Firmanızdaki Savaş Tehditlerine Karşı Herkesin Rehberi
Transkript
Firmanızdaki Savaş Tehditlerine Karşı Herkesin Rehberi
E - Rehber Firmanızdaki Savaş Tehditlerine Karşı Herkesin Rehberi Bilgi güvenliği sahasında işe alım yapan bir yönetici olarak, evrimleşen tehditler doğrultusunda firmanızın değişen ihtiyaçlarını gözlemlemeniz çok önemlidir. Doğru seviyede deneyimi olan, kalifiye uzmanlarınızın olması, departmanınızı uygun kaynaklarla bütünleştirerek, sinerji açısından daha güçlü bir takım oluşturmanızı sağlar. Bu uzman eRehber’de vurgulanan: Hareketli Hedef – Mobil bilişim sadece bir trendden fazlasıdır ve mobil güvenliği sadece bir strateji olmaktan fazlası yapmıştır. Bilgi Savaşı – abartılı histeri ya da ciddi bir tehdit durumunda bilgi savaşıdır. Siber güvenlik uzmanları iki kelimelik bir öneri sunar: Hazır olun. Takım Zekasını Devreye Sokmak – Takım bilinci, istikrarı ve performansının nasıl artırılacağı. 1 E - Rehber Firmanızdaki Savaş Tehditlerine Karşı Herkesin Rehberi İçindekiler: Hareketli Hedef Bilgi Savaşı Takım Zekasını Devreye Sokmak 2 Mobil bilişim sadece bir trendden fazlasıdır ve mobil güvenliği sadece bir strateji olmaktan fazlasına dönüştürmüştür. John Soat Hareketli Hedef Suçu Apple’a Atın. Ürünlerin araştırma, zeka ve sertifika testleri ile uğraşan ICSA Labs’ın uzman danışma analisti Al Potter “C-Seviye görevlilerin pazarda *Mobil Güvenlik+ konusunda düşünme şekillerini değiştiren faktör iPhone’dur.” demektedir. iPhone’un internete erişim ve uygulama yükleyebilme özelliği kullanıcıların kablosuz aygıtlar hakkındaki beklentilerini artırdı. Aynı zamanda bilgi güvenliği uzmanlarının işini karıştırdı ve taşınabilir aygıtların ne kadar savunmasız olabileceği konusundaki bilinci artırdı. Bu aygıtlar küçüldükçe, daha güçlü ve daha kolay bulunabilir bilgi güvenlik stratejilerine uyum sağlamak gerekti. Uzun vadede, taşınabilirlik gereklilikleri güvenlik uzmanlarını bilgi güvenliği ile ilgili oryantasyonlara tekrar odaklanmaya zorlayabilir. Baştan Başlayın Mobil bilişim dizüstü bilgisayarlarla başladığında, taşınabilir güvenlik de başlamış oldu. Workstation ve PC’lerin korunmasında kullanılan teknikler – kimlik doğrulama, güçlü şifre koruması, şirket güvenlik duvarları – diz üstü bilgisayarlar için de kullanılabilir olmalıydı. Antispam, anti-virüs ve anti-spyware uygulamalarını kapsayan çok gelişmiş bir güvenlik yazılımı geliştirilmeliydi. Yama yönetimi ve agresif Web görüntüleme gibi şirket güvenlik prosedürlerini güçlendirmek ve kullanıcıların alışması için düzenli bilinçlendirme eğitimi ile birlikte yazılı bir güvenlik planı oluşturulması gerekti. Dizüstü bilgisayarlar taşınabilir olduğu için şirket ağı dışında da çalışabilirler. Ağa bağlı değilken kullanıcıların şirket kaynaklarına erişimleri sanal özel ağlar üzerinden olmalı ve bütün veri şifrelenmiş olmalıydı. Aynı zamanda başında kimse olmadığında da (şirket güvenlik planında vurgulanması gereken bir durum) dizüstü bilgisayarların korunması gerekmekteydi. Ne yazık ki gizli şirket verisi içeren dizüstü bilgisayarlar otomobillerde ya da havaalanlarında unutulmaya devam etmektedir. İşte bu yüzden şirket dizüstü bilgisayarların üzerindeki sabit sürücüleri şifreleme büyüyen bir trend haline gelmiştir ki bunu donanım firmaları sonradan eklenen bir özellik olarak sunmaktadır. Bunun yanında şifreleme artık işletim sistemleri ile birleşmiştir. (Mac Os’daki FileVault ve Windows’daki Bitlocker gibi) 3 4 Güvenlik yazılımı bayileri dizüstü bilgisayarlardaki anti-virüs uygulamalarını otomatik olarak güncelleyen sunucu tabanlı yönetim konsolları sunmakta, şifreleme sağlamakta, e-posta ve web trafiğini görüntülemekte, veriyi yedekleyip geri getirmekte ve kimliği doğrulanmayan kullanıcıları kilitleyip daha sonra onlara ait verileri sabit sürücülerden uzaktan silebilmektedir. Risk ve Ödülü Dengeleme Kablosuz aygıtların yaygınlaşmasıyla birlikte mobil bilişim dizüstü bilgisayarların fazlası olmaya başladı. CISSP, BT hizmetleri bayisi Unisys’de amir güvenlik mimarı Christopher Hoff “Riski dengelerken, bu platformların düşük maliyetli, çevik ve esnek olduğu döneme yaklaşmaya çalışıyoruz.” demektedir. Cep telefonlarını hedef alan virüsler ve trojanlar olduğu bilinse de şu ana kadar geniş çaplı bir bulaşma olmamıştır. Fakat bu olamayacağı ya da olmayacağı anlamına gelmez. Georgia Tech Bilgi Güvenliği Merkezi 2009 Yeni Siber Tehditler Raporu’nda bu yıl taşınabilir telefonlara yönelik kötü amaçlı yazılım ve bunlara atanan bot sayısında artış öngörmektedir. Georgia Tech Bilgisayar Bilimleri