Firmanızdaki Savaş Tehditlerine Karşı Herkesin Rehberi

E - Rehber
Firmanızdaki Savaş Tehditlerine Karşı Herkesin
Rehberi
Bilgi güvenliği sahasında işe alım yapan bir yönetici olarak, evrimleşen tehditler
doğrultusunda firmanızın değişen ihtiyaçlarını gözlemlemeniz çok önemlidir. Doğru seviyede
deneyimi olan, kalifiye uzmanlarınızın olması, departmanınızı uygun kaynaklarla
bütünleştirerek, sinerji açısından daha güçlü bir takım oluşturmanızı sağlar.
Bu uzman eRehber’de vurgulanan:
Hareketli Hedef – Mobil bilişim sadece bir trendden fazlasıdır ve mobil güvenliği
sadece bir strateji olmaktan fazlası yapmıştır.
Bilgi Savaşı – abartılı histeri ya da ciddi bir tehdit durumunda bilgi savaşıdır. Siber
güvenlik uzmanları iki kelimelik bir öneri sunar: Hazır olun.
Takım Zekasını Devreye Sokmak – Takım bilinci, istikrarı ve performansının nasıl
artırılacağı.
1
E - Rehber
Firmanızdaki Savaş Tehditlerine Karşı Herkesin
Rehberi
İçindekiler:
Hareketli Hedef
Bilgi Savaşı
Takım Zekasını Devreye Sokmak
2
Mobil bilişim sadece bir trendden fazlasıdır ve
mobil güvenliği sadece bir strateji olmaktan
fazlasına dönüştürmüştür. John Soat
Hareketli Hedef
Suçu Apple’a Atın.
Ürünlerin araştırma, zeka ve sertifika testleri ile uğraşan ICSA Labs’ın uzman danışma analisti
Al Potter “C-Seviye görevlilerin pazarda *Mobil Güvenlik+ konusunda düşünme şekillerini
değiştiren faktör iPhone’dur.” demektedir. iPhone’un internete erişim ve uygulama
yükleyebilme özelliği kullanıcıların kablosuz aygıtlar hakkındaki beklentilerini artırdı. Aynı
zamanda bilgi güvenliği uzmanlarının işini karıştırdı ve taşınabilir aygıtların ne kadar
savunmasız olabileceği konusundaki bilinci artırdı.
Bu aygıtlar küçüldükçe, daha güçlü ve daha kolay bulunabilir bilgi güvenlik stratejilerine
uyum sağlamak gerekti. Uzun vadede, taşınabilirlik gereklilikleri güvenlik uzmanlarını bilgi
güvenliği ile ilgili oryantasyonlara tekrar odaklanmaya zorlayabilir.
Baştan Başlayın
Mobil bilişim dizüstü bilgisayarlarla başladığında, taşınabilir güvenlik de başlamış oldu.
Workstation ve PC’lerin korunmasında kullanılan teknikler – kimlik doğrulama, güçlü şifre
koruması, şirket güvenlik duvarları – diz üstü bilgisayarlar için de kullanılabilir olmalıydı. Antispam, anti-virüs ve anti-spyware uygulamalarını kapsayan çok gelişmiş bir güvenlik yazılımı
geliştirilmeliydi. Yama yönetimi ve agresif Web görüntüleme gibi şirket güvenlik
prosedürlerini güçlendirmek ve kullanıcıların alışması için düzenli bilinçlendirme eğitimi ile
birlikte yazılı bir güvenlik planı oluşturulması gerekti.
Dizüstü bilgisayarlar taşınabilir olduğu için şirket ağı dışında da çalışabilirler. Ağa bağlı
değilken kullanıcıların şirket kaynaklarına erişimleri sanal özel ağlar üzerinden olmalı ve
bütün veri şifrelenmiş olmalıydı. Aynı zamanda başında kimse olmadığında da (şirket
güvenlik planında vurgulanması gereken bir durum) dizüstü bilgisayarların korunması
gerekmekteydi.
Ne yazık ki gizli şirket verisi içeren dizüstü bilgisayarlar otomobillerde ya da havaalanlarında
unutulmaya devam etmektedir. İşte bu yüzden şirket dizüstü bilgisayarların üzerindeki sabit
sürücüleri şifreleme büyüyen bir trend haline gelmiştir ki bunu donanım firmaları sonradan
eklenen bir özellik olarak sunmaktadır. Bunun yanında şifreleme artık işletim sistemleri ile
birleşmiştir. (Mac Os’daki FileVault ve Windows’daki Bitlocker gibi)
3
4
Güvenlik yazılımı bayileri dizüstü bilgisayarlardaki anti-virüs uygulamalarını otomatik olarak
güncelleyen sunucu tabanlı yönetim konsolları sunmakta, şifreleme sağlamakta, e-posta ve
web trafiğini görüntülemekte, veriyi yedekleyip geri getirmekte ve kimliği doğrulanmayan
kullanıcıları kilitleyip daha sonra onlara ait verileri sabit sürücülerden uzaktan
silebilmektedir.
Risk ve Ödülü Dengeleme
Kablosuz aygıtların yaygınlaşmasıyla birlikte mobil bilişim dizüstü bilgisayarların fazlası
olmaya başladı. CISSP, BT hizmetleri bayisi Unisys’de amir güvenlik mimarı Christopher Hoff
“Riski dengelerken, bu platformların düşük maliyetli, çevik ve esnek olduğu döneme
yaklaşmaya çalışıyoruz.” demektedir.
