlu
21.04.2008

İnternet kullanıcılarını, şirket ağlarına dahil bilgisayarları kullanarak erişen kurumsal kullanıcılar ve evlerindeki bilgisayarları kullanarak erişen kişisel kullanıcılar olarak kabaca ikiye ayırabiliriz. Bu makalede kendi bilgisayarının patronu olan ve kurumsal kullanıcıların tersine profesyonel sistem yöneticilerinden güvenlik desteği veya koruması alma şansı olmayan kişisel kullanıcıların kendi çabalarıyla bilgisayarlarının güvenliğini nasıl artırılabileceğinden bahsedilmiştir.
Evlerindeki bilgisayarları kullanarak Internet'e bağlanan milyonlarca insan bu teknolojiden eğlence, araştırma, eğitim, ucuz haberleşme, alış-veriş vb. amaçlar için yararlanmaya başlamıştır. Günümüzde bankacılık işlemleri gibi finansal işlemlerin Internet üzerinden yapılma oranı, kazandırdığı zaman ve sahip olduğu kolaylık sebebiyle artış göstermektedir. Kullandığımız bilgisayarlarda sakladığımız bilgilerin değeri ve dış dünya ile alış-veriş içerisinde olduğumuz bilgilerin gizlilik ihtiyacı arttıkça, her bilgisayar kullanıcısının güvenlik konusunda bilinçli olması ve gerekli özeni göstermesi daha da büyük önem taşımaktadır.

İşletim sistemleri, bilgisayarların üzerinde çalışan yazılım ile bilgisayar donanımı arasında köprü vazifesi gören ve bilgisayarın işlemesi için gerekli ortamı hazırlayan programlar topluluğudur. Kullanılan tüm programlar gibi, güvenlik amacıyla kullanılan programlar da işletim sistemi üzerinde koşmaktadırlar. Bu sebepten dolayı alınan güvenlik önlemlerinin etkili olması için güvenli hale getirilmiş bir işletim sistemi şarttır. Bilgisayarımızın güvenliğinin artırılması, işletim sisteminin güvenli hale getirilmesiyle başlar.

Günümüzde bilgisayar kullanıcılarının çok büyük bir kısmı bilgisayar virüslerinin veya kötü niyetli web sitelerinin neden olduğu zararlardan ve olası tehlikelerden haberdardır. Birçok bilgisayar kullanıcısı virüslerin tehlikeli yazılımlar olduğunu, Internet'ten zararlı yazılımların yüklendiğini, bu yazılımlarla bilgisayarın uzaktan kontrol edilebildiğini bilmektedir. Fakat kullanıcıların çok büyük bir kısmı bu tür tehditlere karşı korunmanın sadece bu işin uzmanlarına mahsus olduğunu düşünmekte ve sık aralıklarla bilgisayar işletim sistemini yeniden kurmak yolunu tercih etmektedirler. Halbuki tehditlerinin nerdeyse tamamının kaynağı olan Internet ortamında korunaklı bir şekilde çalışmaya devam etmek için atılacak birkaç basit adım bir çok riski ortadan kaldırmak için yeterli olacaktır.

Güvenlik için atılacak ilk adım, işletim sisteminizin yamalarının güncel tutulması olacaktır. İşletim sistemleri kullanıma açıldıktan sonra kullanıcılar, üretici firma veya bağımsız araştırmacılar tarafından bulunan hata ve güvenlik açıklıkları, kritiklik derecesine göre belirli aralıklarla yamalar çıkarılarak kapatılırlar. Kullanıcıların bu yamaları takip edip uygun olanları işletim sistemine uygulaması, söz konusu açıklığın kapatılması için gereklidir. Ev kullanıcılarının büyük çoğunluğunun kullandığı Microsoft Windows İşletim Sistemi için servis paketi ve yamalarının takip edilmesine yardımcı olmak için birçok web sitesi mevcuttur. Bunun yanında Windows 2000 SP3 ve Windows XP ile gelen otomatik güncelleştirme özelliği aktif hale getirildiğinde, bilgisayarınız Internet'e bağlandığında otomatik olarak mevcut durumun üzerine yeni yamalar çıkıp çıkmadığını kontrol eder, yeni yamalar varsa bunları bilgisayarınıza indirerek kurar ve bilgisayarınızın devamlı güncel tutulmasını sağlar. Otomatik güncelleştirme, yeni yamaları anında öğrenip uyguladığı için büyük kolaylık sağlamaktadır. Bu işlemin manuel olarak yapılması için Başlat Menüsü altındaki "Windows Update"/"Microsoft Update" kullanılabilir.