Bölümü’nde doçent olan Patrick Traynor raporunda “Kötü yazılım, cep telefonuna yüklenerek onun bot’a dönüşmesi sağlanabilir; daha sonra büyük hücresel bot ağları, hücre ağının çekirdeğine *servis dışı bırakma+ saldırıları yapmak için kullanılabilir.” diye yazmıştır. Hücresel veri endişeleri Dünya’nın değişik bölgelerinde farklıdır. ICSA’dan Potter, “Bir telefondan daha fazla olan telefon, Birleşik Devletler’e göre, Asya-Pasifik ve Avrupa’da daha yaygındır.” demektedir. “Tehdit Amerika’ya oranla orada daha fazla yayılmıştır.” Örneğin Japonya’da cep telefonu dolandırıcılığı büyüyen bir sorundur. Bunun nedeni ülkenin geniş bir kısmına yayılmış taşınabilir telefonlar üzerinden bankacılık alışkanlığıdır. “Bir telefondan daha fazla olan telefon, Birleşik Devletler’e göre, Asya-Pasifik ve Avrupa’da daha yaygındır. Tehdit Amerika’ya oranla orada daha fazla yayılmıştır.” E-posta ve artan veri erişimi gibi şirket uygulamaları PDA ve Smartphone’larla yakinen ilişkilendirilmiştir. Ne yazık ki, şirket seviyesindeki güvenlik önlemleri kablosuz aygıtlar için problem olabilir. Research in Motion (RIM) küresel güvenlik başkan yardımcısı ve BlackBerry’nin yaratıcısı Scott Totzke “Kablosuz ortamda başarılı olabilmenin yolu kısıtlı kaynakları dengelemektir.” demektedir. Mobil aygıtlar küçük ve şirketler için limitli olmalarına rağmen işlem güçleri, iletişim yetileri ve depolama kapasiteleri giderek artmaktadır. Totzke özellikle, pil teknolojisinin Moore Kanunu hızında evrimleşmediğinin altını çizmektedir. Bu yüzden anti-virüs uygulamaları ve kişisel güvenlik duvarları kendi bünyelerinde problemler barındırabilirler: Pil ömrünü azaltan kaynaklar kullanırlar. Yeni Siber Tehditler Raporu’nda Traynor, cep telefonu ortamında“birincil güvenlik engeli olarak pil gücü”nün altını çizmiştir. Fakat Blackjacking: Firmada Blackberry Aygıtlarını, PDA ve Cep Telefonlarını Hedefleyen Güvenlik Tehditleri kitabının yazarı, aynı zamanda Smobile Systems’de uzman teknoloji direktörü Daniel Hoffman bu görüşe katılmamaktadır. Smobile Systems mobil aygıtlar için güvenlik yazılımları geliştiren bir firmadır. Hoffman, anti-malware yazılımlarının 5 cep telefonlarındaki etkisi için “Eğer uygun bir çözümünüz varsa göz ardı edilebilir.” demektedir. Bugün dışarıda özel olarak kablosuz aygıtlar için geliştirilmiş güvenlik sistemleri vardır. Bunlar, içlerinde anti-virüs, anti-spam ve güvenlik duvarı korumaları gibi kapsamlı uygulamalar bulundurmanın yanı sıra bu aygıtları uzaktan kontrol ederek uzaktan kitleme ve veri silme gibi seçenekler sunmaktadır. İşte burası Blackberry’nin PDA ve Smartphone’lara göre avantajlı olduğu yerdir. Birincisi, RIM Blackberry’i en temelden tasarlamış ve yapmıştır. Totzke “Biz kendi radyo kodumuzu yazdık, kendimize ait işletim sistemimiz, kendimize ait Java’mız var” demektedir. İkincisi, şifreleme gibi güvenlik özellikleri aygıtın içinde fiziksel bağlantı ile bağlıdır. Üçüncüsü, RIM, Blackberry Firma Sunucusu’na sahiptir ki bu sunucu daha önce bahsi geçen güvenlik ölçeklerinin birçoğunu sağlamanın yanı sıra özel olarak Blackberry için uzaktan kumanda ve yönetim imkanı da sağlamaktadır. Sorunlu Bölgeler Smartphone ve cep telefonları ile ilişkilendirilen güvenlik sorunları dizüstü bilgisayarlarla benzer gözükse de bunların kendine has varyasyonları bulunmaktadır. Örneğin cep telefonlarını çalmak daha kolaydır. Hoffman’a göre dünya çapında seyahat eden kişilerin akıllarında tutması gereken başka bir olay ise bu kişilerin kablosuz aygıtlarını üniformalı görevlilere ya da başka yabancılara vermeleri durumunda kendilerini riske atmış olmalarıdır. Hoffman “Bir dakikadan az bir süre içinde, bütün iletişim bilgileri ve büyük miktarda veriyi alabilirim” demektedir. Hoffman kendini etik bir bilgisayar korsanı olarak tanımladığını bilmelidir. Hem dizüstü bilgisayar hem de mobil aygıt kullanıcıları internette gezinirken sınırlara ihtiyaç duyarlar. Kablosuz aygıtlarda ise şekil faktörünün kendisi sorun oluşturmaktadır. Kullanıcılar küçük ekran nedeniyle uygunsuz web sitelerini tanımlamakta daha çok zorlanırlar. “Bizim stratejimiz oluştuğu her şekil itibariyle verinin güvende olduğundan emin olmaktır. Odağımız sunucunun kendisini korumanın aksine veriyi korumaktır.” - PATRICK HANRION, MICROSOFT Aynı şekilde izlenecek e-postalar, takip edilecek metin mesajlarının hepsi dışarıdan fikri hak kaybına karşı, içerden ise rahatsızlık ve diğer insan kaynakları sorunlarına karşı korunmalıdır. Diğer sorunlu bölge ise aksesuarlardır. Kablosuz aygıtların çoğu üzerinde kamera barındırdıklarından işletmeler giderek firma alanlarında bunların kullanımını yasaklamaktadır. Sybase Uzman Ürün Yöneticisi James Naftel, “Fotoğraf çeken insanlarla birçok sorun yaşıyoruz” demektedir. USB depolama aygıtları çok miktarda veri taşıyabilirler ve takip edilmeleri zordur. Smartphone’lar ve cep telefonları için kullanılan microSD gibi depolama aygıtları ise bunlardan daha küçüktür ve kontrol edilmesi daha zordur. Her ne kadar firmalar istese de, çok azı bu tip tüketici teknolojilerinin kullanımına yasak getirebilmektedir. 