Cep telefonlarını hedef alan virüsler ve trojanlar olduğu bilinse de şu ana kadar geniş çaplı bir
bulaşma olmamıştır. Fakat bu olamayacağı ya da olmayacağı anlamına gelmez. Georgia Tech
Bilgi Güvenliği Merkezi 2009 Yeni Siber Tehditler Raporu’nda bu yıl taşınabilir telefonlara
yönelik kötü amaçlı yazılım ve bunlara atanan bot sayısında artış öngörmektedir. Georgia
Tech Bilgisayar Bilimleri Bölümü’nde doçent olan Patrick Traynor raporunda “Kötü yazılım,
cep telefonuna yüklenerek onun bot’a dönüşmesi sağlanabilir; daha sonra büyük hücresel
bot ağları, hücre ağının çekirdeğine *servis dışı bırakma+ saldırıları yapmak için kullanılabilir.”
diye yazmıştır. Hücresel veri endişeleri Dünya’nın değişik bölgelerinde farklıdır. ICSA’dan
Potter, “Bir telefondan daha fazla olan telefon, Birleşik Devletler’e göre, Asya-Pasifik ve
Avrupa’da daha yaygındır.” demektedir. “Tehdit Amerika’ya oranla orada daha fazla
yayılmıştır.” Örneğin Japonya’da cep telefonu dolandırıcılığı büyüyen bir sorundur. Bunun
nedeni ülkenin geniş bir kısmına yayılmış taşınabilir telefonlar üzerinden bankacılık
alışkanlığıdır.
“Bir telefondan daha fazla olan telefon, Birleşik Devletler’e göre,
Asya-Pasifik ve Avrupa’da daha yaygındır. Tehdit Amerika’ya oranla
orada daha fazla yayılmıştır.”
E-posta ve artan veri erişimi gibi şirket uygulamaları PDA ve Smartphone’larla yakinen
ilişkilendirilmiştir. Ne yazık ki, şirket seviyesindeki güvenlik önlemleri kablosuz aygıtlar için
problem olabilir. Research in Motion (RIM) küresel güvenlik başkan yardımcısı ve
BlackBerry’nin yaratıcısı Scott Totzke “Kablosuz ortamda başarılı olabilmenin yolu kısıtlı
kaynakları dengelemektir.” demektedir. Mobil aygıtlar küçük ve şirketler için limitli
olmalarına rağmen işlem güçleri, iletişim yetileri ve depolama kapasiteleri giderek
artmaktadır. Totzke özellikle, pil teknolojisinin Moore Kanunu hızında evrimleşmediğinin
altını çizmektedir.
Bu yüzden anti-virüs uygulamaları ve kişisel güvenlik duvarları kendi bünyelerinde
problemler barındırabilirler: Pil ömrünü azaltan kaynaklar kullanırlar. Yeni Siber Tehditler
Raporu’nda Traynor, cep telefonu ortamında“birincil güvenlik engeli olarak pil gücü”nün
altını çizmiştir. Fakat Blackjacking: Firmada Blackberry Aygıtlarını, PDA ve Cep Telefonlarını
Hedefleyen Güvenlik Tehditleri kitabının yazarı, aynı zamanda Smobile Systems’de uzman
teknoloji direktörü Daniel Hoffman bu görüşe katılmamaktadır. Smobile Systems mobil
aygıtlar için güvenlik yazılımları geliştiren bir firmadır. Hoffman, anti-malware yazılımlarının
5
cep telefonlarındaki etkisi için “Eğer uygun bir çözümünüz varsa göz ardı edilebilir.”
demektedir. Bugün dışarıda özel olarak kablosuz aygıtlar için geliştirilmiş güvenlik sistemleri
vardır. Bunlar, içlerinde anti-virüs, anti-spam ve güvenlik duvarı korumaları gibi kapsamlı
uygulamalar bulundurmanın yanı sıra bu aygıtları uzaktan kontrol ederek uzaktan kitleme ve
veri silme gibi seçenekler sunmaktadır. İşte burası Blackberry’nin PDA ve Smartphone’lara
göre avantajlı olduğu yerdir. Birincisi, RIM Blackberry’i en temelden tasarlamış ve yapmıştır.
Totzke “Biz kendi radyo kodumuzu yazdık, kendimize ait işletim sistemimiz, kendimize ait
Java’mız var” demektedir. İkincisi, şifreleme gibi güvenlik özellikleri aygıtın içinde fiziksel
bağlantı ile bağlıdır. Üçüncüsü, RIM, Blackberry Firma Sunucusu’na sahiptir ki bu sunucu
daha önce bahsi geçen güvenlik ölçeklerinin birçoğunu sağlamanın yanı sıra özel olarak
Blackberry için uzaktan kumanda ve yönetim imkanı da sağlamaktadır.
Sorunlu Bölgeler
Smartphone ve cep telefonları ile ilişkilendirilen güvenlik sorunları dizüstü bilgisayarlarla
benzer gözükse de bunların kendine has varyasyonları bulunmaktadır. Örneğin cep
telefonlarını çalmak daha kolaydır. Hoffman’a göre dünya çapında seyahat eden kişilerin
akıllarında tutması gereken başka bir olay ise bu kişilerin kablosuz aygıtlarını üniformalı
görevlilere ya da başka yabancılara vermeleri durumunda kendilerini riske atmış olmalarıdır.
Hoffman “Bir dakikadan az bir süre içinde, bütün iletişim bilgileri ve büyük miktarda veriyi
alabilirim” demektedir. Hoffman kendini etik bir bilgisayar korsanı olarak tanımladığını
bilmelidir.
Hem dizüstü bilgisayar hem de mobil aygıt kullanıcıları internette gezinirken sınırlara ihtiyaç
duyarlar. Kablosuz aygıtlarda ise şekil faktörünün kendisi sorun oluşturmaktadır. Kullanıcılar
küçük ekran nedeniyle uygunsuz web sitelerini tanımlamakta daha çok zorlanırlar.
“Bizim stratejimiz oluştuğu her şekil itibariyle verinin güvende
olduğundan emin olmaktır. Odağımız sunucunun kendisini korumanın
aksine veriyi korumaktır.” - PATRICK HANRION, MICROSOFT
Aynı şekilde izlenecek e-postalar, takip edilecek metin mesajlarının hepsi dışarıdan fikri hak
kaybına karşı, içerden ise rahatsızlık ve diğer insan kaynakları sorunlarına karşı korunmalıdır.