Çok kullanıcılı bir işletim sistemi kullanıyorsanız kullanıcıların şifreleri çok basit seçilmemelidir. Sözlükte bulunan kelimeler, isim, soyisim, doğum tarihi, doğum yeri, çocuğunuzun ismi gibi kelimeler kolay akılda kalması için oldukça sık başvurulan şifrelerdir ve kolayca tahmin edilebilir. Sözlük saldırısı yapan bir program birkaç saniye içerisinde şifrenizi kolayca bulabilir. Unutma korkusu ile sözlükten bir kelime kullanacaksanız bile bu kelimenin başına, sonuna veya ortasına rakam ekleyerek, noktalama işareti ekleyerek veya büyük-küçük harf çeşitlemesi yaparak şifrenizi daha güçlü yapabilirsiniz. Şifreleriniz içerisinde Türkçe karakter kullanılması, sözlük saldırısı yapan programlara karşı ekstra bir güvenlik getirecektir. Mesela "nigde" yerine "Niğ51de" gibi bir şifre kullanmak, şifrenizin sağlayacağı güvenliği oldukça artırır. Sadece bilgisayarınıza giriş için kullandığınız şifrelerde değil, kullandığınız e-posta servisleri, üyelikler gibi sistemlerde de benzer şifre politikalarını uygulamanız faydanıza olacaktır.

Temel güvenliğin sağlanması için atılabilecek ikinci adım bilgisayarınızda bir antivirüs programını etkin bir şekilde kullanmak olacaktır. Antivirüs programları bilgisayarınızı virüslere, solucanlara ve truva atı tipindeki zararlı yazılımlara karşı korumayı amaçlar. Kullanıcıların antivirüs programları hakkındaki yanlış bilgilerinden bir tanesi, antivirüs programı bir kere kurulduktan sonra devamlı olarak virüslere karşı bilgisayarı koruyacağını düşünmeleridir. Antivirüs programları, virüsleri virüs oldukları için değil kendilerine tanıtılmış oldukları için tanırlar, yani tuttukları virüs veri tabanında söz konusu virüsü bulurlarsa virüs olduğunu anlar ve gerekli mekanizmaları çalıştırırlar. Bu sebepten dolayı neredeyse her gün çok sayıda virüsün ortaya çıktığı günümüzde, antivirüs programlarının virüs tanımlama dosyalarının güncel tutulması son bilinen virüslere karşı korumanın mümkün olması için şarttır. Antivirüs programlarının büyük çoğunluğu bu güncelleme işlemini sizin yapacağınız ayarlar sonucunda Internet'e bağlı olduğunuz zamanlar kendisi otomatik gerçekleştirebilmektedir. Internet ortamında kritik işlemler yapmaya başlamadan önce bilgisayarınızda bir antivirüs programının olduğundan ve aktif olarak kullanıldığından emin olmanız gerekmektedir.

Teknik olarak aklımıza gelebilecek üçüncü adım, mümkünse kişisel bir güvenlik duvarı kurup etkin hale getirmek olacaktır. Güvenlik duvarlarının yönetimi, bilgisayar yamalarının güncel tutulması veya etkin antivirüs programı kullanılması gibi önlemlerin yanında da çok teknik detay gerektiren bir konu olduğu için çoğunlukla kabul görmeyebilir. Fakat en azından Microsoft Windows XP/Vista kullanıcıları, işletim sistemiyle beraber gelen kişisel güvenlik duvarını oldukça basit bir şekilde etkin duruma getirebilir.