6 Prensip Sorunları Kablosuz aygıtlar için güvenlik prensipleri dizüstü bilgisayarlara benzer, firma güvenlik standartlarına uygun olmalıdır. Şirketler, özellikle şirket ağıyla bağlanmaya çalışan kullanıcılar için halka açık Wi-Fi ağlarına erişim yasağı getirmelidir. Eğer mümkünse mobil aygıt kullanıcıları şirket ağına VPN’ler üzerinden bağlanmalıdır. Şifre koruması zorunludur. Cep telefonlarına şifre erişimi, hem unutulan şifrelerle ilgili isteklere maruz kalan BT destek personeli hem de kullanıcılar için çok zor olabilir. Fakat yine de buna değerdir. Şifreleme de aynı derecede önemlidir; çünkü mobil çalışanları hassas firma verisine erişip onu depolama imkanına sahiptirler. Şifreleme koruması özellikle bu teknolojilere yasak getirmek için uğraşan büyük şirketlerde kablosuz depolama aygıtlarını da kapsayacak şekilde düzenlenmelidir. Tüm Smartphone’lar ve cep telefonlarının BT üzerinden geçtiğine emin olunmalıdır. Kablosuz aygıtları yönetimin izlemesi ve kontrol etmesi bir yana, bireysel çalışanlar tarafından satın alınan bu aygıtların kontrol edilmesi ayrı bir sorundur. İçerik filtreleme, yedekleme, verinin iyileştirilmesi, uzaktan kilitleme, silme ve kameralar gibi bazı özellikleri kapatma konularında uzaktan kontrol edilen bir yöntem uygulanması çok önemlidir. Son olarak eğitim, dizüstü bilgisayarlarda olduğu gibi, -belki de daha fazla- kablosuz aygıt güvenliğinin de önemli bir öğesidir. Kullanıcıların mobil bilgisayarlarla ilgili risklerden haberdar edilmeleri gerekmektedir. Şu anki durumda çoğu değildir. Apple bu kuralı kanıtlayan bir istisnadır. IPhone’un orijinal yapısı güvenlik açısından şirket çevrelerince kötü bir itibara sahiptir. Fakat IPhone artan sofistike hesaplama yetisi sayesinde var olmaya ve tüketicinin ilgisini çekmeye devam etmektedir. Firma, kullanıcıların şikayetleri üzerine geçen senenin iPhone 3G’si, Microsoft’un ActiveSync sunucusu içindeki takılma da dahil olmak üzere aygıtın bazı güvenlik sınırlamalarını belirtti. Fakat Unisys’ten Hoff, iPhone’un halen bazı firmaların kesinlikle ihtiyaç duyduğu bütün aygıt şifrelemesi ve merkezi güvenlik yönetimi araçları gibi özelliklerle ilgili yetersiz kaldığını ifade etmektedir. Bu yüzden iPhone birçok işletmede –Hoff’unki de dahil olmak üzere- halen deneme aşamasındadır. Tekrar Odaklanma ve Tekrar Yönlendirme Şirket bilişimi ile ilgili güvenlik mücadelelerinin belirlenmesine yardım eden trendler vardır. Örneğin sanallaştırma teknolojisi masaüstü bilgisayarlara giden yolu bulmaktadır. Sanallaştırma, işlemlerin çoğunu ve bütün veri deposunu bir merkez sunucuya taşıyarak mobil bilişimin en hassas elemanı olan “son aygıt” ile ilgili tehditlerin en aza indirgenmesine yardım etmektedir. Buna benzer olarak veri deposu ve işletimin; merkez, uzak, güvenli bir konumda bağlandığı bulut bilişimi (cloud computing) mobil güvenliğin birçok elemanının otomatikleşmesine ve güçlendirilmesine yardımcı olacaktır. Bazı güvenlik uzmanları artan mobil bilişim aygıtlarının kullanılmasının bilgi güvenliği stratejileri ile ilgili tekrar düşünmek gerektiğini gösterdiğini söylemektedirler. Microsoft CSSP ve BT güvenliği baş mimarı Patrick Hanrion, “eğer ilk aşamanın odağı çeperi korumak, ikinci aşama sunucuyu güvenceye almak ve üçüncüsü her nerede ve hangi şekilde olursa olsun 7 veriyi korumaksa; bizim stratejimiz oluştuğu her şekil itibariyle verinin güvende olduğundan emin olmaktır.” demektedir. Odak, sunucuyu korumanın aksine veriyi korumaktır. Bu, bilgi güvenliği uzmanları için biraz farklı bir oryantasyon gerektirebilir. ICSA’dan Potter “Aygıt, yanında verinin aktığı bir vektördür” demektedir. “Esas sorun veriyi sınıflandırmaktır. Verinizin ne olduğu, nerede olması gerektiği ve o anda nerede bulunduğunu anlamanız gerekmektedir.” Bu perspektiften bakıldığında, mobil aygıtlar basitçe bilişimin sonu anlamına gelmektedirler ve BT yapısı içindeki her eleman kadar önemlidirler. Bu da güvenlik uzmanları ve son kullanıcılara aygıtların yapımı sırasında firmanın emniyet ve güvenliğini gözetmek gibi ek sorumluluklar getirmektedir. Suçu Apple’a atın. John Soat Ohio’lu bağımsız iş ve teknoloji yazarı gazetecidir. 