Diğer sorunlu bölge ise aksesuarlardır. Kablosuz aygıtların çoğu üzerinde kamera
barındırdıklarından işletmeler giderek firma alanlarında bunların kullanımını
yasaklamaktadır. Sybase Uzman Ürün Yöneticisi James Naftel, “Fotoğraf çeken insanlarla
birçok sorun yaşıyoruz” demektedir.
USB depolama aygıtları çok miktarda veri taşıyabilirler ve takip edilmeleri zordur.
Smartphone’lar ve cep telefonları için kullanılan microSD gibi depolama aygıtları ise
bunlardan daha küçüktür ve kontrol edilmesi daha zordur. Her ne kadar firmalar istese de,
çok azı bu tip tüketici teknolojilerinin kullanımına yasak getirebilmektedir.
6
Prensip Sorunları
Kablosuz aygıtlar için güvenlik prensipleri dizüstü bilgisayarlara benzer, firma güvenlik
standartlarına uygun olmalıdır. Şirketler, özellikle şirket ağıyla bağlanmaya çalışan kullanıcılar
için halka açık Wi-Fi ağlarına erişim yasağı getirmelidir. Eğer mümkünse mobil aygıt
kullanıcıları şirket ağına VPN’ler üzerinden bağlanmalıdır.
Şifre koruması zorunludur. Cep telefonlarına şifre erişimi, hem unutulan şifrelerle ilgili
isteklere maruz kalan BT destek personeli hem de kullanıcılar için çok zor olabilir. Fakat yine
de buna değerdir. Şifreleme de aynı derecede önemlidir; çünkü mobil çalışanları hassas firma
verisine erişip onu depolama imkanına sahiptirler. Şifreleme koruması özellikle bu
teknolojilere yasak getirmek için uğraşan büyük şirketlerde kablosuz depolama aygıtlarını da
kapsayacak şekilde düzenlenmelidir.
Tüm Smartphone’lar ve cep telefonlarının BT üzerinden geçtiğine emin olunmalıdır.
Kablosuz aygıtları yönetimin izlemesi ve kontrol etmesi bir yana, bireysel çalışanlar
tarafından satın alınan bu aygıtların kontrol edilmesi ayrı bir sorundur. İçerik filtreleme,
yedekleme, verinin iyileştirilmesi, uzaktan kilitleme, silme ve kameralar gibi bazı özellikleri
kapatma konularında uzaktan kontrol edilen bir yöntem uygulanması çok önemlidir.
Son olarak eğitim, dizüstü bilgisayarlarda olduğu gibi, -belki de daha fazla- kablosuz aygıt
güvenliğinin de önemli bir öğesidir. Kullanıcıların mobil bilgisayarlarla ilgili risklerden
haberdar edilmeleri gerekmektedir. Şu anki durumda çoğu değildir.
Apple bu kuralı kanıtlayan bir istisnadır. IPhone’un orijinal yapısı güvenlik açısından şirket
çevrelerince kötü bir itibara sahiptir. Fakat IPhone artan sofistike hesaplama yetisi sayesinde
var olmaya ve tüketicinin ilgisini çekmeye devam etmektedir.
Firma, kullanıcıların şikayetleri üzerine geçen senenin iPhone 3G’si, Microsoft’un ActiveSync
sunucusu içindeki takılma da dahil olmak üzere aygıtın bazı güvenlik sınırlamalarını belirtti.
Fakat Unisys’ten Hoff, iPhone’un halen bazı firmaların kesinlikle ihtiyaç duyduğu bütün aygıt
şifrelemesi ve merkezi güvenlik yönetimi araçları gibi özelliklerle ilgili yetersiz kaldığını ifade
etmektedir. Bu yüzden iPhone birçok işletmede –Hoff’unki de dahil olmak üzere- halen
deneme aşamasındadır.
Tekrar Odaklanma ve Tekrar Yönlendirme
Şirket bilişimi ile ilgili güvenlik mücadelelerinin belirlenmesine yardım eden trendler vardır.
Örneğin sanallaştırma teknolojisi masaüstü bilgisayarlara giden yolu bulmaktadır.
Sanallaştırma, işlemlerin çoğunu ve bütün veri deposunu bir merkez sunucuya taşıyarak
mobil bilişimin en hassas elemanı olan “son aygıt” ile ilgili tehditlerin en aza indirgenmesine
yardım etmektedir. Buna benzer olarak veri deposu ve işletimin; merkez, uzak, güvenli bir
konumda bağlandığı bulut bilişimi (cloud computing) mobil güvenliğin birçok elemanının
otomatikleşmesine ve güçlendirilmesine yardımcı olacaktır.
Bazı güvenlik uzmanları artan mobil bilişim aygıtlarının kullanılmasının bilgi güvenliği
stratejileri ile ilgili tekrar düşünmek gerektiğini gösterdiğini söylemektedirler. Microsoft CSSP
ve BT güvenliği baş mimarı Patrick Hanrion, “eğer ilk aşamanın odağı çeperi korumak, ikinci
aşama sunucuyu güvenceye almak ve üçüncüsü her nerede ve hangi şekilde olursa olsun
7
veriyi korumaksa; bizim stratejimiz oluştuğu her şekil itibariyle verinin güvende olduğundan
emin olmaktır.” demektedir. Odak, sunucuyu korumanın aksine veriyi korumaktır.
Bu, bilgi güvenliği uzmanları için biraz farklı bir oryantasyon gerektirebilir. ICSA’dan Potter
“Aygıt, yanında verinin aktığı bir vektördür” demektedir. “Esas sorun veriyi sınıflandırmaktır.
Verinizin ne olduğu, nerede olması gerektiği ve o anda nerede bulunduğunu anlamanız
gerekmektedir.” Bu perspektiften bakıldığında, mobil aygıtlar basitçe bilişimin sonu anlamına
gelmektedirler ve BT yapısı içindeki her eleman kadar önemlidirler. Bu da güvenlik uzmanları
ve son kullanıcılara aygıtların yapımı sırasında firmanın emniyet ve güvenliğini gözetmek gibi
ek sorumluluklar getirmektedir.
Suçu Apple’a atın.