Windows İşletim Sistemlerinin güvenliğinin artırılması için bahsettiğimiz işlemler ve daha fazlası hakkında detaylı bilgiye http://www.microsoft.com/turkiye/guvenlik/ adresinden Türkçe olarak erişilebilir.

Günümüzde koordineli gerçekleşen siber savaşların kullandığı en kuvvetli silah, sahiplerinin haberi olmadan kişisel bilgisayarların ele geçirilmesi ve birleştirilmiş güç ile dağıtık servis dışı saldırılarının(DDoS) gerçekleştirilmesidir. Gelecek bir günde korumasız olduğu takdirde ciddi güvenlik problemleri yaşatabilecek Windows işletim sistemlerine sahip kişisel bilgisayarlar farkında olmadan kendi ulusal sistemlerimizi ciddi şekilde tehdit edebilir. Yakın zamanda gerçekleşen siber saldırılarda Türkiye'de bulunan çok sayıda kişisel bilgisayar da bu saldırılara alet edilmiştir. Dolayısıyla evimizde kullandığımız bilgisayarın tek hakimi olduğumuzdan emin olmak sadece kendiniz için değil yeri geldiğinde ulusal güvenlik için de büyük önem taşıyacaktır.

Bahsedilen temel güvenlik önlemlerinin yanında, siz kullanıcıların güvenliği göz önünde bulundurarak internet üzerinden güvenli işlem yapılması da büyük önem taşımaktadır. Tanımadığınız insanlardan gelen e-posta mesajlarının açılması, eklentilerinde bulunan programların bilgisayara indirilip çalıştırılması, arka kapı veya virüslerin bilgisayarınıza bulaşması için en yaygın yöntemdir ve siz böyle e-posta mesajlarına karşı daha dikkatli olduğunuz sürece güvenlik seviyeniz eskiden çok daha yüksek olacaktır. Aynı şekilde bilinmeyen veya şüpheli web sitelerine girmemeniz, bu sitelerden gelecek ActiveX, Java Applet vb. mobil programları indirmeyi kabul etmeyip çalıştırmamanız sizleri mevcut risklerin büyük bir çoğunluğundan koruyacaktır. Bahsettiğimiz basit güvenlik önlemlerini almak için ayıracağınız küçük zaman sayesinde bilgisayarınız eskisinden çok daha güvenli olacak ve bilgisayarınızda sakladığınız bilgiler yabancı gözlerden olabildiğince uzak kalacaktır.

keywords: kişisel bilgisayar, pc, temel güvenlik, adım, önlemleri, güvenliği, ağ, internet, web, site, e-posta, virüs, program, windows, saldırı, nedir, nasıl, işletim sistemi, activex, java, şifre, xp, vista, antivirüs, yama, update, güncelleştirme

Yazının devamı..

Dünyanın en tehlikeli web siteleri

Dünyanın en tehlikeli web siteleri hangi ülkelerde

Bir araştırma, “en tehlikeli” alan adlarının Hong Kong'da olduğunu ortaya koydu.

Dünyanın önde gelen güvenlik firmalarından McAfee tarafından yapılan araştırmaya göre, internette “surf” yapmak isteyenler için Hong Kong'a ait “.hk” ile biten siteler dünyanın “en tehlikelisi” olarak belirlendi.

Araştırmaya göre “.hk” ile biten tüm sitelerin yüzde 19,15'i “kullanıcılar için risk faktörü” taşıyor. Çin'e ait “.cn” ile biten sitelerin ise yüzde 11,76'sı kullanıcıların kişisel bilgilerine ya da bilgisayarlarına zarar verebilecek nitelikte. Çin'i yüzde 7,72 ile Filipinler takip ediyor.