8 Bilginin Zihinle İşlenmesi (ISC)2 studISCope Özdeğerlendirme studISCope resmi (ISC)2® çevrimiçi özdeğerlendirme aracıdır. Bu araç sizin SSCP® ya da CISSP® CBK® hakkındaki bilginizi ölçer. Cevaplarınızı analiz ederek size kişiselleştirilmiş bir çalışma planı sunar. Bunu yaparken sertifika sınavında iyi performans göstereceğiniz ya da biraz daha fazla çalışmaya ihtiyaç duyabileceğiniz yerlerin altını çizer. Görece küçük bir yatırım için nerede durmanız gerektiğini ve bununla ilgili ne yapmanız gerektiğini kesin olarak bileceksiniz! Sertifikasyon kazanmada planlama? Bugün www.isc2.org/studiscope sitesini ziyaret edin. 9 Bilgi Savaşı John Soat bilgi savaşının ciddi bir tehdit ya da fazla abartılmış bir histeri olup olmadığını araştırmaktadır. Siber güvenlik uzmanlarının tavsiyesi iki kelimedir: Hazırlıklı olun. Geçtiğimiz ağustostaki gazete başlıkları tüyler ürpertici derecede tanıdıktı. Soğuk savaş kayısının buz gibi patlaması: “Rusya Gürcistan’ı işgal ediyor.” Fakat Rusya’nın politikası dejavu gibi gözükse de çatışma, savaşın yeni ve rahatsızlık verici yapısını gittikçe daha fazla çevrimiçi ve bağlaşımlı hale gelen Dünya’dan genişçe inceleme olanağı sundu: Bilgi Savaşı. Gürcistan’ın siber altyapısı henüz Rusya tankları ülkeye girmeden saldırı altındaydı. Birkaç gün boyunca geniş çaplı servis engelleme saldırıları hükümet web sitelerini kullanılmaz hale getirdi. Bazı gözlemciler çevrimiçi saldırıları küçümseyerek onları “hacktivistler” olarak adlandırdılar. Meraklı amatörler savaşa girmeyi kafalarına koymuşlardı. Rus yetkililer Gürcistan’a karşı servis engelleme saldırılarını doğrudan üstlenmeyi reddetti ve kimse saldırıların nereden geldiğinden ve kimin sorumlu olduğundan emin olamadı. Bununla birlikte Amerikan Hükümeti ve ona bağlı savunma ajansları bilgi savaşını ciddiye almaktadır. Ocak 2008’de hava kuvvetlerinin siber komuta ünitesi gibi, birkaç siber savaş programı oluşturulmuştur. Başkan George W. Bush Kamu Güvenlik Departmanı tarafından yürütülecek yeni bir ajanslar arası siber güvenlik çalışmasını onaylamıştır ve Silikon Vadisi temelli bir girişimci başına geçirilmiştir. Bilgi güvenliği uzmanları bilgi savaşı tehdidini ne kadar ciddiye almalıdır? Siber güvenlik uzmanları “şimdikinden daha fazla” demektedirler. Eğer değil, ne zaman? Bilgi güvenliği uzmanları güvenlik sorunları ormanını inceleme çalışmaları esnasında birkaç önemli ağacı atlıyor olabilirler.(ISC)² 2008 Küresel Bilgi Güvenliği İşgücü Çalışması’nda (ISC)² üyelerinin neredeyse yarısı (yüzde 48) teröristlerden kaynaklanabilecek güvenlik tehditlerinden çok az endişe duyduklarını ya da hiç duymadıklarını söylemişlerdir. Yüzde 38’i ise organize suçlarla ilgili aynı şeyi söylemiştir. Shadowserver Vakfı’nın yaratıcısı ve kurucularından Andre DiMino “Bu gerçekten bir anlambilim sorunudur” demektedir. Bu vakıf kötü amaçlı yazılımları, bot ağı ve elektronik dolandırıcılık aktivitelerini izleyip raporlayan, kendi kendini finanse eden, kar gözetmeyen bir 10 organizasyondur. DiMino bilgi savaşının en önemli elemanlarından biri olan bot ağlarının altını çizmektedir. Bot ağları dünya çapında tehlikeli bilgisayarlardan oluşan ağlardır. Bu bilgisayarlar halihazırda milyonlarcadır ve sayıları gitgide artmaktadır. (bkz. “Bot ağları ile savaşmak” InfoSecurity Professional, Sonbahar 2008). DiMino “Bir bilgisayarı hedefi belirlenmiş bir saldırı için kullanmak benim sözlüğümde siber savaştır” demektedir. Sizin işletmeniz de bilgi savaşının kurbanı olmuş ya da en azından müstakbel kurbanı olabilir. Watchdog Grubu’na göre e-dolandırıcılık saldırıları genellikle terörist organizasyonlara kaynak yaratmak için kullanılmaktadır. Aynı zamanda bazı devletler, patentli işlemler ve telif hakkı ile korunan algoritmalar tarafından temsil edilen, rekabetçi ve teknik avantajlardan yararlanmak için şirketlerin akıllı mülkiyet edinmeleri ile ilgilenmektedirler. Örneğin Çin’deki internet adresleri, geçen sene Pentagon’un sivil ağlarını hedefleyen, reklamı iyi yapılmış saldırı da dahil olmak üzere Amerika’daki ağ ihlalleri ile ilişkilendirilmektedir. Şirketlerin çoğu koordine, derin bir elektronik bombardımanın sıkıntısını çekmese de, bilgi güvenliği uzmanları, zaten aşina oldukları solucan (worm), trojan, spam, e-dolandırıcılık, ağ ihlali ve veri hırsızlığı gibi saldırıların sayısında ve kapsamında devamlı bir artış görmeyi beklemelidirler. Çoğalma Kabiliyetleri Sonuç olarak, güvenlik