John Soat Ohio’lu bağımsız iş ve teknoloji yazarı gazetecidir.
8
Bilginin Zihinle İşlenmesi
(ISC)2 studISCope Özdeğerlendirme
studISCope resmi (ISC)2® çevrimiçi özdeğerlendirme aracıdır. Bu araç sizin SSCP® ya da CISSP®
CBK® hakkındaki bilginizi ölçer. Cevaplarınızı analiz ederek size kişiselleştirilmiş bir çalışma
planı sunar. Bunu yaparken sertifika sınavında iyi performans göstereceğiniz ya da biraz daha
fazla çalışmaya ihtiyaç duyabileceğiniz yerlerin altını çizer. Görece küçük bir yatırım için
nerede durmanız gerektiğini ve bununla ilgili ne yapmanız gerektiğini kesin olarak
bileceksiniz! Sertifikasyon kazanmada planlama? Bugün www.isc2.org/studiscope sitesini
ziyaret edin.
9
Bilgi Savaşı
John Soat bilgi savaşının ciddi bir tehdit ya da fazla
abartılmış bir histeri olup olmadığını araştırmaktadır.
Siber güvenlik uzmanlarının tavsiyesi iki kelimedir:
Hazırlıklı olun.
Geçtiğimiz ağustostaki gazete başlıkları tüyler ürpertici derecede tanıdıktı. Soğuk savaş
kayısının buz gibi patlaması: “Rusya Gürcistan’ı işgal ediyor.” Fakat Rusya’nın politikası dejavu gibi gözükse de çatışma, savaşın yeni ve rahatsızlık verici yapısını gittikçe daha fazla
çevrimiçi ve bağlaşımlı hale gelen Dünya’dan genişçe inceleme olanağı sundu: Bilgi Savaşı.
Gürcistan’ın siber altyapısı henüz Rusya tankları ülkeye girmeden saldırı altındaydı. Birkaç
gün boyunca geniş çaplı servis engelleme saldırıları hükümet web sitelerini kullanılmaz hale
getirdi. Bazı gözlemciler çevrimiçi saldırıları küçümseyerek onları “hacktivistler” olarak
adlandırdılar. Meraklı amatörler savaşa girmeyi kafalarına koymuşlardı. Rus yetkililer
Gürcistan’a karşı servis engelleme saldırılarını doğrudan üstlenmeyi reddetti ve kimse
saldırıların nereden geldiğinden ve kimin sorumlu olduğundan emin olamadı.
Bununla birlikte Amerikan Hükümeti ve ona bağlı savunma ajansları bilgi savaşını ciddiye
almaktadır. Ocak 2008’de hava kuvvetlerinin siber komuta ünitesi gibi, birkaç siber savaş
programı oluşturulmuştur. Başkan George W. Bush Kamu Güvenlik Departmanı tarafından
yürütülecek yeni bir ajanslar arası siber güvenlik çalışmasını onaylamıştır ve Silikon Vadisi
temelli bir girişimci başına geçirilmiştir.
Bilgi güvenliği uzmanları bilgi savaşı tehdidini ne kadar ciddiye almalıdır? Siber güvenlik
uzmanları “şimdikinden daha fazla” demektedirler.
Eğer değil, ne zaman?
Bilgi güvenliği uzmanları güvenlik sorunları ormanını inceleme çalışmaları esnasında birkaç
önemli ağacı atlıyor olabilirler.(ISC)² 2008 Küresel Bilgi Güvenliği İşgücü Çalışması’nda (ISC)²
üyelerinin neredeyse yarısı (yüzde 48) teröristlerden kaynaklanabilecek güvenlik
tehditlerinden çok az endişe duyduklarını ya da hiç duymadıklarını söylemişlerdir. Yüzde 38’i
ise organize suçlarla ilgili aynı şeyi söylemiştir.
Shadowserver Vakfı’nın yaratıcısı ve kurucularından Andre DiMino “Bu gerçekten bir
anlambilim sorunudur” demektedir. Bu vakıf kötü amaçlı yazılımları, bot ağı ve elektronik
dolandırıcılık aktivitelerini izleyip raporlayan, kendi kendini finanse eden, kar gözetmeyen bir
10
organizasyondur. DiMino bilgi savaşının en önemli elemanlarından biri olan bot ağlarının
altını çizmektedir. Bot ağları dünya çapında tehlikeli bilgisayarlardan oluşan ağlardır. Bu
bilgisayarlar halihazırda milyonlarcadır ve sayıları gitgide artmaktadır. (bkz. “Bot ağları ile
savaşmak” InfoSecurity Professional, Sonbahar 2008). DiMino “Bir bilgisayarı hedefi
belirlenmiş bir saldırı için kullanmak benim sözlüğümde siber savaştır” demektedir.
Sizin işletmeniz de bilgi savaşının kurbanı olmuş ya da en azından müstakbel kurbanı olabilir.
Watchdog Grubu’na göre e-dolandırıcılık saldırıları genellikle terörist organizasyonlara
kaynak yaratmak için kullanılmaktadır. Aynı zamanda bazı devletler, patentli işlemler ve telif
hakkı ile korunan algoritmalar tarafından temsil edilen, rekabetçi ve teknik avantajlardan
yararlanmak için şirketlerin akıllı mülkiyet edinmeleri ile ilgilenmektedirler. Örneğin Çin’deki
internet adresleri, geçen sene Pentagon’un sivil ağlarını hedefleyen, reklamı iyi yapılmış
saldırı da dahil olmak üzere Amerika’daki ağ ihlalleri ile ilişkilendirilmektedir.
Şirketlerin çoğu koordine, derin bir elektronik bombardımanın sıkıntısını çekmese de, bilgi
güvenliği uzmanları, zaten aşina oldukları solucan (worm), trojan, spam, e-dolandırıcılık, ağ
ihlali ve veri hırsızlığı gibi saldırıların sayısında ve kapsamında devamlı bir artış görmeyi
beklemelidirler.