Finlandiya'nın “.fi” ile biten siteleri yüzde 0,05 ile “en güvenli” alan olurken onu yüzde 0,13 oran ile “.jp” ile biten Japonya'ya ait siteler takip ediyor. Japonya'nın ardından 0,15 oranla Norveç geliyor.

Türkiye Kaynaklı Siteler

Araştırmaya göre Türkiye, yüzde 0,80 oranla 40. sırada yer alıyor. Bir başka anlatımla “.tr” uzantılı her bin siteden 8'i “kullanıcılar için risk” taşıyor.Türkiye, McAfee'nin geçtiğimiz yıl yayımladığı raporda 0,54 oran ile 50. sırada yer alıyordu. Rapora göre, kullanıcı ve bilgisayarlar için “zararlı” içeriğe sahip site sayısı yaklaşık iki kat artış gösterdi.

McAfee, geliştirdiği “SiteAdvisor” teknolojisi ile 265 ülkeden çeşitli uzantılara sahip yaklaşık 10 milyon adet yoğun trafiğe sahip siteyi inceliyor. Bu inceleme sonucunda siteler; “adware”, “spyware”, “virüs”, “spam”, “pop-up” (otomatik açılan sayfalar), tarayıcı hatalarını kullanma ya da diğer tehlikeli sitelere yönlendirme gibi zararlı içeriklerin kullanımına göre derecelendiriliyor.

McAfee'nin araştırmasına göre geçtiğimiz yıl cep telefonu melodisi, ekran koruyucu gibi ücretsiz yazılım veren sitelerin büyük bölümünde, yazılımların içerisine gizlenmiş çeşitli “truva atları” (trojan) ve virüsler tespit edildi.

bilgi, bilgisayar, güvenlik, kullanıcı, rapor, sayı, siteler, tehlikeli, zararlı, web, mcafee, site advisor

Yazının devamı..

Üst Yönetimlerin Bilgi Güvenliğine Bakışı

Üst Yönetimin Bilgi Güvenliğine İlgisi Nasıl Sağlanır?

Yazar: Hayrettin Bahşi
14.05.2008

Bilgi güvenliği ile ilgilenen uzmanların en büyük problemlerinden birisi üst yönetimin bilgi güvenliğini yeterince anlamaması, bilgi güvenliği ile ilgili çalışmaları yeterince desteklememesi ve bu konuda gerektiğinde insiyatif almamasıdır. Özellikle bilgi güvenliği yönetim sistemi (BGYS) kurmak ile görevli uzmanlar bilirler ki üst yönetim desteği bu sistemin başarıya ulaşmasını sağlayacak olmazsa olmaz faktörlerinden birisidir. Bilgi güvenliği, etkin bir BGYS’nin işlemesi ile sağlanabilir.

Etkin bir bilgi güvenliği yönetim sisteminde (BGYS) bilgi güvenliği ile ilgili politikalar oluşturulur, herkesin yaptığı göreve göre rol ve sorumlulukları belirlenir ve yazılı bilgi güvenliği süreçleri oluşturulur. Herkesin, politikalara uyması, rol ve sorumluluklarını yerine getirmesi ve süreçlerin gerektirdiklerini yapması beklenmektedir. Tüm bu faaliyetlerin yapılmasına karar verecek üst yönetimdir çünkü bu çalışmaların hepsi kuruma belirli bir iş gücü ve maliyet getirecektir. Söz konusu iş gücünü ve maliyeti karşılama kararı üst yönetimindir. Ayrıca BGYS’nin süreçlerini başlatma ve bu süreçleri izleme görevi üst yönetimindir. Örneğin politikaları onaylama, kurum personelinin bu politikalara uymasını sağlama ve politikalara uymayanlara yaptırım uygulama üst yönetimin görevlerindendir.