endişeleri söz konusu olduğunda “kim” sorusu “nasıl” sorusundan daha az önem teşkil etmektedir. Güvenlik danışmanı Winn Schwartau “Bilgi güvenliği uzmanı ağına kimin saldırdığından endişe duyamaz; her şey kabiliyetle alakalıdır ve kabiliyetleri gitgide artmaktadır.” demektedir. Bilgi Savaşının duyurusu ile birlikte: Siber terörizm: Elektronik çağda şahsınıza ait güvenliği sağlamak, Schwartau bu kitabını açıkça bilgi savaşı üzerine yazmıştır. Ona göre bu, üç sınıfa ayrılabilir: Sınıf 1: Kişisel Bilgi Savaşı: Bireyleri hedef alan savaştır. Schwartau “Eskiden buna kimlik hırsızlığı demezdik.” demektedir. Sınıf 2: Şirket Bilgi Savaşı: Ya da “kaba hatlarıyla eskiden endüstriyel casusluk diye adlandırdığımızın eşdeğeri.” Sınıf 3: Hükümet Bilgi Savaşı: Rusya – Gürcistan çatışması bunun bir örneğidir. Başka bir örnek geçen sene Estonya’da gelişen benzer durumdur. Estonya yetkilileri bir Rus savaş anıtını kongre binasının ortasından kaldırmasından bir kaç gün sonra Sovyet uydusunun siber altyapısı servis engelleme saldırılarına maruz kalmıştır. İşletmeler potansiyel saldırıların olabileceği üç sınıftan da haberdar olmalıdırlar. Schwartau “Bilgi güvenliği personeli tüm çevresini anlamak zorundadır” demektedir. Çünkü örneğin, sınıf 1 bilgi savaşı – kimlik hırsızlığı – “sınıf 2 ya da sınıf 3 kaynaklı olabilir, bu da onu daha tehlikeli yapar” diye devam etmektedir. Sofistike e-dolandırıcılık ya da kötü amaçlı yazılım 11 ataklarından korunmak Web kontrolleri ve PC güvenliğinde daha büyük önem teşkil etmektedir. Schwartau “Sınıf 2 bilgi savaşı patent, telif hakkı, işletme anlaşmalarını – ki bu firmaların gerçek değeridir – kapsamaktadır” demektedir. Bu suç dışarıdan ağ ihlalleri aracılığıyla işlenmesinin yanı sıra içerden de işlenebilir. Bu yüzden bilgi güvenliği uzmanlarının insan kaynakları departmanıyla yakinen çalışması önemlidir. Bu şekilde H-1B çalışanları dahil olmak üzere kritik BT pozisyonları için başvuranları daha iyi gözlemleyebilirler. Schwartau, “Güvenliğin her alanı giderek daha önemli hale gelmektedir – insan kaynakları, siber güvenlik ve fiziksel güvenlik – birbiriyle mümkün mertebe uyumlu olmalıdır” demektedir. Kötü niyetli eski bir çalışan “dışımızdakine dönüşen içimizdeki” bir örnektir. Bu senaryoyu belirlemek için Schwartau, “Bir kısım insan kaynakları işlemi tüm varlıkların geri dönüştürülemez feshi şeklinde olmalıdır. Buna belki de özellikle, elektronik varlıklar dahildir.” demektedir. Birleşik Devletler’de Sınıf 3 bilgi savaşları, hükümet ve askeri operasyonların kullandığı telekom ağı ve elektrik şebekesi gibi kritik altyapıların çoğuna sahip oldukları ve buralarda çalıştıkları için giderek daha fazla özel şirket içerecektir. Uzmanlar bu altyapıların ne kadar dayanıklı olduğu ve ne kadar agresif araştırıldığı konularında bölünmüşlerdir. 2002 doğu sahili elektrik kesintisinin SCADA Systems’in incelenmesi yüzünden olduğuna dair spekülasyonlar hala vardır. Spekülasyonlar histeri ile flört ederken alınması gereken ders “Hazırlıklı ol.” olmalıdır. Shadowserver’dan DiMino “Eğer internet üzerinde kritik bir sisteminiz varsa onun yıkılma ihtimali vardır.” demektedir. Dikkate alınması gereken diğer bir eleman küresel arz zinciridir. Bilgi güvenliği danışmanı ve siber güvenlik uzmanı Andrew Colarik, “Bilgi güvenliği uzmanlarının Estonya ve Gürcistan gibi bölgesel bilgi savaşı çatışma olasılığını işlerinin devamlılığı uyarınca göz önünde bulundurmaları gerekmektedir.” demiştir. Bunun anlamı internet erişimini sağlayan zincir ortaklarının kesilmesi durumunda lojistik ve kaynak bakımından hazırda alternatifler bulundurmaktır. Güvenlik Danışmanı ve Siber Savunma Ajansı Firma Araştırma bölümü başkanı aynı zamanda eski Milli Güvenlik Teşkilatı siber güvenlik uzmanı O.Sami Saydjari “Birçok işletme siber savaş tehdidini yeterince ciddiye almıyor.” demekte ve dış kaynak kullanımının altını çizmektedir. Yazılım kodlama ve bakımı çoğu zaman diğer ülkelerde yapıldığından bilgi güvenliği uzmanlarının “kendi şirket altyapılarına bulaşma” ya da “Trojan virüsleriyle geri dönen ve sonradan istifade edilebilecek arka kapıları olan” uygulamalarla ilgili dikkatli olmaları gerekmekte diye devam etmektedir. 