Çoğalma Kabiliyetleri
Sonuç olarak, güvenlik endişeleri söz konusu olduğunda “kim” sorusu “nasıl” sorusundan
daha az önem teşkil etmektedir.
Güvenlik danışmanı Winn Schwartau “Bilgi güvenliği uzmanı ağına kimin saldırdığından
endişe duyamaz; her şey kabiliyetle alakalıdır ve kabiliyetleri gitgide artmaktadır.”
demektedir.
Bilgi Savaşının duyurusu ile birlikte:
Siber terörizm: Elektronik çağda şahsınıza ait güvenliği sağlamak, Schwartau bu kitabını
açıkça bilgi savaşı üzerine yazmıştır. Ona göre bu, üç sınıfa ayrılabilir:
Sınıf 1: Kişisel Bilgi Savaşı: Bireyleri hedef alan savaştır. Schwartau “Eskiden buna
kimlik hırsızlığı demezdik.” demektedir.
Sınıf 2: Şirket Bilgi Savaşı: Ya da “kaba hatlarıyla eskiden endüstriyel casusluk diye
adlandırdığımızın eşdeğeri.”
Sınıf 3: Hükümet Bilgi Savaşı: Rusya – Gürcistan çatışması bunun bir örneğidir. Başka
bir örnek geçen sene Estonya’da gelişen benzer durumdur. Estonya yetkilileri bir Rus
savaş anıtını kongre binasının ortasından kaldırmasından bir kaç gün sonra Sovyet
uydusunun siber altyapısı servis engelleme saldırılarına maruz kalmıştır.
İşletmeler potansiyel saldırıların olabileceği üç sınıftan da haberdar olmalıdırlar. Schwartau
“Bilgi güvenliği personeli tüm çevresini anlamak zorundadır” demektedir. Çünkü örneğin,
sınıf 1 bilgi savaşı – kimlik hırsızlığı – “sınıf 2 ya da sınıf 3 kaynaklı olabilir, bu da onu daha
tehlikeli yapar” diye devam etmektedir. Sofistike e-dolandırıcılık ya da kötü amaçlı yazılım
11
ataklarından korunmak Web kontrolleri ve PC güvenliğinde daha büyük önem teşkil
etmektedir.
Schwartau “Sınıf 2 bilgi savaşı patent, telif hakkı, işletme anlaşmalarını – ki bu firmaların
gerçek değeridir – kapsamaktadır” demektedir. Bu suç dışarıdan ağ ihlalleri aracılığıyla
işlenmesinin yanı sıra içerden de işlenebilir. Bu yüzden bilgi güvenliği uzmanlarının insan
kaynakları departmanıyla yakinen çalışması önemlidir. Bu şekilde H-1B çalışanları dahil olmak
üzere kritik BT pozisyonları için başvuranları daha iyi gözlemleyebilirler.
Schwartau, “Güvenliğin her alanı giderek daha önemli hale gelmektedir – insan kaynakları,
siber güvenlik ve fiziksel güvenlik – birbiriyle mümkün mertebe uyumlu olmalıdır”
demektedir. Kötü niyetli eski bir çalışan “dışımızdakine dönüşen içimizdeki” bir örnektir. Bu
senaryoyu belirlemek için Schwartau, “Bir kısım insan kaynakları işlemi tüm varlıkların geri
dönüştürülemez feshi şeklinde olmalıdır. Buna belki de özellikle, elektronik varlıklar dahildir.”
demektedir.
Birleşik Devletler’de Sınıf 3 bilgi savaşları, hükümet ve askeri operasyonların kullandığı
telekom ağı ve elektrik şebekesi gibi kritik altyapıların çoğuna sahip oldukları ve buralarda
çalıştıkları için giderek daha fazla özel şirket içerecektir. Uzmanlar bu altyapıların ne kadar
dayanıklı olduğu ve ne kadar agresif araştırıldığı konularında bölünmüşlerdir. 2002 doğu
sahili elektrik kesintisinin SCADA Systems’in incelenmesi yüzünden olduğuna dair
spekülasyonlar hala vardır. Spekülasyonlar histeri ile flört ederken alınması gereken ders
“Hazırlıklı ol.” olmalıdır. Shadowserver’dan DiMino “Eğer internet üzerinde kritik bir
sisteminiz varsa onun yıkılma ihtimali vardır.” demektedir.
Dikkate alınması gereken diğer bir eleman küresel arz zinciridir. Bilgi güvenliği danışmanı ve
siber güvenlik uzmanı Andrew Colarik, “Bilgi güvenliği uzmanlarının Estonya ve Gürcistan gibi
bölgesel bilgi savaşı çatışma olasılığını işlerinin devamlılığı uyarınca göz önünde
bulundurmaları gerekmektedir.” demiştir. Bunun anlamı internet erişimini sağlayan zincir
ortaklarının kesilmesi durumunda lojistik ve kaynak bakımından hazırda alternatifler
bulundurmaktır.
Güvenlik Danışmanı ve Siber Savunma Ajansı Firma Araştırma bölümü başkanı aynı zamanda
eski Milli Güvenlik Teşkilatı siber güvenlik uzmanı O.Sami Saydjari “Birçok işletme siber savaş
tehdidini yeterince ciddiye almıyor.” demekte ve dış kaynak kullanımının altını çizmektedir.
Yazılım kodlama ve bakımı çoğu zaman diğer ülkelerde yapıldığından bilgi güvenliği
uzmanlarının “kendi şirket altyapılarına bulaşma” ya da “Trojan virüsleriyle geri dönen ve
sonradan istifade edilebilecek arka kapıları olan” uygulamalarla ilgili dikkatli olmaları
gerekmekte diye devam etmektedir.
12
Bu siyasi açıdan hassas bir durumdur fakat ortadaki risk göz ardı edilmemelidir. Saydjari bu
riskle baş edebilmek için “Küresel çevrede yazılım kalitesi teminatı kontrolünün devreye
sokulması gerekiyor.” demektedir.
