wifi 21x29,7.indd 1 4/30/09 4:39 PM

Transkript

1

2

3 editörden Sağlığa giden yol bilgiden geçer Değerli dostlar, Yasin Keleş Saðlýk Biliþim Yöneticileri Açýlýmý Platformu Baþkaný Sabiyap yazarlarımızın sayısı gün geçtikçe çoğalmaktadır. Bu sevindirici durum dergimizin daha da zenginleşmesini sağlamıştır. Yeni sayımızda aramıza hızlı bir şekilde katılımlarını sürdüren çağrı merkezi, biyomedikal yöneticilerinden gelen yazılar ile dergimize yeni alanlar ekledik. Bu sayımızda ilk defa yer alan ve devamlılığını sağlayacağımız CEO bakış, ile sektörümüzün genel müdürleri işletmeci gözüyle sağlık bilişiminin önemini aktaracaklar. Doktor gözüyle, geçtiğimiz sayıda başlattığımız Bilişimci dostu doktor, doktor dostu bilişimci misyonumuzu devam ettirip üyelerimizin olduğu tüm hastanelerde hekimler belirliyoruz. Yakında Bilişimci dostu doktor ile Doktor dostu bilişimcilerin buluştuğu etkinliklerde bir araya geleceğiz. Her zaman olduğu gibi bu sayımızda da mesleki açıdan gündemimizde olan bilgi güvenliği, sanallaştırma, CRM, akıllı bina, akıllı kart uygulamaları gibi konuları işledik. Bunun yanı sıra yeni sayımızda, bir araya geldiğimiz etkinliklerimizden kareler ve gündemler bulabileceksiniz. Bilişimci dostu doktorumuz Doç.Dr. Remzi hocamızın dediğinden yola çıkarak Bilgininin güç, iletişimin ise zorunluluk haline geldiği günümüzde bu iki kavramı sağlık alanında çok iyi yorumlamış ve çalışma hayatında anlamlandırmış sağlık bilişimcilerine ihtiyacımız var. Bilgi bir kurumun gücü, iletişim ise o kurumun hizmet verdiği kitle ile arasındaki köprü gibi düşünürsek her iki kavram içinde bilgi sistemlerine ve bunu idrak etmiş sağlık bilişimcilerine ihtiyaç vardır. Sabiyap olarak her geçen gün sektörümüz için yeni hedefler belirlemeye ve mevcut sorunlarımızı masaya yatırarak çözümlemeye çalışıyoruz. Bunları yaparken kendi dokumuza uygun etkinliklerimiz ile buluşmalar sağlıyor, sağlık bilişimcilerini verimli kılmaya çabalıyoruz. Bu etkinlikleri sektörün diğer bileşenleri ile birlikte yaparak hedefe birlikte bakılması yönünde mutabakatı sağlama gayreti içerisindeyiz. Hep birlikte olduğumuz sürece sağlık bilişiminin bulunduğumuz sektöre katkısının katlanarak artacağına inanıyorum. Bilişimci dostu doktoruyla, bilişimci dostu hemşiresiyle, bilişim altyapılarına güvenen çağrı merkezi yöneticisiyle, bilişimciler ile birlikte çalışan biyomedikaliyle, bilişime inanan iletişimcisiyle, bilişimin önemini bilen genel müdürüyle, en önemlisi tüm bu gruplara VIP müşterisi gözüyle bakan sağlık bilişimcisiyle hepimiz SABİYAP ız ve sektörün çıtasını hep birlikte yükselteceğiz. SABİYAP 03

4 Sağlık Bilişim Yöneticileri Açılım Platformu (SABİYAP) adına İmtiyaz Sahibi : Yasin Keleş (SABİYAP Başkanı) yasin.keles@sabiyap.org Yönetim Yeri : Medikal Tanıtım Danışmanlık ve Organizasyon Hizmetleri Perpa Ticaret Merkezi B Blok Kat: 9 No:1436 Şişli-İstanbul Reklam Satış Sorumlusu : Ahmet Said Bulut ahmedsaidbulut@medikaltanitim.com Yapım : Medikal Tanıtım Danışmanlık ve Organizasyon Hizmetleri Tel: Baskı : Forart Basimevi Davutpaşa Cad. Davutpaşa Emintaş Sanayi Sitesi No:180 Topkapı-İstanbul Tel: Fax: Baskı Yeri ve Tarihi : İstanbul, Temmuz 2009 Yayın Türü : SABİYAP- Sağlık Bilişimi ve Teknolojisi Dergisi yerel, süreli yayındır. Yılda 4 kez yayınlanır. SABİYAP ve Sağlık Sektörü Yöneticileri ne ücretsiz olarak dağıtılır Bilgi güvenliği ve sağlık Bilginin büyük çoğunluğu basılı dokümanlarda iken, günümüzde bilgi teknolojileri tarafından işlenir duruma gelmiştir. Bilgi güvenliği ve yedekleme çözümleri Günümüzün en büyük tehdidi olan Hacker saldırılarına karşı, sadece anti-virüs veya sadece Firewall gibi tek nokta çözümleri ile cevap vermek mümkün olmuyor ISO Bilgi Güvenliği Yönetim Sistemi Standardı Bütün kuruluşlarda kapsamlı bir Bilgi Güvenlik Politikası belirleme ihtiyacı bulunmaktadır. İşletmeci bakışıyla sağlıkta bilişimin yeri Bilişimin sağlık sektörüne çığır açacak kadar faydaları mevcuttur. Sağlık platformunuz için BT altyapınızın dönüştürülmesi Yüksek düzeyde BT hizmeti sunmayı sürdürmek genellikle oldukça zordur. 04 SABİYAP

5 Tıp Teknolojisi ve Hasta-Çalışan Güvenliği Hasta sağlığı için çok önem arz eden cihazlar eğer bilinçli ellerde kullanılmaz ise şifa yerine zarar verirler. Sağlık Sistemlerinde Akıllı Kart Uygulaması E- Kartın sağladığı yararlardan biri olan sağlam istatistiki bilgidir Sanallaştırmaya kısa bir bakış 54 CRM in Sağlıklısı SaaS ile Olur? CRM deki C yani Customer yani Müşteri aslında çok ticari gibi görünse de bence aslında günlük hayatta da herkes birbirinin müşterisi Sanallaştırma Teknolojileri 57 Kısayoldan CRM e Ulaşmak Sağlık kurumunun en kolay değerlendirilebilen birimi Çağrı Merkezi hizmetidir. 48 Sanal Dünya 60 Staj Dönemi Eğitim mi? Deneyim mi? Mesela, aramızdaki en önemli fark; bizim jenerasyon daha gençken stajyer oluyordu. 64 Sanallaştırma Sınır tanımıyor 62 SABİYAP 05