Üst yönetim, bilgi sistemlerini iş hedeflerine ulaşmada etkin bir araç olarak kabul eder. Dolayısıyla, bilgi sistemlerinin hedeflediği iş fonksiyonlarını en iyi şekilde yerine getirmesini bekler. Bilgi güvenliği ise çoğunlukla üst yönetimin öncelikleri arasında yer almaz çünkü güvenlik doğrudan iş hedeflerine katkıda bulunan bir unsur değildir. Kurumun başına iş hedeflerini önemli derecede aksatmaya neden olan bir güvenlik olayı gelmedikçe de üst yönetim çoğunlukla bilgi güvenliğine yeteri kadar önem vermez. Bazı yöneticiler özellikle BGYS kurulması ile ilgilenirler ama çoğunlukla da söz konusu ilginin kaynağı bu alanda kurumun bir sertifikaya sahip olması ve bu yolla kurum prestijinin artmasıdır. Elbette bu düşünceye sahip olan kişiler, bilgi güvenliğine hiç önem vermeyen yöneticilere göre daha iyi bir konumda sayılabilirler ama sertifikasyon motivasyonu BGYS kurma işini başarmaya yetmez. Bu amaçla yola çıkanların büyük bir kısmı aslında yapılması gereken çok şeyin olduğuna farkına vardıklarında sertifikasyon fikrinden de vazgeçebilmektedirler. Ayrıca kurulan sistemin devam ettirilmesi bu düşünce yapısı ile de çok mümkün değildir.

Bilgi güvenliği uzmanları ya da iş tanımında bilgi güvenliği ile ilgili sorumluluklar bulunan kurum personeli ise çoğunlukla haklı olarak üst yönetimin bilgi güvenliğine gereken önemi vermediklerinden yakınırlar. Ama bu kişilere düşen en önemli görevlerden birisi üst yönetimi bilgi güvenliği konusunda bilinçlendirmenin en etkili yolunu bulup bu yolu uygulamaktır. İşe de empati yaparak üst yönetimi anlamaya çalışmakla başlamalıdırlar. Özellikle ülkemizde bilgi güvenliğinin geçmişi 8-10 seneden öteye gitmez. Böyle bir bilgi güvenliği konseptinden uzak bir ortamda yetişmiş üst yöneticilerin elbette bırakın bilgi güvenliği konusunda insiyatif almaları, bilgi güvenliği konusunda sağlıklı bilgiye sahip olması bile beklenemez. Dolayısıyla bilgi güvenliği uzmanlarının ilk hedefi yöneticilerin anlayacağı ve etkilenebileceği yöntemler kullanarak bilinçlendirilmeleri olmalıdır. İkinci hedef ise yöneticilerin bilgi güvenliği konusunda insiyatif almalarını sağlama olarak belirlenmelidir.

Yöneticilerin bilinçlendirilmesine bilgi güvenliğinin temel hedefleri olan gizlilik, bütünlük ve süreklilik kavramlarını anlatarak ve bu hedeflerle ilgili gerçek hayattan örnekler vererek başlanabilir. Özellikle bu hedeflerden süreklilik üzerinde çok durulmalıdır çünkü çoğu kimse gibi yöneticiler de güvenliği bir yasaklar manzumesi olarak görebilmektedirler. Oysa, güvenliğin onların da çoğu zaman göz önünde bulundurduğu ve bilgi sistemlerinin sağlamasını şiddetle talep ettiği ‘süreklilik’ gibi önemli bir hedefi vardır. Yöneticiler ise bilgi güvenliğinin bu hedefi de sağlamaya çalıştığının farkında değildirler.