Siber Sonuçlar
Siber güvenlik uzmanları, “servis engelleme saldırıları ya da tehditleri işletmelere şantaj
yapmak için kullanılmaktadır.” demektedirler. Bunlar aynı zamanda suç örgütleri tarafından
güç gösterisi amaçlı kullanılmaktadır. Shadowserver’dan DiMino, ağ altyapısının yükleme
dengelemesi ve artıklık için incelenmesinin sürekli bir servis engelleme saldırısına
dayanabilmek açısından gerekli olduğunu söylemektedir. “Birçok sitenin içeriğinde bu
tasarımın olmadığını görüyoruz.” demektedir.
CTO ve Birleşik Devletler Siber Sonuçlar Ünitesi için güvenlik teknolojisi araştırma yöneticisi
John Bumgarner, “Profesyonel seviyede bilgi güvenliği ile ilgili kişilerin, özellikle kritik altyapı
kurumlarında çalışanların, bir krizin üstesinden nasıl gelinebileceği ile ilgili daha fazla eğitime
ihtiyaçları vardır.” demektedir. Birleşik Devletler Siber Sonuçlar Ünitesi, kamu güvenlik
teşkilatı ve diğer hükümet ajansları tarafından finanse edilen ve kar gözetmeyen bir
kurumdur. Bu kurum siber güvenlik konuları ile ilgili hükümetin en üst seviyesinde
danışmanlık yapmaktadır.
John Bumgarner “Bilgi güvenliği uzmanları genellikle halihazırda olmuş olaylarla cevap
verirler.” demektedir. Gürcistan ve Estonya olayları güvenlik uzmanlarının bir saldırı olması
durumunda nasıl davranacakları ile ilgili eğitimden yararlanabileceklerini göstermektedir.
Bumgarner, bir çok ajansın bu şekilde agresif bir karşılık vermek üzere eğitilmediğini
söylemektedir.
Bilgi savaşı kaynaklarının çeşitli tipleri vardır. Estonya Savunma Bakanlığı yakın zamanda
“Siber Güvenlik Stratejisi” başlıklı bir belgeyi web sitesine (mod.gov.ee) yüklemiştir. Bu belge
diğer unsurların yanı sıra “Uluslararası Siber Güvenlik Politikalarının Geliştirme ve
Uygulanması”ndan bahsetmektedir.
Birleşik Devletler Siber Sonuçlar Ünitesi, siber saldırılara karşı işletme ve firmaların
dayanıklılığını artıracak bir siber güvenlik kontrol listesi sunmuştur. Bu liste adım adım
kapsamlı anketlerden oluşan bir listedir. 478 sorunun altı kategoride toplanmasından oluşur:
Donanım, yazılım, ağ, otomasyon, insanlar ve tedarikçiler. Bumgarner “Bu, bize göre
işletmelerin nerede bulunmaları gerektiği ile ilgili bir referans teşkil etmektedir.” demektedir
ve işletme güvenlik uzmanlarını bu kontrol listesini incelemeye ve girdilerini sunmaya teşvik
etmektedir. “Bu bir elektrik süpürgesi içinde yaratılmış bir şey değil, her türlü yorumu
memnuniyetle karşılarız” demektedir.
Schwartau, bilgi güvenlik uzmanlarının amirlerini bilgi savaşı tehdidinin gerçek olduğu
konusunda ikna etmeleri gerektiğini söylemektedir. Çünkü bu sadece güvenlik görevlisinin
sorunu değildir. Bilgi güvenliği çalışanları çok sıklıkla uğraşmamaları gereken şeylerle
uğraşırlar. Örneğin, daha iyi bir güç yedek sistemi yürürlüğe koymak olası veri kaybından
daha mı değerlidir? Schwartau, “bu bir işletme kararıdır; teknik değil.” demektedir.
13
Diğer yandan bilgi savaşı tehdidi siber güvenlik sorunlarının internet çağında ne kadar kritik
olduğunu göstermektedir. Schwartau “Bütün büyük firma kararlarında bir bilgi güvenliği
oturum kapaması olması gerekmektedir.” demiştir.
Son olarak, Gürcistan saldırılarından alınacak en önemli ders, onları Estonya saldırılarıyla
kıyaslamakta yatıyor olabilir: Estonya saldırıları basite indirgenmiş ve hedefsiz saldırılarken,
Gürcü saldırılarının hedefi vardı. Bumgarner “Karmaşıklık seviyesi birden sıfırdan üçe
yükseldi.” demiştir. “Bir güvenlik uzmanının bundan endişe duyması gerekir.”
Schwartau daha da açık konuşmaktadır. “Bu daha da çirkinleşecek mi?”. “Evet,
çirkinleşecek.”
John Soat Ohio’lu bağımsız iş ve teknoloji yazarı gazetecidir.
14
Hafıza ve Nesneleri
Akılda Tutma
İnternet üzerinden canlı, Resmi (ISC)2® CBK®Değerlendirme
Semineri
Hiç bir şey (ISC)2’ninResmi CBK Değerlendirme Semineri ile kıyaslanamaz. Tabi ki internet
üzerinden canlı değilse. (ISC)2’nin en yeni eğitim sunumu. Kendi masaüstünüzün rahatlığında
bizim (ISC)2 eğitimcilerimiz tarafından verilen aynı ödüllü kurs içeriğinin * tadını
çıkartabilirsiniz. Üstelik yoğun programınızdan beş gün feda etmeden ve ulaşım masrafı
olmadan.
Bunun yanında pijamalarınızla çalışmak sizi yeterince cezbetmediyse, www.ics2.org/offer
adresine bir göz atın.
*2006, 2007, 2008 SC Dergisi Ödüllü
15
Takım Zekasını
Devreye Sokmak
Scott Holbrook
Takım Bilinci, İstikrarı ve
Performansı Nasıl Artırılır?
Takım liderliği iyi bir günde, harika bir grupla olsa bile zorludur. Liderler sıklıkla
stratejik girdiler için ufku tararlar, müşteri memnuniyetini artırmak için çalışırlar, işlem
baskılarıyla ve gün-gün personel sorunlarıyla uğraşırlar. Düşük performanslı bir
takımdaysanız katılan herkes için saatli bombaya dönüşen, yeri belli olmayan bir yorgunluk
reçetesine sahipsiniz demektir.