6 bilgi güvenliği Bilgi güvenliği ve sağlık Dr. Ünal HÜLÜR Sağlık Bakanlığı Bilgi Sistemleri Daire Başkanı 06 SABİYAP Bilginin büyük çoğunluğu basılı dokümanlarda iken, günümüzde bilgi teknolojileri tarafından işlenir duruma gelmiştir. TÜBİTAK - UEKAE tarafından Türkiye de Bilişim Güvenliğiyle İlgili Yasal Altyapının Analizi konulu araştırma bilgi teknolojilerinin yaygınlaşması ile bilgi üretiminin ciddi boyutlarda artış gösterdiği bilgisini vermektedir. Bilgi teknolojileri yaygınlaşmadan önce, bilginin büyük çoğunluğu basılı dokümanlarda iken, günümüzde bilgi teknolojileri tarafından işlenir duruma gelmiştir. Buna paralel olarak bilgiye erişim imkânları geçmiş ile kıyaslanamayacak seviyede artmıştır. Bu durum, birçok dezavantajı beraberinde getirmektedir. Bilgi teknolojileri üzerinde bilinçli veya bilinçsiz yapılan hataların çok ciddi sonuçlar doğurması olasıdır. Bilgi teknolojilerindeki açıklıklar ve dikkatsiz yapılandırmalar bilgiye yetkisiz erişime yol açabilir. Bu durumda bilginin yetkisiz imhası, değiştirilmesi ve görülmesi söz konusu olabilir. Geçmişte sadece fiziksel güvenliğin tesis edilmesi ile sağlanan bilgi güvenliği, günümüzde kurumların en çok zorlandıkları ihtiyaçların başında gelmektedir. 1 Bilişimde yaşanan gelişmeler neredeyse bütün sektörleri sunduğu servis ve hizmetleri teknolojik gelişmelerle birleştirmeye yönlendirmiş ve aşamalı olarak bütünleştirilen sistemler erişim, kapsam, kalite, hız vb. açılardan geçmişe oranla daha etkili bir duruma gelmiştir. Sağlık sektörü de bilişim alanında gerçekleşen bu yenilikler ve gelişmelerden önemli ölçüde etkilenmiş ve etkilenmeye devam etmektedir. Birçok akademik kaynakta, bilgi güvenliğinin teknik ve teknolojik bir kavram olmadığı vurgulanmakta, bilgi güvenliğinin sağlanması için kurum kültürünün değiştirilmesi, kurum üst yöneticilerinin bilgi güvenliği ile ilgili süreçlerde rol alması gibi sosyal çalışmalara değinilmektedir. Sosyal boyut içerisinde yer alan önemli parametrelerden birisi de bilgi güvenliğinin yasal boyutudur. Gelişmiş ülkelerde ülke çapında tüm kurumları bağlayan düzenleyici bilgi güvenliği yasaları mevcuttur. Ülkemizde, düzenleyici mevzuat konusunda çalışmalar devam etmektedir. 2 Konuyla ilgili uluslar arası düzenlemelerde 2008 yılında yayımlanan ve sağlık sektörü için bilgi güvenliği esaslarını bizlere sunan yeni ISO standardı; ISO 27799:2008 (Sağlık Bilgileri Sağlıkta ISO/IEC bilgi güvenliği yönetimi) oldukça önemli. Bu standart son derece hassas olan kişisel sağlık bilgileri konusu ve bu bilgileri hem sağlık hizmetleri çalışanlarının erişiminin garanti edilmesi hem de gizliliğinin ve bütünlüğünün en iyi şekilde korunması konusunu değerlendirmekte ve bunu mümkün kılmak için bir hareket planı oluşturmaktadır. Sağlık bilgilerine her açıdan uygulanması öngörülen ISO 27799:2008, bilgilerin şekillendirilmesi, saklanması ve paylaşılması aşamasında gerekli olan tüm tedbirlerin alın-

7 ması ve güvenlik altında tutulması için detaylı standartlar da içermektedir. Aynı zamanda, ilgili Uluslar arası Standartları uygulayarak, sağlık hizmetleri organizasyonları ve sağlık bilgileri koruyucularına boyutlarına ve durumuna göre gerekli görülen güvenlik şartlarını da sağlayabilmektedir. 3 Ülkemizde, Devlet Planlama Teşkilatı Müsteşarlığı Bilgi Toplumu Dairesi tarafından hazırlanmış olan Bilgi Toplumu Stratejisi Eylem Planı 87 numaralı madde bilgi güvenliği ile ilgili yasal düzenlemeleri içermektedir. 4 Bu maddeye göre ülke güvenliğini ilgilendiren bilgilerin elektronik ortamda gerekli şekillerde korunması ve devletin bilgi güvenliği sistemlerinin geliştirilmesi amacına uygun yasal altyapı düzenlemelerin yapılması ve bu düzenlemelerin uygulamaya konulması hedefi belirtilmiştir. Bu konu ile ilgili olarak, 2009 hükümet programının E-devlet Uygulamalarının Yaygınlaştırılması Ve Etkinleştirilmesi başlığı altında, politika öncelikleri ve tedbirleri kapsamında Ulusal Bilgi Güvenliği nin sağlanması ile ilgili yasal düzenleme yapılması hedefi konulmuştur hükümet programında ortaya konulan hedefleri gerçekleştirmek için T.C. Başbakanlık ın önderliğinde ilgili kamu kurumlarının katılımı ile e-devlet mevzuat çalışma grubu oluşturulmuştur sayılı Resmi Gazete de yayınlanan E-dönüşüm Türkiye Projesi Birlikte Çalışabilirlik Esasları Rehberi nin amacı birbiri ile