Yöneticilere özellikle karşılaşılabilecek bilgi güvenliği tehditleri teknik detaya girmeden anlatılmalıdır. İç ve dış tehdit kavramları yöneticilerde oluşturulmalı, iç tehdidin aslında tahmin edilenden çok fazla olduğu ifade edilmelidir. Bilgi güvenliğinin sadece kasıtlı davranışlardan oluşan tehditlere odaklanmadığını aslında bilinçsizlik veya ihmalkarlık sonucunda oluşan ve kasıtsız olarak gerçekleşen tehditleri de ele aldığı açıklanmalıdır. Literatürde bu konularla ilgili yapılan araştırmalardan çarpıcı sonuçlar bizzat söz konusu çalışmalar referans verilerek yöneticilere aktarılmalıdır. Eğer kurum bizzat bir güvenlik problemi yaşadıysa bu problem ve problemin kuruma olan etkileri anlatılmalıdır. Ayrıca başka kurumların yaşadıkları özellikle basına yansımış güvenlik olayları ve bu olayların sonuçlarından örnekler verilmelidir. Bu olayların hangi kurumların başına geldiğinin açıkça ifade edilmesi ve varsa konu ile ilgili haber veya yorumların yöneticilere bizzat gösterilmesi çok yararlı olacaktır.

İnsan psikolojisinde kaybetme korkusu, kazanma ihtimalinden daha kuvvetli bir motivasyon kaynağıdır (1). Bilgi güvenliği aslında kişilerde kaybetme korkusunun tetiklenebileceği önemli bir alandır. Eğer yöneticilere bilgi sistemlerinde bir güvenlik olayı olduğunda neler kaybedebilecekleri anlatılırsa, bilgi sistemlerini daha çok kar amaçlı kullanılan bir araç olarak düşünen yöneticiler bilgi güvenliği konusunda daha rahat ikna edilebilirler. Kurumda gerçekten önemli ve etkili bir güvenlik olayı olmuşsa yöneticileri ikna etme olasılığı gerçekten fazladır. Eğer böyle bir olay olmamışsa başkalarının yaşadığı olaylardan yola çıkarak kurumun neler kaybedebileceğini yöneticilere hayal ettirmek ve onların kaybetme korkusunu tetiklemek çok yararlı olacaktır. Bu konuda, bir güvenlik olayının veya saldırısının demosunu bizzat göstermek de çok etkili bir yöntem olabilir.

Bilgi güvenliği ile ilgili olası problemler ifade edilirken kesinlikle paranoyak bir tavır takınılmamalıdır. Yönetici, hiçbir zaman güvenlik açısından en iyi yöntemin bilgisayarların fişinin çekilmesi olduğunu zannetmemelidir. Yönetici, bilgi güvenliğinin erişilemez gerçekleştirilemez bir şey olduğu hissine kapılmamalıdır. Çoğu problemin de aslında belirli bir yönetim sistemi içerisinde kolaylıkla çözülebileceği ifade edilmelidir ki aslında gerçek olan da budur.

Üst yönetimi bilgi güvenliği konusunda bilinçlendirmenin daha etkili yapılması isteniyorsa, bu iş, güvenilir konusunda uzman bir danışman kuruma yaptırılabilir. Danışman kurumların yöneticiler nezdinde çok önemli bir yeri vardır. Bir kurum çalışanı olarak sizin belki bir çok kez ifade ettiğiniz düşüncelerin aynısını danışman kurumdan bir kişi ifade ettiğinde yöneticiler söz konusu düşüncelere çok daha fazla değer verirler. Bilinçlendirme ile ilgili aktiviteler, yöneticinin hiyerarşik olarak altındaki bir kişi tarafından yapıldığında yöneticiler bu duruma sessiz bir tepki göstererek ifade edilen düşünceleri önemsemeyebilirler. Oysa danışman statüsündeki bir kişi yöneticinin ait olduğu hiyerarşi dışında bir kişidir ve onun tarafından ifade edilen düşüncelere karşı yönetici çok açıktır.