Takımlar sıklıkla, artıları katıp eksileri dışarıda bırakmak adına yapay sınırlar yaratarak kendi
başarılarını sabote ederler. Bu başarıyı engeller ve işletme hedefleri ile takımın bu hedefleri
gerçekleştirebilme yetisi arasında sıklıkla büyüyen bir çatlakla sonuçlanır.
Takım Senaryosu
Takımlar oyuncuların değişik yeteneklerinin olduğu eşi benzeri olmayan karışımlardır. Bu
karışımların içinde beklenilenden daha başarılılar, beklenileni veremeyenler, dışadönükler,
içekapanıklar ya da sadece işini yapanlar olabilir. Liderlerin genelde, görünürde aşılmaz
engelleri üstün başarıyla aşarak tüm tahminleri boşa çıkartan favori takımları vardır. Bu
grupların takım zekası sergilemiş ve teker teker her birey birbirlerinin kuvvetli ve zayıf
taraflarını öğrenirken başarı için stratejiler geliştirerek takım bilinci devreye sokmuş olmaları
olasıdır.
Bu küresel ve takımların farklı coğrafyalarda olmak durumunda olduğu çağda, liderler
mükemmel takımı bol bir listeden oluşturma lüksüne sahip değildirler. Peki, nasıl takımlarını
performans merdiveninde yukarı hareket ettirebilirler? Nasıl kalıcı üstün başarıyı
aşılayabilirler? Bireylere yatırım yaparak, güven ortamı geliştirerek ve takım zekasını devreye
sokarak.
Takım Zekasını Tanımlamak
Takım zekası duygusal zeka kavramının bir uzantısıdır. Geniş çevrelerce, bu konuda
“Duygusal Zekaya Sahip Çalışma Ortamı” da dahil olmak üzere bir çok kitap yazmış Daniel
Goleman’a atfedilmiştir (danielgoleman.info/blog). Duygusal zekanın dört önemli bileşeni
vardır.
16
Özbilinç
: Duygularınızın farkında olmak ve onları anlamaktır.
Özyönetim
: Çeşitli durumlarda duygu ve dürtülerinizi kontrol etmektir.
Sosyal Bilinç
: Duyguların başkalarını nasıl etkilediğinin farkında olmak ve bunu
anlamaktır.
İlişki Yönetimi : Sosyal seviyeler çerçevesinde ilişkiler yaratıp onları sağlamlaştırarak,
zorlu durumlarda bile başkalarını motive edebilme yeteneğidir.
Etkin liderler ilk seviyeden başlayarak takım bilincini geliştirirler. Bu işlem takımın yetenekleri
hakkında, hem takım içindeki bireylerin hem de aynı yetenekler hakkında müşterilerin dürüst
değerlendirmelerini içerir. Takıma özel bir envanterle birleştirilmiş bir hareket planı ve dahili
değerlendirmelerle beklentileri karşılayamayan takımlar bile gelişme sağlayabilir ve üstün
başarıya doğru ilerleyebilirler.
Başlangıç Durumu
İlk olarak takımın hali hazırdaki kuvvetli ve hassas özelliklerini belirleyin. Takımın iletişim
yeteneklerini geliştirmesi mi gerekiyor? Vizyonunu mu bilemesi gerekiyor? Takım müşteri
hizmetleri konusunda etkin mi? Yüksek derecede güven sahibi mi?
Daha sonra gelişme için genel stratejiyi tartışın. Bir kaç performans artırma aracından biri
olarak bir odak envanteri ile başlanması gerekir. Bu envanter devamlı gelişim için
oluşturulacak daha büyük bir iskeletin parçasıdır. Odak envanteri takım lideri tarafından
seçilen, yüksek performanslı takımın anahtar özelliklerini belirten vasıflar topluluğudur.
Envanter, endüstriye bağlı olarak değişse de, içinde iletişim, takım çalışması ve sorumluluk
gibi bazı kesin çekirdek vasıflar olmalıdır. Beş ila 15 vasıf bölgesi içerebilir; takım gelişim
göstermesi gereken öncellikli bölgeleri en başarısız olduğu üç ya da dört takım vasfından
seçmelidir.
Diğer adım bireylerle başlar. Takımın her üyesiyle kapalı kapı görüşmeler yapılır. Kesin veri
elde edebilmek için, bir güven atmosferi yaratmak gerekir. Her bireye odak envanterinin
takım birikme içeriğinden geldiği aksettirilmelidir. Onlardan o bölgelerde takımın nasıl
performans gösterdiği ile ilgili her odak bölgesini bir ila beş arasında değerlendirmelerini
isteyin. Bu yapıyı kendini değerlendirmeden takım değerlendirmesine çevirir. Değerleme
ölçütünü küçük tutarak üyelerin seçimlerini dikkatli yapmalarını sağlar.
Dönüşüm Safhası
Toplanan veriyi kuvvet ve hassasiyet biçimine göre değerlendirin. Odak envanteri sonuçları
ile ilgili takımla yapılacak tartışma için destekleyici savlar düşünün.
Takım iletişimini ve bilincini geliştirmede belki de en iyi araç Myers-Briggs Tipi Gösterge
(MBTI) değerlendirmesidir. Bu araç kişisel özellikleri dört kuadrantta ortaya çıkarır:
içedönüklük/dışadönüklük, his/sezgi, düşünme/hissetme ve yargı/algı. Değerlendirme
bireysel olarak yapılır ve her takım üyesinin başkaları ve etraflarındaki dünya ile
iletişimlerindeki tercihlerini gösterir. Bazı MBTI değerlendirme ve anketleri internet üzerinde
bulunabilir.
17
MBTI sonuçları 4x4 karelajında tip açıklamalarıyla gösterilebilir. Hangi takım üyelerinin
değerlendirmeleri MBTI tipine uyuyorsa, adlarını sütunlara yerleştirin. Bu sizin için takımınıza
benzersiz bir bakış sunar ve üyelerin birbirleriyle daha iyi anlaşması ve iletişim kurmasını
sağlar.