8 E-dönüşüm Türkiye Projesi Birlikte Çalışabilirlik Esasları Rehberi nin amacı birbiri ile bütünleşmiş, etkin, şeffaf ve basitleştirilmiş iş süreçlerine sahip bir e-devlet yapılanması için kurumların kullanacakları ortak norm ve standartları belirlemektedir 08 SABİYAP bütünleşmiş, etkin, şeffaf ve basitleştirilmiş iş süreçlerine sahip bir e-devlet yapılanması için kurumların kullanacakları ortak norm ve standartları belirlemektedir. 6 Bu rehberin dört numaralı güvenlik başlığı altında, bilgi güvenliği yönetim sistemi, ortak kriterler standardı, elektronik imza ve kriptografi ile ilgili birlikte çalışabilirlik esasları yer almaktadır. T.C. Başbakanlık Personel ve Prensipler Genel Müdürlüğü tarafından hazırlanan ve 17 Şubat 2003 tarihinde imzalanan Bilgi Sistem ve Ağları için Güvenlik Kültürü konulu Başbakanlık Genelgesi, OECD Bilgi Güvenliği ve Kişisel Mahremiyet Çalışma Grubu tarafından hazırlanmış olan rehberin Türkçe çevirisidir. 7 Söz konusu genelge bilgi güvenliği ile ilgili bilinç, sorumluluk, risk değerlendirmesi, güvenlik tasarımı ve uygulama, güvenlik yönetimi gibi hususlar hakkında iyi pratiklere dayanan önerileri içermektedir. İlk kez 1992 de OECD tarafından yayınlanan Bilgi Sistemlerinin Güvenliğine İlişkin Rehber İlkeler, günümüze kadar, bilgi sistemleri ve ağlarının kullanılması ve tüm bilgi teknolojileri büyük ölçüde değişime uğramıştır. Bu rehber ilkelerin başlıca amaçları, bilgi sistem ve ağlarının koruma aracı olarak tüm kullanıcılar arasında güvenlik kültürünü teşvik etmek; bilgi sistemleri ve ağlarının karşı karşıya olduğu riskler ve bu risklere karşı mevcut politikalar, uygulamalar, önlemler ve prosedürlerle ilgili bilinci arttırmak ve bu yöntemlerin uygulanmasının gerekliliğini vurgulamak; bilgi sistemleri ve ağları ile bunların sunum ve kullanım yöntemleri konusunda tüm kullanıcıların güvenini artırmayı, kullanıcıların ağların güvenliğine yönelik ilgili politika, uygulama önlem ve prosedürlere uymasını ve saygı duymasını sağlamak ve tüm kullanıcılar arasında işbirliği ve bilgi paylaşımını teşvik etmektedir. Kaynakça * Resmi Gazete, 18 Ekim 2008 Gün ve Sayılı Resmî Gazete de Yayımlanan, 13 Ekim 2008 Gün ve 2008/14200 Sayılı 2009 Yılı Programının Uygulanması, Koordinasyonu ve İzlenmesine Dair Bakanlar Kurulu Kararı Eki- Tedbir 213, 30 Ekim 2008, Ankara * TÜBİTAK-UEKAE, Türkiye de Bilişim Güvenliğiyle İlgili Yasal Altyapının Analizi, Haziran 2009, Ankara * T.C. Başbakanlık Devlet Planlama Teşkilatı, Bilgi Toplumu Stratejisi Eylem Planı ( ), DPT Yayınları,Temmuz 2006, Ankara * T.C. Başbakanlık Devlet Planlama Teşkilatıi, Bilgi Toplumu Dairesi, edönüşüm Türkiye Projesi Birlikte Çalışabilirlik Esasları Rehberi Sürüm 2.0, DTP Yay., 2009, Ankara * T.C. Başbakanlık Personel ve Prensipler Genel Müdürlüğü, Bilgi Sistem ve Ağları için Güvenlik Kültürü, Sayı: B.02.0.PPG , Genelge 2003/10, Ankara * news04124.html 1 TÜBİTAK-UEKAE, Türkiye de Bilişim Güvenliğiyle İlgili Yasal Altyapının Analizi, Haziran 2009, Ankara. syf.1 2 İbid, syf news04124.html 4 T.C. Başbakanlık Devlet Planlama Teşkilatı, Bilgi Toplumu Stratejisi Eylem Planı ( ), DPT Yayınları, Temmuz 2006, Ankara. syf.33 5 Resmi Gazete, 18 Ekim 2008 Gün ve Sayılı Resmî Gazete de Yayımlanan, 13 Ekim 2008 Gün ve 2008/14200 Sayılı 2009 Yılı Programının Uygulanması, Koordinasyonu ve İzlenmesine Dair Bakanlar Kurulu Kararı Eki- Tedbir 213, 30 Ekim 2008, Ankara. syf T.C. Başbakanlık Devlet Planlama Teşkilatıi, Bilgi Toplumu Dairesi, edönüşüm Türkiye Projesi Birlikte Çalışabilirlik Esasları Rehberi Sürüm 2.0, DTP Yay., 2009, Ankara. Syf T.C. Başbakanlık Personel ve Prensipler Genel Müdürlüğü, Bilgi Sistem ve Ağları için Güvenlik Kültürü, Sayı: B.02.0.PPG , Genelge 2003/10, Ankara.