12 Bu siyasi açıdan hassas bir durumdur fakat ortadaki risk göz ardı edilmemelidir. Saydjari bu riskle baş edebilmek için “Küresel çevrede yazılım kalitesi teminatı kontrolünün devreye sokulması gerekiyor.” demektedir. Siber Sonuçlar Siber güvenlik uzmanları, “servis engelleme saldırıları ya da tehditleri işletmelere şantaj yapmak için kullanılmaktadır.” demektedirler. Bunlar aynı zamanda suç örgütleri tarafından güç gösterisi amaçlı kullanılmaktadır. Shadowserver’dan DiMino, ağ altyapısının yükleme dengelemesi ve artıklık için incelenmesinin sürekli bir servis engelleme saldırısına dayanabilmek açısından gerekli olduğunu söylemektedir. “Birçok sitenin içeriğinde bu tasarımın olmadığını görüyoruz.” demektedir. CTO ve Birleşik Devletler Siber Sonuçlar Ünitesi için güvenlik teknolojisi araştırma yöneticisi John Bumgarner, “Profesyonel seviyede bilgi güvenliği ile ilgili kişilerin, özellikle kritik altyapı kurumlarında çalışanların, bir krizin üstesinden nasıl gelinebileceği ile ilgili daha fazla eğitime ihtiyaçları vardır.” demektedir. Birleşik Devletler Siber Sonuçlar Ünitesi, kamu güvenlik teşkilatı ve diğer hükümet ajansları tarafından finanse edilen ve kar gözetmeyen bir kurumdur. Bu kurum siber güvenlik konuları ile ilgili hükümetin en üst seviyesinde danışmanlık yapmaktadır. John Bumgarner “Bilgi güvenliği uzmanları genellikle halihazırda olmuş olaylarla cevap verirler.” demektedir. Gürcistan ve Estonya olayları güvenlik uzmanlarının bir saldırı olması durumunda nasıl davranacakları ile ilgili eğitimden yararlanabileceklerini göstermektedir. Bumgarner, bir çok ajansın bu şekilde agresif bir karşılık vermek üzere eğitilmediğini söylemektedir. Bilgi savaşı kaynaklarının çeşitli tipleri vardır. Estonya Savunma Bakanlığı yakın zamanda “Siber Güvenlik Stratejisi” başlıklı bir belgeyi web sitesine (mod.gov.ee) yüklemiştir. Bu belge diğer unsurların yanı sıra “Uluslararası Siber Güvenlik Politikalarının Geliştirme ve Uygulanması”ndan bahsetmektedir. Birleşik Devletler Siber Sonuçlar Ünitesi, siber saldırılara karşı işletme ve firmaların dayanıklılığını artıracak bir siber güvenlik kontrol listesi sunmuştur. Bu liste adım adım kapsamlı anketlerden oluşan bir listedir. 478 sorunun altı kategoride toplanmasından oluşur: Donanım, yazılım, ağ, otomasyon, insanlar ve tedarikçiler. Bumgarner “Bu, bize göre işletmelerin nerede bulunmaları gerektiği ile ilgili bir referans teşkil etmektedir.” demektedir ve işletme güvenlik uzmanlarını bu kontrol listesini incelemeye ve girdilerini sunmaya teşvik etmektedir. “Bu bir elektrik süpürgesi içinde yaratılmış bir şey değil, her türlü yorumu memnuniyetle karşılarız” demektedir. Schwartau, bilgi güvenlik uzmanlarının amirlerini bilgi savaşı tehdidinin gerçek olduğu konusunda ikna etmeleri gerektiğini söylemektedir. Çünkü bu sadece güvenlik görevlisinin sorunu değildir. Bilgi güvenliği çalışanları çok sıklıkla uğraşmamaları gereken şeylerle uğraşırlar. Örneğin, daha iyi bir güç yedek sistemi yürürlüğe koymak olası veri kaybından daha mı değerlidir? Schwartau, “bu bir işletme kararıdır; teknik değil.” demektedir. 13 Diğer yandan bilgi savaşı tehdidi siber güvenlik sorunlarının internet çağında ne kadar kritik olduğunu göstermektedir. Schwartau “Bütün büyük firma kararlarında bir bilgi güvenliği oturum kapaması olması gerekmektedir.” demiştir. Son olarak, Gürcistan saldırılarından alınacak en önemli ders, onları Estonya saldırılarıyla kıyaslamakta yatıyor olabilir: Estonya saldırıları basite indirgenmiş ve hedefsiz saldırılarken, Gürcü saldırılarının hedefi vardı. Bumgarner “Karmaşıklık seviyesi birden sıfırdan üçe yükseldi.” demiştir. “Bir güvenlik uzmanının bundan endişe duyması gerekir.” Schwartau daha da açık konuşmaktadır. “Bu daha da çirkinleşecek mi?”. “Evet, çirkinleşecek.” John Soat Ohio’lu bağımsız iş ve teknoloji yazarı gazetecidir. 14 Hafıza ve Nesneleri Akılda Tutma İnternet üzerinden canlı, Resmi (ISC)2® CBK®Değerlendirme Semineri Hiç bir şey (ISC)2’ninResmi CBK Değerlendirme Semineri ile kıyaslanamaz. Tabi ki internet üzerinden canlı değilse. (ISC)2’nin en yeni eğitim sunumu. Kendi masaüstünüzün rahatlığında bizim (ISC)2 eğitimcilerimiz tarafından verilen aynı ödüllü kurs içeriğinin * tadını çıkartabilirsiniz. Üstelik yoğun programınızdan beş gün feda etmeden ve ulaşım masrafı olmadan. Bunun yanında pijamalarınızla çalışmak sizi yeterince cezbetmediyse, www.ics2.org/offer adresine bir göz atın. *2006, 2007, 2008 SC Dergisi Ödüllü 15 Takım Zekasını Devreye Sokmak Scott Holbrook Takım Bilinci, İstikrarı ve Performansı Nasıl Artırılır? Takım liderliği iyi bir günde, harika bir grupla olsa bile zorludur. Liderler sıklıkla stratejik girdiler için ufku tararlar, müşteri memnuniyetini artırmak için çalışırlar, işlem baskılarıyla ve gün-gün personel sorunlarıyla uğraşırlar. Düşük performanslı bir takımdaysanız katılan herkes için saatli bombaya dönüşen, yeri belli