Büyüme Safhası
Büyüme safhası sırasında takım bireylerden bir bütün olmaya doğru evrimleşir. Bu safhada
takım bilinci, takımın vizyon ve hedeflerinin yaratılması ve onaylanması hakkında devamlı
takviye yapılır.
Takım vizyonu oluştururken aceleci davranmayın. Grupta fikir birliği sağlamak genelde uzun
ve kimi zaman acılı bir süreçtir. Takım zekasını devreye sokmada takımın vizyona katılması
çok önemli bir yer tutar. Takım vizyonunu geliştirdikten sonra bunu günlük hayatın bir
parçası haline getirin. Örneğin her görüşmeye bir vizyon beyanı ile başlayın. Bunun
ezberlenmesini ve takımın anlamı etrafında hizalanmasını sağlayın.
Değerlendirme ve Geribildirim Döngüleri
Düzenli değerlendirme takımın aynı yöne gitmesi açısından anahtar bir bileşendir. Erkenden,
henüz gelişme döngüsünde hangi sıklıkla ve hangi biçimde geribildirimin tedarik edileceğine
karar verin. Geribildirim toplamanın bir yolu Post-it değerlendirmesi kullanmaktır. Burada
her takım üyesine bir post-it bloknotu verilir ve “nerede başarılıyız?”, “nerede gelişme
sağlayabiliriz?” gibi belirli sorulara verdikleri cevapları yazmaları istenir. Verilen cevapları ilgili
gruplara göre bir beyaz tahtada ayırın. Başarı sağlayabilmek için yollar konusunda beyin
fırtınası yapın ve takımın duraksadığı bölgelerle ilgili geliştirici fikirler üreterek işlemleri
güdüleyin. Bu yaklaşım takım uyumu oluşturur ve takıma ivme kazandırır.
Artık sıra, takımın zekasını, zeka döngüsünden önce hiç üstesinden gelinemeyen müşterilerin
en büyük problemlerini çözmekte kullanmaya gelmiştir. Takım artık müşteri ihtiyaçlarını
değerlendirmeye hazırdır ve yeni geliştirdiği iletişim ve vizyon yeteneklerini etkin bir şekilde
müşteri ile anlaşmak için kullanabilir.
Yansıma
Takım zekası döngüsel bir işlemdir ve takım performansı üzerinde yansıma ile başlayıp
bitmelidir. Takım zeka döngüsündeki ilk evrimini geçirdikten sonra, takım hedeflerini tekrar
değerlendirin, odak envanterini gözden geçirin, diğer adımları belirleyin ve döngüyü yeni
hedeflerle tekrar başlatın. Odak envanteri çekirdek vasıfları belirlemek için yaralı bir araçtır.
Bir hareket planı ve takımın gelişime bağlılığı ile birleştirildiği zaman size genel anlayışın
temel hattı olarak hizmet edebilir.
Sadece kuvvetli ve zayıf bölgeleri belirlemek takım zekasını oluşturmaz. Fakat takım
performansının maksimizasyonu yolunda ilk adımı temsil eder. Takım zekasını geliştirmek
çalışma, bağlılık ve hem lider hem de takım için zaman gerektirir. Gerçekçi hedefler koymak
ve değişim için yeterince zaman tanımak sonuçların randımanı açısından önemlidir.
Scott C. Holbrook, PMP, CISSP, küresel tıbbi aygıt üreticisi CaridianBCT’de Bilgi Güvenliği ve Felaket Kurtarma yöneticisidir.
Colorado’da ikamet etmektedir.
18
(ISC)²’den Kaynaklar
Bilgi Güvenliği İşe Alım Kaynakları Merkezi
(ISC)² Hakkında
Uluslararası Bilgi Sistemleri Güvenliği Sertifikasyon Konsorsiyum, Inc. *(ISC)²®+ bilgi güvenliği
profesyonellerini sertifikalamada dünya çapında tanınan Altın Standartı’na sahiptir. 20. Yılını
kutlarken (ISC)² 130’dan fazla ülkede 60.000’in üzerinde bilgi güvenliği profesyonelini
sertifikalandırmıştır. Palm Harbor, Florida ABD temelli kuruluşun Washington D.C., Londra,
Hong Kong ve Tokyo ofislerinde (ISC)², rekabet gerekliliklerini yakalamayı amaçlayanlar için
Sertifikalı Bilgi Sistemleri Güvenlik Profesyoneli (CISSP®) ve bununla ilgili derişimlerde
Sertifikalı Güvenli Yazılım Yaşam Döngüsü Profesyoneli (CSSLPCM), Sertifikasyon ve
Akreditasyon Profesyoneli (CAP®) ve Sistemler Güvenlik Pratisyeni (SSCP®) referansları
vermektedir.
(ISC)² CISSP ve ilgili derişimleri CAP ve SSCP sertifikasyonları, alanlarındaki bağlayıcı
ANSI/ISO/IEC Standart 17024 ile ilgili ilk bilgi teknolojisi referanslarıdır. Bu personel
değerlendirmesi ve sertifikalandırmasında küresel bir benchmark’tır.
(ISC)² aynı zamanda devamlı profesyonel eğitim programı sunmaktadır. Bu program (ISC)²’nin
CBK®’sı üzerinde temelli eğitim ürünleri ve hizmetlerden oluşan bir portfolyodur. CBK®, bilgi
güvenliği başlıkları ile ilgili bir dergidir ve (ISC)²’nin sorumluluğundadır.
Küresel Bilgi Güvenliği İşgücü Çalışması. Daha fazla bilgi için www.isc2.org sitesini ziyaret
ediniz.
© 2009, (ISC)² Inc. (ISC)², CISSP, ISSAP, ISSMP, ISSEP, CAP, SSCP ve CBK tescilli markalardır ve
CSSLP, is a (ISC)², Inc. bünyesindeki hizmet işaretidir.
19