9

10 bilgi güvenliği Bilgi güvenliği ve yedekleme çözümleri Serdar MELEK Bilgi Sistemleri Müdür Yardımcısı Yavuz Selim Devlet Hastanesi Günümüzün en büyük tehdidi olan Hacker saldırılarına karşı, sadece anti-virüs veya sadece Firewall gibi tek nokta çözümleri ile cevap vermek mümkün olmuyor HBYS kullanımında; düzensiz yetkilendirme, güvenli olmayan Net ve WAN bağlantıları, doğru belirlenmemiş yetki şemaları, Bilgi Güvenliği politikaları Hastane Bilgi Sistemleri altyapılarına önemli zararlar verebilir. Günümüzün en büyük tehdidi olan Hacker saldırılarına karşı, sadece antivirüs veya sadece Firewall gibi tek nokta çözümleri ile cevap vermek mümkün olmuyor. Çünkü tehditler; gateway, server ve terminal (client) olmak üzere tüm katmanlara aynı anda ve geleneksel virüs saldırı yöntemlerinin yanı sıra hacker yöntemlerini de birleştirerek birden fazla saldırı gerçekleşebiliyor.. Bu sebeplerden dolayı hastanelerin birden fazla çözümü ortaya koyan Entegre Güvenlik Çözümlerini (UTM: Unified Threat Management) kullanması gerekir. Bilgi güvenligi (veri) ve Yedekleme (Back-up) örneklerinden bazıları; Anti-virüs Çözümleri Arşivleme / Yedekleme Çözümleri VPN Çözümleri UTM / Firewall Çözümleri Anti-virüs Çözümleri Hastanelerin bilgi güvenliği alt yapısı bütün olarak düşünülmelidir. Casus yazılımlar, istenmeyen ler, virüsler, oltalama (phising) saldırıları, içerik ve URL filtreleme gibi temel kavramlara cevap verebilmelidir. Verinin güvenliğine bütün olarak yaklaşma anlamında; masaüstü ve sunucu ayrı ayrı değerlendirilmeli ve birlikte yönetilmelidir. Anti-virüs çözümlerinden bazıları; Casus yazılımlara karşı koruma İçerik ve URL filtreleme Virüslere karşı korunma İstenmeyen koruması Depolama (arşivleme) ve Yedekleme Çözümleri Depolama yazılımları sayesinde; Tüm veriler depolanabilir ve bir arayüz sayesinde kolayca ulaşılabilir hale getirilebilir. Arşivleme SQL veritabanına yapılabildiği gibi özel veri tabanı dosyalarına da yapılabilir. Depolama yazılımları sayesinde; işletim sistemi, program dosyaları, yapılandırma dosyaları, disk imaj dosyası, güncellemeler, veri tabanları, güvenlik yamaları vb... tüm sunucu ve terminal verileri kolayca ve güvenli bir şekilde yedeklenebilir. Tehlikeli bir sistem hatasından sonra sunucu veya terminal sürücüsünde oluşan içerikleri bilinen hasarların alınan yedek sayesinde çalışan ortama tekrar yüklenmesi ile hasarlı / kaybolmuş veriler kayıpsız bir şekilde geri yüklenebilir. Yedekleme işlemi Yerel Alan Ağdan (LAN) ve uzaktan (remote) yapılabildiği gibi eş zamanlı (online) veya eş zamansız (offline) olarak yapılabilir. UTM / Firewall Çözümleri Bütünleşik Tehdit Yönetim Sistemleri: Hızla gelişen ve farklı alanlara yayılan güvenlik tehditlerine karşı tam güven- 10 SABİYAP

11 lik için hastaneler; güvenlik duvarından (Firewall) anti-virüse, web filtrelemeden saldırı önleme sistemlerine kadar her türlü alanda tedbirler almaları gerekmektedir. Bu tedbirleri ayrı ayrı çözümlemek mümkün ayrıca, yönetim avantajlarından dolayı tek bir Bütünleşik Tehdit Yönetim Sistemi (UTM) ile çözmek güncel bir yaklaşım olarak karşımıza çıkmaktadır. UTM özelliklerinden bazıları: Güvenlik Duvarı (Firewall): İnternet giriş ve çıkışı ile ilgili izinler ayarlanır VPN: Güvenli noktadan noktaya (site to site) veya SSL uzaktan erişim sağlar Saldırı Tespit ve Önleme (IDS / IPS): Ağ ve uygulama düzeyindeki tehditleri durdurur. Web Filtreleme: URL katagorileri ile internet kaynaklarının uygun olmayan web gezileri için kullanılmasını önler. Antivirüs Gateway: Gelen ve giden mail eklentileri, tüm ftp ve http trafiği (web tabanlı mailler dahil) web performansı düşürülmeden taranır. Anti Spam: Blaclist website ve domain tabanlı, kelime taraması (her kullanıcı için ayrı konfigürasyon edilebilirlik) ve dinamik puanlama sistemi ile güçlü ve doğru sonuç alınmaktadır. IM Filtreleme: Anlık mesajlama (Messenger vb...) uygulamaları için kural (izin verme, yasaklama) oluşturma imkanı sunar. Traffic Shaping: Uygulamalara ağda öncelik verilerek,messenger gibi çok gerekli olmayan uygulamalara düşük bant genişliği ayrılabilir. VPN Çözümleri Sanal Alan Ağları (VPN: Virtual Private Network); VPN kısaca, herkese açık bir ağ olan internet üzerinden verilerinizi güvenli bir şekilde geçirme olarak tanımlanabilir. Hastanelerin VPN i tercih etmesi için pek çok sebep sıralanabilir. Fakat en önemlisi hastanelerin interneti kullanarak iletişim maliyetlerini düşürmek istemesidir. VPN sayesinde Hastaneler VPN ile her lokasyon, diğer lokasyonlarla arasındaki bağlantıyı internet üzerinden kesintisiz ve yüksek hızla gerçekleştirir. VPN, Hastanelerin internet omurgasını kendi omurgaları gibi kullanmalarına imkân vermektedir. Güvenlik, verilerin bir noktadan diğerine aktarılırken şifrelenmesi ile gerçekleştirilir. Kiralık hat, Frame Relay, ISDN gibi bağlantı şekilleri kullanılarak birbirine bağlandığında aradaki hat özel bir hat olduğu için verilerin çalınması veya değiştirilmesi mümkün olmamaktadır. Fakat internet üzerinden verilerin taşınması söz konusu olduğunda verilerin güvenlik amacıyla şifrelenmesi gerekmektedir. VPN teknolojileri bunu sağlamaktadır. VPN i kullanım şekillerine göre ikiye ayırabiliriz: Site-to-Site VPN: Tüm lokasyonları ve merkezi güvenli bir biçimde birbirine bağlar. Remote Access VPN: Hastane dışında çalışmak durumunda olan mobil kullanıcıları, dial-up bağlantı kullanan küçük ofisleri ve ev-ofisleri güvenli bir şekilde merkeze bağlamak için kullanılır. VPN uzak bölgelerde, farklı ülkelerde ya da kıtalarda ofisleri olan veya farklı bölgelerde çok sayıda mobil kullanıcısı olan şirketler için ideal bir çözümdür. Hızla gelişen ve farklı alanlara yayılan güvenlik tehditlerine karşı tam güvenlik için Bütünleşik Tehdit Yönetim Sistemi ile çözme ihtiyacı olmuştur. SABİYAP 11