Yöneticilerin bilinçlendirilmesi sırasında sadece bilgi güvenliği ile ilgili problemlere değinilmemelidir. Bu problemlerin nasıl çözüleceği ile ilgili bir yol haritası da ortaya konmalıdır. İlk olarak bilgi güvenliğini sağlamanın günümüzde bir risk yönetimi tabanına oturduğu anlatılmalıdır. Bu metodla risklerin ortaya konduğu ve derecelendirildiği, çıkan risklere göre de tedbirlerin alındığı ifade edilmelidir. Böylelikle asıl amacın güvenlik ile kullanılabilirlik arasında bir denge kurulması olduğu anlatılmalıdır. Risklerin azaltılması veya ortadan kaldırılması ile ilgili tedbirlere karar verilirken söz konusu tedbirlerin maliyetinin de hesaba katıldığı açıkça izah edilmelidir. Hatta astarı yüzünden pahalı tedbirler almaktansa bazen riskin tamamen kabul edilebileceği belirtilmelidir. Tüm bu açıklamalar, amacın güvenliği sağlamak için bir çok kural ve mekanizma oluşturarak çalışma hayatını cehenneme çevirmek değil asıl amacın gerektiği kadar kural ve mekanizma oluşturmak ile bunları uygulamak olduğu gerçeğini yöneticilere iletmeye yardımcı olacaktır.

Kurumda oluşturulması gereken bilgi güvenliği süreçleri hakkında yöneticiler kısaca bilgilendirilmelidir. Bilgi güvenliği süreçlerinde hedefin daima daha iyiye gitmek olduğu belirtilmelidir. ‘Daha iyiye gitmek’ düşüncesi yöneticileri en çok etkileyen düşüncelerden birisi olduğu unutulmamalıdır. Yöneticilerin en çok sevdiği diğer bir şeyin yapılacak işlerin önceliklerinin belirlenmesi, bu işlerin bir zaman planlamasının yapılması ve bu zaman içerisinde gereken iş gücü ve karşılanması gereken maliyetin belirlenmesi olduğu unutulmamalıdır. Bu çalışmanın yapılması ile bilgi güvenliği uzmanları bu işe ne kadar hazır olduklarını ispat etme fırsatı bulurlar.

Kurumda kısa vadede etkisini geniş çapta gösterebilecek önemli bilgi güvenliği çalışmalarının yapılması, yöneticilerin bilgi güvenliği çalışmalarına verecekleri desteği artıracaktır. Kurum kullanıcılarının bilgi güvenliği eğitimleri ile bilinçlendirilmesi ilk yapılacak faaliyetlerden olmalıdır. Çünkü, bu çalışma bilgi güvenliğini sağlamada kısa vadede çok etkilidir ve bu çalışmanın etkisini yöneticiler hemen gözlemleyecektir. Örneğin sekreterinin eğitimlerden sonra parolalarını değiştirmesini ve artık parola paylaşmaya yanaşmamasını gözlemlemek yönetici açısından etkileyici olacaktır.

Sonuç olarak, bilgi güvenliği uzmanları etkili bir strateji izleyerek üst yönetimlerini bilgi güvenliği çalışmalarının içerisine çekebilirler. Uzmanlar, yöneticilerin bilgi güvenliğinden anlamamaları konusunda yakınmak yerine, onları ikna etmenin yollarını aramalıdırlar.

[1] Science of Influence, Kevin Hogan

keywords: bilgi güvenliği, yönetim sistemi, bgys, üst yönetim, yönetici, güvenlik, politika, süreç, sertifika, gizlilik, bütünlük, süreklilik, kurum

Yazının devamı..

Windows Sunucularda Güvenlik ve Performans

Windows Sunucularda (Server) Temel Performans ve Güvenlik Ayarları

1- Sunucu işletim sisteminin şifre güvenliği sağlanmalıdır. Bunun için şifrelerde karmaşıklık gereksinimleri sağlanarak en az 15 karakterli şifreler kullanılmalı, varsayılan yönetici adı (administrator) değiştirilmelidir. Bir sunucuda mümkün olduğu kadar az sayıda kullanıcı hesabı bulunmalı, gereksiz hesap açılmamalıdır.

2- İşletim sistemi güvenlik açıklarına karşı sürekli güncel tutulmalıdır. Kritik sistemler için yeni güncellemeler uygulanmadan önce test edilmeli, ilgili yamaların (patch) açıklamaları okunmalıdır.

