KURUMSAL BİLGİ GÜVENLİĞİ Bilgi nedir? Prof. Dr. Şeref SAĞIROĞLU Gazi Üniversitesi Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü Maltepe/Ankara Paylaşdığımız? Paylaşmadığımız? Bilinmeyenler mi? SS@gazi.edu.tr http://w3.gazi.edu.tr/~ss Bilinenler mi??????????????? 1/57 2/57 Kurumsal Bilgi nedir? Bilgi? Paylaşdığımız? Paylaşmadığımız? Bilinmeyenler mi? Bilinenler mi????? İşlenmiş veridir. Bir konu hakkında belirsizliği azaltan kaynaktır (Shannon). Kişi/kurum/kuruluşlar için önemli ve değerli olan bir kaynaktır ve korunması gerekir. Veri (data), bilgi (information), ve özbilgi (knowledge) 3/57 4/57 BİLGİ (Veri)? İngilizce karşılığı olarak data, Latince datum (çoğul şekli data ve vermeye cesaret etmek fiilinin geçmiş zamanı, dolayısıyla verilen şey ) Latince data (dedomena) kavramının M.Ö. 300 yıllarında Öklid in bir çalışmasında geçtiği bildirilmektedir. Dilimizde de verilen şey anlamında, veri olarak kullanılmaktadır. Bilişim teknolojisi açısından veri, bir durum hakkında, birbiriyle bağlantısı henüz kurulmamış bilinenler veya kısaca, sayısal ortamlarda bulunan ve taşınan sinyaller ve/veya bit dizeleri olarak tanımlanabilir. 5/57 BİLGİ (Bilgi)? Bilgi, verinin belli bir anlam ifade edecek şekilde düzenlenmiş halidir. Veri ve ilişkili olduğu konu, bağlamı içinde bilgi üretecek şekilde bir araya getirilir. İşlenmiş veri olarak da ifade edilebilecek bilgi, bir konu hakkında var olan belirsizliği azaltan bir kaynaktır. Veri üzerinde yapılan uygun bütün işlemlerin (mantığa dayanan dönüşüm, ilişkiler, formüller, varsayımlar, basitleştirmelerin) çıktısıdır. 6/57 1
BİLGİ (Özbilgi)? Tecrübe veya öğrenme şeklinde veya iç gözlem şeklinde elde edilen gerçeklerin, doğruların veya bilginin, farkında olunması ve anlaşılmasıdır. Verileri bir araya getirip, işlemek bilgiyi oluştursa da; özbilgi, kullanılan bilgilerin toplamından daha yüksek bir değer sahip bir kavramdır. Bir güç oluşturabilecek, katma değer sağlayabilecek veya bir araç haline dönüşmek üzere, daha fazla ve özenli olarak işlenmiş bilgi, asıl değerli olan özbilgidir. 7/57 Veri-Bilgi-özbilgi? Veri (data), bilgi (information), özbilgi (knowledge) basamaklarıdır. Gerçeklik (reality) ile hikmet (wisdom) arasında gösterilen bu merdivenin basamakları Çoğu durumda her basamak, atlanmadan teker teker geçilir. Yukarıya çıktıkça elimizdeki şeyin miktarı azalırken; değeri artar. Tehdit Skalası Yine yukarıya çıktıkça bir sonraki basamağa adım atmak daha da zorlaşır ya da daha çok çaba ister. 1 0.8 Genel olarak bilimin getirdiği yöntemlerden ölçme ile, 0.6 eldeki gerçeklikten veriye ulaşılır; 0.4 ispat ile, veriden bilgiye ulaşılır ve 0.2 0 kavrayış ile, bilgiden özbilgiye ulaşılır. Bir özbilginin gerçeklik haline dönüştürülmesi de mümkündür. Bunun Devlet / Profesyonel Politik/Militan/Kriminal için yönetim biliminden yararlanılır. Serseri 8/57 Veri Bilgi Tehdit Skalası Özbilgi? Bilgiyi anlamlandırma 1 0.8 0.6 0.4 İlişkiler Enformasyon- İlişkileri anlama Bilgi- Örüntüyü Anlama Akıl- İlkeleri Anlama 0.2 0 Veri Anlam http://www.systems-thinking.org Schuler, 2003, data-wisdom 9/57 10/57 Devlet / Profesyonel Politik/Militan/Kriminal Serseri