12 bilgi güvenliği McAfee Veri Koruması Bilgi sürekli haraket halindedir. Bu durum bilginin korunmasını zorlaştırır. Veri koruması daha farklı bir yaklaşım gerektirir. Bilgi kayıpları her geçen gün artıyor. Gelişmiş fonkisyonlu cep telefonları, taşınabilir bilgisayar ya da hafıza cihazları gibi fiziksel medyaların kaybına ek olarak istemli ya da istemdışı olarak kurumsal verilerin eposta, yazıcı çıktısı vb. yollarla kurum dışına bir güvenlik politikasına bağlı olmadan çıkartılması, önemli riskler içeriyor. Kurumlar bu tarz bilgi kayıplarından dolayı, yasal cezalar, marka imajının zarar görmesi, müşteri güven kaybı ve finansal kayıplar gibi çok ciddi sonuçlarla karşılaşmaya başladı yılında bilgi kaybından dolayı şirketlerin uğradığı zarar 6.3 milyar $ olmuştur ( Ponemon Institute s 2007 Cost of Data Breach Study). Ayrıca, özellikle sektörel ve genel uyumluluk gereksinimleri (ISO, HIPAA, COBIT, ITIL vb) de veri kaybı risklerinin elimine edilmesini gerekli kılıyor. Peki yapılan bunca güvenlik yatırımı firewal, ips, antivirüs sitemlerimiz vb. neden bunu engellemiyor? Cevap aslında çok basit. Çünkü bir çok güvenlik ürünü aslında bilgiyi korumaz. Ağı ve sunucuları korurlar. Gizlilik ve bilginin değiştirilemezliği konularına çözüm getirmezler. Bilgi sürekli haraket halindedir. Bu durum bilginin korunmasını zorlaştırır. Veri koruması daha farklı bir yaklaşım gerektirir. Veri statik değildir. Dolayısıyla güvenlik de statik olamaz. Veriyi takip ederek korumalıdır. Buna Veri Odaklı Koruma diyoruz. Kurumlarca önemli olan verinin dışarı çıkartılmasını engelleyen McAfee DLP (McAfee Data Loss Prevention ) ürünü istemci/sunucu teknolojisi ile çalışmaktadır. Her bir istemcide çalışan ve tek bir merkezden yönetilen ajan yazılımı yine tek bir merkezden işaretlenmiş (Tagging) dosya veya veri parçasının birden çok kanal kullanılarak sistem dışına aktarılmasına engel olur. Veriyi işaretlerken birden çok yöntemin kullanılabildiği bu teknolojide bu işaret dosyanın takibi amacı ile kullanılır. İşaret dosya boyutu veya dosya içeriğinde herhangi bir değişiklik yapmadığı 12 SABİYAP

13

14 gibi kullanıcılara hiçbirşekilde görünmez. Lokasyon tabanlı işaretleme metodu Bu metod yardımı ile bir veya birden çok dosya aynı anda işaretlenebilir. Örneğin bir sunucu belirli bir klasör altında tutulan önemli dosyalar klasör bazında işaretlenebilir. Herhangi yeni bir dosya bu klasör altına altıldığı zaman işaretleme otomatik olarak gerçekleşir. Birden çok farklı sunucu aynı anda kullanılabilir. Klasör bazlı otomatik işaretleme yapılabildiği gibi örneğin bir klasör altındaki dosya tipleri de işaretlenebilir. Örneğin aynı klasör altındaki *.Doc dosyalarının işaretlenmesi istenebilir ama *.Txt dosyaları bundan muaf tutulmak istenebilir. DLP buna olanak tanır. Uygulama bazlı işaretleme metodu Bir önceki metoddan farklı olarak işaretlenmesi istenen dosyaların bir uygulamanın çıktısı olması da istenebilir. Örneğin Microsoft word,excel gibi ürünlerin çıktıları (*.Doc,*.xls) otomatik olarak işaretlenebilir. Dolayısıyla lokasyon bağımsız işaretlemeye olanak tanınmış olunur. İçerik tabanlı işaretleme metodu Eğer istenilen dosya bazında işaretleme değil de dosyanın içersindeki bir veri parçacığı ise bu metod kullanılır. Bir dosyanın içersinde yer alan bir paragraf seçilebilir ve işaretlenebilir. Dosyalar veya veri bir kez işaretlendikten sonra dosyanın ağ üzerindeki seyahati her bir istemcide çalışmakta olan DLP ajan yazılımları tarafından izlenir. Dosyanın isminin değiştirilmesi, uzantısının değiştirilmesi, zip veya arj gibi formatlarla sıkıştırılması, parola verilip sıkıştırılması ve hatta şifrelenmesi dosyanın izlenmesine bir engel oluşturmaz. Verinin hangi kanallar ile kurum dışına çıkarılabileceği veya çıkarılamayacağı kurallar ile tanımlanır. Active directory desteği olan DLP ürünü üzerinde Active Directory tabanlı grup veya kullanıcı bazlı tanımlamalar yapılabilir. Bu kullanıcılar veya kullanıcı grupları yaratılacak olan kurallar içesinde kuralların hangi kullanıcılar için etkin olacağını belirlemekte kullanılır. McAfee DLP verinin izin verilen kullanıcılar tarafından dışarıya çıkarılmasını engeller veya sadece izler. İzin verilen kullanıcıların veriyi dışarıya çıkarmakta kullanabileceği kanallar ve McAfee nin buna sunduğu çözümler aşağıdaki gibidir. SMTP İşaretlenmiş dosyaların e-posta ile dışarıya çıkmasını engeller. HTTP Post İşaretlenmiş verinin web tabalı e-posta sistemlerine aktarılmasına veya internet forum sayfalarına kopyalanmasını egeller. P2P & IM Msn Messenger, yahoo, icq, e-mule, torrent gibi uygu- 14 SABİYAP