olmayan bir yorgunluk reçetesine sahipsiniz demektir. Takımlar sıklıkla, artıları katıp eksileri dışarıda bırakmak adına yapay sınırlar yaratarak kendi başarılarını sabote ederler. Bu başarıyı engeller ve işletme hedefleri ile takımın bu hedefleri gerçekleştirebilme yetisi arasında sıklıkla büyüyen bir çatlakla sonuçlanır. Takım Senaryosu Takımlar oyuncuların değişik yeteneklerinin olduğu eşi benzeri olmayan karışımlardır. Bu karışımların içinde beklenilenden daha başarılılar, beklenileni veremeyenler, dışadönükler, içekapanıklar ya da sadece işini yapanlar olabilir. Liderlerin genelde, görünürde aşılmaz engelleri üstün başarıyla aşarak tüm tahminleri boşa çıkartan favori takımları vardır. Bu grupların takım zekası sergilemiş ve teker teker her birey birbirlerinin kuvvetli ve zayıf taraflarını öğrenirken başarı için stratejiler geliştirerek takım bilinci devreye sokmuş olmaları olasıdır. Bu küresel ve takımların farklı coğrafyalarda olmak durumunda olduğu çağda, liderler mükemmel takımı bol bir listeden oluşturma lüksüne sahip değildirler. Peki, nasıl takımlarını performans merdiveninde yukarı hareket ettirebilirler? Nasıl kalıcı üstün başarıyı aşılayabilirler? Bireylere yatırım yaparak, güven ortamı geliştirerek ve takım zekasını devreye sokarak. Takım Zekasını Tanımlamak Takım zekası duygusal zeka kavramının bir uzantısıdır. Geniş çevrelerce, bu konuda “Duygusal Zekaya Sahip Çalışma Ortamı” da dahil olmak üzere bir çok kitap yazmış Daniel Goleman’a atfedilmiştir (danielgoleman.info/blog). Duygusal zekanın dört önemli bileşeni vardır. 16 Özbilinç : Duygularınızın farkında olmak ve onları anlamaktır. Özyönetim : Çeşitli durumlarda duygu ve dürtülerinizi kontrol etmektir. Sosyal Bilinç : Duyguların başkalarını nasıl etkilediğinin farkında olmak ve bunu anlamaktır. İlişki Yönetimi : Sosyal seviyeler çerçevesinde ilişkiler yaratıp onları sağlamlaştırarak, zorlu durumlarda bile başkalarını motive edebilme yeteneğidir. Etkin liderler ilk seviyeden başlayarak takım bilincini geliştirirler. Bu işlem takımın yetenekleri hakkında, hem takım içindeki bireylerin hem de aynı yetenekler hakkında müşterilerin dürüst değerlendirmelerini içerir. Takıma özel bir envanterle birleştirilmiş bir hareket planı ve dahili değerlendirmelerle beklentileri karşılayamayan takımlar bile gelişme sağlayabilir ve üstün başarıya doğru ilerleyebilirler. Başlangıç Durumu İlk olarak takımın hali hazırdaki kuvvetli ve hassas özelliklerini belirleyin. Takımın iletişim yeteneklerini geliştirmesi mi gerekiyor? Vizyonunu mu bilemesi gerekiyor? Takım müşteri hizmetleri konusunda etkin mi? Yüksek derecede güven sahibi mi? Daha sonra gelişme için genel stratejiyi tartışın. Bir kaç performans artırma aracından biri olarak bir odak envanteri ile başlanması gerekir. Bu envanter devamlı gelişim için oluşturulacak daha büyük bir iskeletin parçasıdır. Odak envanteri takım lideri tarafından seçilen, yüksek performanslı takımın anahtar özelliklerini belirten vasıflar topluluğudur. Envanter, endüstriye bağlı olarak değişse de, içinde iletişim, takım çalışması ve sorumluluk gibi bazı kesin çekirdek vasıflar olmalıdır. Beş ila 15 vasıf bölgesi içerebilir; takım gelişim göstermesi gereken öncellikli bölgeleri en başarısız olduğu üç ya da dört takım vasfından seçmelidir. Diğer adım bireylerle başlar. Takımın her üyesiyle kapalı kapı görüşmeler yapılır. Kesin veri elde edebilmek için, bir güven atmosferi yaratmak gerekir. Her bireye odak envanterinin takım birikme içeriğinden geldiği aksettirilmelidir. Onlardan o bölgelerde takımın nasıl performans gösterdiği ile ilgili her odak bölgesini bir ila beş arasında değerlendirmelerini isteyin. Bu yapıyı kendini değerlendirmeden takım değerlendirmesine çevirir. Değerleme ölçütünü küçük tutarak üyelerin seçimlerini dikkatli yapmalarını sağlar. Dönüşüm Safhası Toplanan veriyi kuvvet ve hassasiyet biçimine göre değerlendirin. Odak envanteri sonuçları ile ilgili takımla yapılacak tartışma için destekleyici savlar düşünün. Takım iletişimini ve bilincini geliştirmede belki de en iyi araç Myers-Briggs Tipi Gösterge (MBTI) değerlendirmesidir. Bu araç kişisel özellikleri dört kuadrantta ortaya çıkarır: içedönüklük/dışadönüklük, his/sezgi, düşünme/hissetme ve yargı/algı. Değerlendirme bireysel olarak yapılır ve her takım üyesinin başkaları ve etraflarındaki dünya ile iletişimlerindeki tercihlerini gösterir. Bazı MBTI değerlendirme ve anketleri internet üzerinde bulunabilir. 