3- Sunucuda depolanan veya yayınlanan veriler, işletim sisteminin çalıştığı disk bölümünden (varsayılan C:) farklı bir disk bölümünde tutulmalı ve bu disk bölümünün sürücü harfi tahmin edilemeyecek şekilde seçilmelidir. (ör: klasik olarak D: yapılmamalı, farklı sürücü harfleri seçilmeli)

4- İşletim sisteminde gerekli servis ve hizmetler dışında başka bir servis çalıştırılmamalı ve gerekmedikçe program kurulmamalıdır.

5- Gereksiz portlar kapatılmalı, güvenlik duvarı kullanılmalıdır. Güvenlik Duvarı (firewall) sunucu performansını çok düşürüyorsa bu sunucu, güvenlik duvarı olan başka bir sistemin arkasında bulunmalıdır.

6- Sunucu bilgisayar varsayılan olarak CD, disket veya flash disk gibi harici kaynaklardan başlatılamamalı, BIOS ayarlarının girişi şifreyle korunmalıdır.

7- Sistemin işlev ve önemine göre belli periyotlarla yedeği (backup) alınmalı, gerektiğinde yedekten dönülebilir olmalıdır.

8- Sistemde belli aralıklarla disk birleştirmesi (defragment) ve disk temizlemesi yapılmalı, disklerin doluluğu, Ram ve İşlemci kullanımı ve bunlara ilişkin kullanım parametreleri kontrol edilmelidir.

9- Olay Günlükleri (event logs) kontrol edilmeli, varsa hatalar giderilmelidir. Güvenlik kayıtlarından yetkili yetkisiz erişim girişimlerinin denetlemesi yapılmalıdır.

10- Sunucuda etki alanı (domain) veya yerel (local) güvenlik ilkeleri (security policy) uygulanarak güvenlik seviyesi arttırılmalıdır.

11- Bir sunucu gerekmedikçe etki alanına dahil edilmemelidir.

12- Bir sunucuya yetkisiz yollardan erişim sağlanması durumunda, bu sunucu üzerinden diğer sistemlere geçişi engellemek için mümkün olduğu kadar sunucunun başka kaynaklara erişim izinleri ve yetkileri sınırlandırılmalıdır.

13- Sunucu üzerinden dosya paylaşımı yapılıyorsa mutlaka antivirüs yazılımı kullanılmalı, her zaman antivirüs yazılımının virüs veritabanı güncel tutulmalıdır.

14- Sunucu güvenlik ve performans kriterleri değerlendirilerek optimum seviyenin tesbit edilmesi ve buna göre en yüksek güvenlik önlemlerinin alınmasına dikkat edilmelidir. Güvenlik açısından kritik olmayan sunucularda, güvenlik tamamen gözardı edilmeden performansa daha çok önem verilebilir.

15- Kurulum aşamasında donanımda birden fazla harddisk bulunması durumunda sistemin güvenlik ve performans kriterlerine uygun Raid seçeneği yapılandırılmalıdır. Örneğin hata toleransı için Raid1 (mirror, en az 2 disk gerekli) veya Raid5 (en az 3 disk gerekli), yüksek performans için Raid0 (striped, en az 2 disk gerekli) seçilebilir.

Serdar Kocaoğlu
MCSE:S
11.04.2008

İlgili Yazılar:
Windows Bilgisayar Nasıl Hızlandırılır?
Microsoft'un Windows Vista Fiyaskosu

windows, server, sunucu, bilgisayar, işletim sistemi, güvenlik, performansı, güvenliği, şifre, raid, backup, yedekleme, politika, disk, kurulum, kullanıcı, administrator, antivirüs, domain, etki alanı, defragment, patch, yama, cd, bios, event, log, security, policy, olay günlükleri, paylaşım, mirror, striped, disk, hata toleransı, raid0, raid1, raid5, ayarlar, nasıl, nedir

Yazının devamı..