15 lamalar kullanılarak verinin dışarıya çıkması engellenir. FTP Verinin FTP yazılımları ile system dışına çıkarılması engellenir. Print-Out Verinin print-out yapılmasını engeller. Screen Capture- Klavyede yer alan screen capture tuşu ile verinin kopyalanıp başka bir tip dökümana yapıştırılması engellenir. Kopyala / Yapıştır Verinin Kopyala / yapıştır metodu ile system dışına alınması engellenir. Fiziksel Yöntemler Verinin USB disk, cd/dvd yazıci, floppy disk ve benzeri yöntemler kullanılarak dışarıya alınmasını engeller. Ağ Bağlantıları Tüm giden ve gelen TCP/UDP trafiği denetlenebilir. Bu kurallar yaratılırken oldukça farklı tipte tanımlamalar yapılabilir. Örneğin X kullanıcısı korunması istenen veriyi sadece belirli yazıcılardan alabilirken Y kullanıcısı veriyi sadece belirli e-posta domainlerine gönderebilir. Verinin veya dosyanın işaretlenmesi o veri veya dosyanın dışarı çıkmasına engel değildir. Kurallar yaratılırken verinin dışarıya çıkmasının engellenmesi veya sadece monitor edilmesi olarak farklı kategoriler kullanılabilir. Böylece erişim izni verilen kullanıcıların veri ile neler yaptığı izlenmiş olur. X kullanıcısının e-posta yolu ile dışarıya çıkarmaya çalıştığı veri kanıt olabilmesi açısından DLP sunucuda tutulur. DLP monitor kullanılarak hangi zamanda hangi kullanıcı hangi kanalı kullanarak hangi veriyi sistem dışına çıkarmaya çalışmış rahatlıkla gözlemlenebilir. Kurumsal seviye cihaz şifreleme (device encryption) Herhangibir son kullanıcı eğitimi ya da eforu gerektirmeden otomatik olarak tüm cihazı şifreler. Sistem kaynaklarını etkilemez. AES-256 and RC gibi çoklu algoritmaları destekler. Yetkili kullanıcıları birden çok kimlik doğrulama metodu ile tanıyabilir. Dosya ve klasör şifrelemede süreklilik Dosya kullanımda olmasa bile otomatik olarak eklenen bir dosya başlığı ile -ki bu sürekli dosya ile hareket eder- dosyanın herzaman şifreli olduğuna emin olabilirsiniz. Nereye kayderseniz edin, bu lokal hard disk, klasör,file server, USB disk vb. dosya ve klasörler tüm eklentileri ile birlikte sürekli güvendedir. Merkezi yönetim konsolu (epo- Event Policy Orchestrator) epo yu kullanarak istediğiniz detayı belirtip yetkisiz erişim isteklerini tespit edip ve gizli bilgileriniz için içerik tabanlı filtreleme, izleme ve bloklama yapabilirsiniz. Tüm bilgilerin ya da belirli klasörlerin şifrelenmesi, politika kontrolü, yama yönetimi gibi fonksiyonların yönetimi Mevzuat uygunluğunun raporlanması olanaklıdır. Güvenlik politikalarınızı Active Directory, Novell NDS, PKI, ve diğerleri ile senkronize etmek. İleri düzeyde raporlama ve denetleme kapasitesi Yapılan işlemleri gönderici, alıcı, zaman bilgisi, veri bilgilerini kaydetmek için loglayabilir, son başarılı sisteme giriş zamanı, alınan son güncelleme tarih ve zamanı, şifrelemenin başarılı olup olmadığı bilgisini alabilirsiniz. SABİYAP 15

16 bilgi güvenliği Cumhur AYDINLI Fatih Ünv. Hastanesi Bilgi Sistemleri Yöneticisi ISO Bilgi Güvenliği Yönetim Sistemi Standardı Bilginin güvenliği son yıllara kadar işletmelerin Bilgi İşlem Bölümlerine verilmiş bir görev olarak algılanmaktaydı. Ancak bilginin korunması bir işletmenin tüm bölümlerinin, tüm çalışanlarının görevidir. Bunun gerçekleşmesi ise bilgi güvenliği yönetim sisteminin uygulanması ve sürdürülmesi ile mümkün olmaktadır. Bütün kuruluşlarda kapsamlı bir Bilgi Güvenlik Politikası belirleme ihtiyacı bulunmaktadır. Bütün kuruluşlarda kapsamlı bir Bilgi Güvenlik Politikası belirleme ihtiyacı bulunmaktadır. Hem çok önemli şirket bilgilerinin hem de müşteri bilgilerinin gizliliği, bütünlüğü ve mevcudiyetinden emin olmak gerekmektedir. Bilgi Güvenliği Yönetim Sistemi (BGYS) ISO standardı, tüm kuruluş türlerini (örneğin, ticari kuruluşlar, kamu kurumları vs.) kapsar. Bu standart, dokümante edilmiş bir BGYS yi kuruluşun tüm ticari riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsamaktadır. Kısaltmalar Kısaltma BGYS BT IT Açık Adı Bilgi Güvenliği Yönetim Sistemi Bilişim Teknolojileri İng. Information Technologies ISMS İng. Information Security Management System TSE Türk Standartları Enstitüsü BSI İng. British Standards Institution İngiliz Standartlar Enstitüsü PUKÖ Planla, Uuygula, Kontrol, Önlem ISO (International Organization for Standardization) Uluslararası Standard Organizasyonu EN (Europeane Norm),Avrupa Standardları PDCA İng. Plan, Do, Check, Act Sistem Ve Yönetim Sistemi Kavramları Yönetim: Bir kuruluşun idare ve kontrolü için koordine edilmiş faaliyetler. (TS EN ISO 9000:2007) Sistem: Birbirleriyle ilişkili veya etkileşimli elemanlar takımı. (TS EN ISO 9000:2007) Yönetim sistemi: Politika ve hedefleri oluşturma ve bu hedefleri başarma sistemi. (TS EN ISO 9000:2007) Not: Kullanılan dilde, yönetim terimi bazen insanlara atıf yapar. Meselâ, bir kuruluşun sevk ve kontrolünden sorumlu ve yetkili kişi veya kişiler grubu. Yönetim bu anlamda kullanıldığında yukarıda tarif edilen yönetim kavramıyla karıştırılmasını önlemek için daima niteleyicinin herhangi bir şekliyle beraber kullanılmalıdır. Meselâ, yönetim yerine üst yönetim kullanılması gibi. 16 SABİYAP