Güvenlik? Karşılaşılabilecek tehditlere karşı önlem alma Kişi ve kurumların BT kullanırken karşılaşabilecekleri tehdit ve tehlikelerin daha önceden analizlerinin yapılarak gerekli önlemlerin alınmasını sağlama Bilgi Güvenliği? Dünya gündeminde bir konudur. Bilginin bir varlık olarak hasarlardan korunması Doğru teknolojinin doğru amaçla ve doğru şekilde kullanılarak bilginin her türlü ortamda istenmeyen kişiler veya sistemler tarafından elde edilmesini önleme 11/57 12/57 2
Kurumsal Bilgi Güvenliği? Dünya gündeminde bir konudur. Kurumların sahip olduğu bilgi varlıklarının hasarlardan korunması Doğru teknolojinin doğru amaçla ve doğru şekilde kullanılarak kurum bilgi varlıklarının bilgi güvenliği yönetim sistemleriyle her türlü ortamda istenmeyen kişiler, kurumlar veya sistemler tarafından elde edilmesini önleme 13/57 Neden Kurumsal Bilgi Güvenliği? stratejik öneme sahip değerli bilginin korunmasına ihtiyaç var. içinde bulunduğumuz yüzyılda en önemli çalışma alanlarından biri Bilişim toplumu olma yolunda emin adımlarla fakat yavaş ilerleyen bir ülkemiz var. bilişim teknolojisini kullanan her seviyedeki personel, kurum ve kuruluşlarda, bilişim güvenliği kavramını ve farkındalığını oluşturmak, MALIMIZI, İTİBARIMIZI korumak Kurumlarımızın bilgi varlıklarını korumak, Geleceğimizi korumak.. 14/57 Neden Önemli? bilişim sistemlerinin yaygınlaşmasıyla ülkelerin ve organizasyonların varlıklarının temeli olan stratejik bilgilerin üretilmesi, işlenmesi, saklanması, iletilmesi ve işlem yapılması, günümüz rekabet koşulları çıkar, rant, ekonomik avantaj ve rekabet gücü sağlayacak kişi, kurum ve hatta ülkeler tarafından potansiyel bir hedef Mevcut Korkular? yüksek Daha kötü Kötü haber düşük Saldırganlar tarafından ihtiyaç duyulan teknik bilgi ve yetenek Sofistike ataklar 1975 1980 1985 1990 1995 2000 2005 2008 15/57 16/57 Arabağlantılar? Neden KBG? e-türkiye, e-devlet, e-dönüşüm Türkiye Türkiye de Internet in 15. yılı Web tabanlı uygulamalar yaygınlaşıyor Sayısallaşma arttıkça bilginin paylaşımı artıyor ve hızlanıyor Kurumların web sayfaları portallara dönüşüyor.. Yasal zorunluluklar.. Bilgi toplumu olma hedefi Bilgi Ekonomisine geçiş zorunluluğu m-li terimler hayatımızda Paylaşılan/erişime açılan bilgi miktarı artışı 17/57 18/57 3
Neden KBG zordur? Bilgi Yönetimi Karmaşık yapılara sahip, Bilginin üretimi ve paylaşımını gerektiriyor. Teknoloji, insan ve eğitim İnsan yönetimine Süreç yönetimine Bilgi yönetimine Bilgi birikimine İlişkilendirme, Standartlaşmaya Kalite olgusunun yerleşmesine Bilginin değerinin bilinmesine Kurumsal hafızaya ihtiyaç var 19/57 Bilgi varlıklarını korumak, gücünü artırmak, bilgiyi bir kaynak olarak geliştirmek ve yönetmek İlk konferans, 21. Yüzyıla Doğru Bilgi Varlıklarının Yönetimi, 1987, Purdue Ün. bilgi yönetimi, Mc Kinsey, Ernest&Young toplantılar, konferanslar 1998 bir sempozyumda, kurumların bilgi nehirlerine ulaşmak isterken, veri selleri arasında boğuldukları 20/57 Bilgi Yönetimi Bilgi Yönetimi bilgi keşfetme, yaratma, yayma ve kullanma sürecidir. Bilgi; gizli-açık, kodlanmış-kodlanmamış, basılıelektronik, soyut-somut, yapılandırılmışyapılandırılmamış, Üretilme, paylaşılma, yapılandırılma, kullanılma