17 MBTI sonuçları 4x4 karelajında tip açıklamalarıyla gösterilebilir. Hangi takım üyelerinin değerlendirmeleri MBTI tipine uyuyorsa, adlarını sütunlara yerleştirin. Bu sizin için takımınıza benzersiz bir bakış sunar ve üyelerin birbirleriyle daha iyi anlaşması ve iletişim kurmasını sağlar. Büyüme Safhası Büyüme safhası sırasında takım bireylerden bir bütün olmaya doğru evrimleşir. Bu safhada takım bilinci, takımın vizyon ve hedeflerinin yaratılması ve onaylanması hakkında devamlı takviye yapılır. Takım vizyonu oluştururken aceleci davranmayın. Grupta fikir birliği sağlamak genelde uzun ve kimi zaman acılı bir süreçtir. Takım zekasını devreye sokmada takımın vizyona katılması çok önemli bir yer tutar. Takım vizyonunu geliştirdikten sonra bunu günlük hayatın bir parçası haline getirin. Örneğin her görüşmeye bir vizyon beyanı ile başlayın. Bunun ezberlenmesini ve takımın anlamı etrafında hizalanmasını sağlayın. Değerlendirme ve Geribildirim Döngüleri Düzenli değerlendirme takımın aynı yöne gitmesi açısından anahtar bir bileşendir. Erkenden, henüz gelişme döngüsünde hangi sıklıkla ve hangi biçimde geribildirimin tedarik edileceğine karar verin. Geribildirim toplamanın bir yolu Post-it değerlendirmesi kullanmaktır. Burada her takım üyesine bir post-it bloknotu verilir ve “nerede başarılıyız?”, “nerede gelişme sağlayabiliriz?” gibi belirli sorulara verdikleri cevapları yazmaları istenir. Verilen cevapları ilgili gruplara göre bir beyaz tahtada ayırın. Başarı sağlayabilmek için yollar konusunda beyin fırtınası yapın ve takımın duraksadığı bölgelerle ilgili geliştirici fikirler üreterek işlemleri güdüleyin. Bu yaklaşım takım uyumu oluşturur ve takıma ivme kazandırır. Artık sıra, takımın zekasını, zeka döngüsünden önce hiç üstesinden gelinemeyen müşterilerin en büyük problemlerini çözmekte kullanmaya gelmiştir. Takım artık müşteri ihtiyaçlarını değerlendirmeye hazırdır ve yeni geliştirdiği iletişim ve vizyon yeteneklerini etkin bir şekilde müşteri ile anlaşmak için kullanabilir. Yansıma Takım zekası döngüsel bir işlemdir ve takım performansı üzerinde yansıma ile başlayıp bitmelidir. Takım zeka döngüsündeki ilk evrimini geçirdikten sonra, takım hedeflerini tekrar değerlendirin, odak envanterini gözden geçirin, diğer adımları belirleyin ve döngüyü yeni hedeflerle tekrar başlatın. Odak envanteri çekirdek vasıfları belirlemek için yaralı bir araçtır. Bir hareket planı ve takımın gelişime bağlılığı ile birleştirildiği zaman size genel anlayışın temel hattı olarak hizmet edebilir. Sadece kuvvetli ve zayıf bölgeleri belirlemek takım zekasını oluşturmaz. Fakat takım performansının maksimizasyonu yolunda ilk adımı temsil eder. Takım zekasını geliştirmek çalışma, bağlılık ve hem lider hem de takım için zaman gerektirir. Gerçekçi hedefler koymak ve değişim için yeterince zaman tanımak sonuçların randımanı açısından önemlidir. Scott C. Holbrook, PMP, CISSP, küresel tıbbi aygıt üreticisi CaridianBCT’de Bilgi Güvenliği ve Felaket Kurtarma yöneticisidir. Colorado’da ikamet etmektedir. 18 (ISC)²’den Kaynaklar Bilgi Güvenliği İşe Alım Kaynakları Merkezi (ISC)² Hakkında Uluslararası Bilgi Sistemleri Güvenliği Sertifikasyon Konsorsiyum, Inc. *(ISC)²®+ bilgi güvenliği profesyonellerini sertifikalamada dünya çapında tanınan Altın Standartı’na sahiptir. 20. Yılını kutlarken (ISC)² 130’dan fazla ülkede 60.000’in üzerinde bilgi güvenliği profesyonelini sertifikalandırmıştır. Palm Harbor, Florida ABD temelli kuruluşun Washington D.C., Londra, Hong Kong ve Tokyo ofislerinde (ISC)², rekabet gerekliliklerini yakalamayı amaçlayanlar için Sertifikalı Bilgi Sistemleri Güvenlik Profesyoneli (CISSP®) ve bununla ilgili derişimlerde Sertifikalı Güvenli Yazılım Yaşam Döngüsü Profesyoneli (CSSLPCM), Sertifikasyon ve Akreditasyon Profesyoneli (CAP®) ve Sistemler Güvenlik Pratisyeni (SSCP®) referansları vermektedir. (ISC)² CISSP ve ilgili derişimleri CAP ve SSCP sertifikasyonları, alanlarındaki bağlayıcı ANSI/ISO/IEC Standart 17024 ile ilgili ilk bilgi teknolojisi referanslarıdır. Bu personel değerlendirmesi ve sertifikalandırmasında küresel bir benchmark’tır. (ISC)² aynı zamanda devamlı profesyonel eğitim programı sunmaktadır. Bu program (ISC)²’nin CBK®’sı üzerinde temelli eğitim ürünleri ve hizmetlerden oluşan bir portfolyodur. CBK®, bilgi güvenliği başlıkları ile ilgili bir dergidir ve (ISC)²’nin sorumluluğundadır. Küresel Bilgi Güvenliği İşgücü Çalışması. Daha fazla bilgi için www.isc2.org sitesini ziyaret ediniz. © 2009, (ISC)² Inc. (ISC)², CISSP, ISSAP, ISSMP, ISSEP, CAP, SSCP ve CBK tescilli markalardır ve CSSLP, is a (ISC)², Inc. bünyesindeki hizmet işaretidir. 19