17

18 Yönetim sistemi yukarıda tarif edildiği gibi politika ve hedefleri oluşturma ve bu hedefleri başarma sistemi olup çok geniş bir alanda uygulanabilirdir. Yönetim sisteminin uygulama alanına göre değişmeyen öğeleri mevcuttur. Bu öğeler, yönetim sistemi hangi konuda oluşturulursa oluşturulsun sistemde mutlaka bulunur. Yönetim sisteminin bu öğeleri arasında proses yaklaşımı, doküman yönetimi ve kayıt yönetimi, yönetim sisteminin oluşturulduğu konudaki politika ve hedeflerin belirlenmesi, kaynak yönetimi, kaynak sağlanması, eğitim, iç tetkikler, yönetim sistemi gözden geçirmesi, düzeltici ve önleyici faaliyetler ve iyileştirme (PUKO döngüsü) öğeleri sayılabilir. Yönetim Sistemleri Standartları Yönetim sistemi yaklaşımı esas alınarak ulaşılmak istenen hedef için; kalite yönetim sistemi (ISO 9001), çevre yönetim sistemi(iso 14001), iş sağlığı ve güvenliği yönetim sistemi(ohsas 18001), gıda güvenliği yönetim sistemi(iso 22000), bilgi güvenliği yönetim sistemi (ISO 27001) vb. alanlarında uluslar arası standartlar oluşturmuştur. Bu standartlar incelendiğinde, hepsinde yukarıdaki maddede anılan ve yönetim sistemi yaklaşımının karakteristik özelliklerini temsil eden öğelerin bulunduğu görülecektir. Bilgi güvenliği konusunda oluşturulan uluslar arası standardın yapısı da söz konusu karakteristik özellikleri taşır. Bilgi güvenliği yönetim sistemi BGYS: Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve geliştirmek için, iş riski yaklaşımına dayalı tüm yönetim sistemlerinin bir parçası.(ts ISO/IEC 27001:2006) Not: Yönetim sistemi, kurumsal yapıyı, politikaları, planlama faaliyetlerini, sorumlulukları, uygulamaları, prosedürleri, prosesleri ve kaynakları içerir. Bilgi Güvenliği Günümüz dijital ekonomi dünyasında, bilgiye sürekli erişimi sağlamak ve bu bilginin son kullanıcıya kadar bozulmadan, değişikliğe uğramadan ve başkaları tarafından ele geçirilmeden güvenli bir şekilde sunulması giderek bir seçim değil zorunluluk haline gelmektedir. Yaşanan tüm bu süreçler bilginin kaynağı ve değerlendirilmesinin yanı sıra Bilgi Güvenliği ile ilgili kavramların incelenmesini de gerekli kılmaktadır. Bilginin oluşma sürecine bakıldığında ham verilerin (data) toplandıktan sonra enformasyona dönüştüğünü, bunların işe yarar ve bizlere katma değer yaratabilecek bilgilere çevrildiğini, en sonunda ise tüm bilgilerin sistematik ve etkin bir şekilde insan aklı ile birlikte yoğrulup değerlendirilerek bundan buluşların ve yeniliklerin ortaya çıktığını görürüz. Tüm dünyada yaygın bir yaklaşımla bilgi güvenliği ile ilgili üç terim öne çıkar: 1. Gizlilik (confidentiality): Önemli, hassas bilgilerin istenmeyen biçimde yetkisiz kişilerin eline geçmemesini. 2. Bütünlük(integrity): Bilginin bozuk, çarpık ve eksik olmamasını 3. Erişilebilirlik (availability): (kullanılırlık) ise bilgi veya bilgi sistemlerinin kesintisiz şekilde kullanıma hazır veya çalışır durumda kalmasını hedefler. 18 SABİYAP

19 Bilgi Güvenliğinin Sağlanmasının Önemi Son yıllarda bilgisayar ve internet kullanımının hızla yaygınlaşarak artması sonucu, kişiler, kurumlar ve kuruluşlar işlerini artık çok büyük oranda elektronik ortamlarda gerçekleştirmektedirler. Bunun sonucu olarak e-ticaret, e-kurum, e-devlet, e-imza, e-posta gibi kavramlar hızla klasik çalışma biçimlerinin yerini almaktadır. Bu değişimi günlük yaşantımızda neredeyse her alanda görebilmekteyiz. Örneğin bankacılık işlemlerini bankaya gitmeden evimizdeki, iş yerimizdeki kişisel bilgisayarlarımızla veya cep telefonlarımızla yapabilmekteyiz. Vergi ve ceza ödemeleri yapmak, pasaport başvurusunda bulunmak, seyahat rezervasyonları yapmak, tamirdeki cihazlarımızın hangi aşamada olduğunu öğrenmek, hatta dizüstü bilgisayarlarımızla mobil bilgi işlem uygulamaları yapmak günümüzde sıradan olaylar olarak algılanmaktadır. Ancak, bilgisayarlaşma hızındaki bu baş döndürücü gelişmelere paralel olarak kişiler, kurumlar ve işletmelerin sahip oldukları veriler, bilgisayar kullanılarak yapılan sahtekarlıklar, bilgi hırsızlığı, bilgisayar korsanları, elektronik saldırılar, bilgi sızdırma ve ilgili kuruluşların kendi çalışanlarınca oluşturulabilecek potansiyel iç saldırılar gibi çok geniş bir yelpazeye sahip kaynaklardan gelen tehdit ve tehlikelerle karşı karşıyadır. Özellikle bilgisayar virüsleri, kötü niyetle bilgisayarları ağ üzerinden ele geçirerek bilgisayarlara zarar veren kişilerin kullandığı yöntemler, kişisel ve kurumsal bilgilerin izinsiz olarak elde edilmesi veya değiştirilmesi konusundaki tehditler artarak sürmekte olup, kişiler ve kurumlar bu tehlikeler karşısında giderek daha riskli bir duruma gelmektedirler. Hizmetlerin internet ortamında sunulma eğiliminin artması, açık ve özel ağlar arasındaki geçişler, bilgilerin halka açık sistemlerle paylaşılması gibi uygulamaların artması sonucu bilgilere erişimin yetkilendirilmesi ve denetlenmesi güçleşmektedir. Bilgi güvenliğini tehdit eden unsurlar sadece elektronik ortamda yapılan saldırılarla sınırlı değildir. SABİYAP 19

20 Bilgi güvenliğini tehdit eden unsurlar sadece elektronik ortamda yapılan saldırılarla sınırlı değildir. Yangın, sel, deprem v.b. doğal afetler veya kullanıcı hataları sonucunda da bilgiler ve bilgi sistemleri tamamen ya da kısmen zarar görebilmektedir. Özellikle kurum ve kuruluşların kuruldukları günden bu yana tüm faaliyetlerini içeren bilgilerin yok olması, tüm kurumsal belleğin bir anda silinmesi anlamına gelecektir. Bilginin bu şekilde değerlenmesi, kurumların ürün ve hizmet bilgilerinin yanı sıra, stratejik, finansal, pazar bilgilerinin rakiplerden ve yetkisiz erişimlerden korunması, süreçlerin hızlı ve kusursuz bir yapıda işlerliği, tüm bunlara hizmet veren bilgi teknolojilerinin (IT) alt yapısı, işletim yazılımları, iletişim ağları, bilgi yönetimi vb unsurların bir sistem dahilinde düzenlenmesi ve ele alınması gerekliliğini ortaya çıkarmıştır. 7- Bilgi Güvenliğinin Yönetilmesi Ve Bu Konudaki Standardizasyonun Tarihsel Gelişimi Kurumların internet veya özel iletişim hatları üzerinden akan verilerinin güvenliğinin sağlanması amacıyla kullanılabilecek pek çok teknoloji bulunmakta olup fiziksel güvenlik yapıları, kullanıcı doğrulaması, şifreleme ve erişim / içerik denetimi bunlara örnek olarak sayılabilir. Ancak yalnız teknolojik önlemlerle (anti-virüs, firewall sistemleri, kripto vb.) iş süreçlerinde bilgi güvenliğini sağlama olanağı yoktur. Bilgi güvenliği, kurumsal süreçlerin bir parçası olmalı ve bu bakımdan bir iş anlayışı, yönetim ve kültür sorunu olarak ele alınmalıdır. Her kurum mutlaka kurumsal güvenlik politikası oluşturmak, bunu yazılı olarak dokümante etmek ve çalışanlarına, iş ortaklarına, paydaşlarına aktarmak zorundadır. Tüm çalışanlar bilgi güvenliği konusunda bilinçli olmalı, erişebildikleri bilgiye sahip çıkmalı, özenli davranmalı, üst yönetim tarafından yayınlanan bilgi güvenliği politikası kurum açısından bilgi güvenliğinin önemini ortaya koymalı, sorumlulukları belirlemeli, çalışanlarını bilgilendirmeli ve bilgi güvenliği sistemi iş ortaklarını da(müşteri, tedarikçi, taşeron, ortak firma vb.) kapsamalıdır. Bilgi güvenliği bir iş yönetimi ile ilgilidir. Bu nedenle günümüzün rekabet ortamında global ekonominin içinde var olmak için kurumsal bilgilerimizi koruma ve güvence altına alma, bunu bir yönetim sistemi yaklaşımı içinde kurumsal düzeyde yaygınlaştırma mecburiyeti, kurumları Bilgi Güvenliği Yönetim Sistemi kurmaya ve kullanmaya zorlayacaktır. Vazgeçilmez bilgilerin ve önemli bilgi sistemlerinin korunabilmesi, iş risklerinin en aza indirgenmesi ve iş sürekliliğinin sağlanması ancak bütünsel yaklaşımlar ile sağlanabilir. Bilgi Güvenliği Yönetim Sistemi (BGYS - Information Security Management System, ISMS) bilgilerin her ortamda (kağıt üzerinde, elektronik ortamda, yazılı ve sözlü iletişimde vb.) güvenliği için öngörülen yönetsel çerçeveleri oluşturur. BGYS nin kurulması demek, olası risklerin ve tehditlerin belirlenmesi, güvenlik politikalarının oluşturulması, denetimlerin ve uygulamaların kontrolü, uygun yöntemlerin geliştirilmesi, örgütsel yapılar kurulması ve yazılım/donanım fonksiyonlarının sağlanması gibi bir dizi denetimin birbirini tamamlayacak şekilde gerçekleştirilmesi ve sistematik biçimde işletilerek sürekli iyileştirilmesi anlamına gelmektedir. Kurumların kendi iş süreçlerini bilgi güvenliğine yönelik risklerden korumaları ve önleyici tedbirleri sistematik biçimde işletebilmeleri için uluslararası bilgi güvenliği standartları geliştirilmiştir. Bu standartlardan en önemlisi İngiliz Standartlar Enstitüsü BSI tarafından geliştirilen BS-7799 olup bu standart daha sonra ISO standardı haline getirilerek pek çok ülke tarafından resmi bilgi güvenliği standardı olarak kabul edilmiştir. ISO/IEC (BS :2000) Standardı Kısım-1 olarak bilinmektedir ve orijinal adı Information Technology Code of Practice for Information Security Management dır. Bu kısımda bilişim güvenliği için çalışma kuralları anlatılmakta olup, içerdiği 11 bölüm içerisinde 127 ana kontrol maddesi bulundurmaktadır. BS (Kısım-2) olarak bilinen ve orijinal adı Information Security Management Systems Specification with Guidance for Use olan bölümde ise bilgi güvenliği yönetim sistemleri (Information Security Management System, ISMS) spesifikasyonlarına değinilmektedir. Kısım iki, daha sonra ISO/IEC (ISO/IEC 27001:2005) olarak uluslararası bir standart haline gelmiştir. BSI (British Standards Institution) önderliğinde 1993 yılında başlatılan ilk bilgi güvenliği standardı çalışmalarında endüstri, devlet ve ticari kuruluşlardan gelen, ortak bir güvenlik yapılanması isteği büyük rol oynamıştır. Bu isteğin asıl nedeni, kuruluşların birbirleriyle yaptıkları işlerin yürütülmesi sırasında karşılıklı olarak asgari düzeyde güvenlik seviyesini sağladıklarını birbirlerine göstermek ihtiyacını hissetmeleridir. Bu çalışmaya katılan kuruluşlar arasında British Standards Institution, British Telecommunications, British Security Industry Association gibi yaklaşık 25 şirket bulunmaktadır. Ülkemizde de bu standardın 1. kısmı 11 Kasım 2002 tarihinde TS ISO/ IEC adıyla ve 2. kısmı ise TS olarak 17 Şubat 2005 tarihinde TSE tarafından kabul edilmiştir. Ancak, BS olarak bilinen ve standardın ikinci kısmı olan BS ye 5 ana madde daha eklenerek toplam 15 ana maddeye çıkarılmış olup, yeni adıyla ISO olarak Ekim 2005 te ISO tarafından yayımlanmıştır. TSE ise ISO in yerelleştirmesini 2006 başında tamamlamıştır. 20 SABİYAP