ve denetlenme gibi süreçlerden geçerek örgüt içerisinde birer varlığa dönüşmektedirler. Veri ambarları, veri tabanları, bilgi merkezleri ve çalışanların gizli bilgileri, kurumların temel bilgi varlıklarını oluşturmaktadır. Bilgi varlıklarının kimlerde olduğu nerelerde bulunduğu, kimlerin kullanıldığı, nelerin yapılabileceği, bilgiyi kullanmak için hangi kurumsal ve davranışsal engellerin ortadan kaldırılması gerektiği gibi sorulara yanıt arar. 21/57 22/57 Bilgi Yönetimi Ortak Düşünceler.. Çevre Siyasi, Ekonomik, Yasal, Toplumsal Kurumsal Strateji Liderlik, Teknoloji, Öğrenme ve Örgütlenme... Kurumlarda bilgi varlıkları korunmaz, değerlendirilmez ve geliştirilmez ise kurumlar yok olur. Bilgi varlıkları değerlidir. Kurumlar bu değeri ölçmelidir. Finansal yöntemler bilgininin değerini ölçmede yetersizdir. Başka ölçme yöntemleri geliştirilmelidir. 23/57 24/57 4
Ortak Düşünceler.. Bilginin üretilmesi ve paylaşılması, BİT ve insan kapasitesinin uyumu ile üretilebilir ve paylaşılabilir. Her ikisinin birlikteliğini destekleyecek ortamlar yaratılmalıdır. Değer üreten personeli, varlık olarak personel giderleri içinde göstermek yanlıştır. İnsana yatırım yapmanın yolları aranmadır. Ortak Düşünceler.. Bilgi varlıklarının üretim, paylaşım e güvenliğinin destekleyecek organizasyonel yapılar kurulmalıdır. Bürokratik-hiyerarşik yapılar bilgi varlıklarının önünde engeller oluşturabilmektedir. Kurumlarda bilgi varlıkları birikimi değerlendirilmelidir. 25/57 26/57 Bilgi Yönetimi Yaklaşımları Kurumsal Bilgi Varlıkları? Teknoloji Odaklı Bilgi paylaşımını ve yönetimini kolaylaştırılacak teknolojilere ve bunların kurumsal düzeyde kullanımına ağırlık verilir Örgütsel Bilgi yönetim sürecini kolaylaştırmak üzere teknolojinin örgütsel yapılanma ve yönetsel süreçlerle uyumlu kullanımına ağırlık verilir. Ekolojik Bilgi yönetiminde teknoloji, yönetim, örgütlenme ve çevresel faktörleri kapsayan bütüncül bir yaklaşım benimsenir. 27/57 Bilgisayarlar, Sunucular, Bellek üniteleri, Patentler, Ticari markalar Kurumun kayıtlı tasarımları (projeler, vs.) Lisanslar Veri tabanları Kuruma özgü geliştirilen teknolojiler, iş yapma biçimleri/yöntemleri 28/57 Kurumsal Bilgi Varlıkları? Geçmişe ait bilgiler, Geleceğe ait düşünceler, planlar Çalışanların bilgi ve beceri düzeyleri, uzmanlıkları Kurumun herhangi bir işle ilgili bilgisi (know-how) Diğer Kurumlarla ilişkileri Maliyet ve satış bilgileri Kurum, ürün ve hizmetlerinin yapılanması Kurumun fiyat politikaları.. 29/57 Bilgi Yönetiminde Yaşanan Sorunlar-1 Paylaşım Bilginin güç olduğu bilinciyle paylaşmama isteği, ödüllendirme ve yükseltilme kaynağı Bilginin kiminle ve nasıl paylaşılacağının bilmemesi Öğrenilenlerin diğerleri için değerinin farkına varılmaması, önemsenmemesi. Çalışanların çoğunlukla meşgul olmaları ve paylaşımın zaman alması 30/57 5
Bilgi Yönetiminde Yaşanan Sorunlar-2 Bilgi Yönetiminde Yaşanan Sorunlar-3 Yöneticilerin süreci bilmemeleri veya yönetememeleri Kurumlarda üst düzey yöneticilerin bilginin üretilmesi ve yönetilmesi gereken bir kaynak olduğunu bilmemeleri Bilginin değerinin garkında olmamaları Bazende gözardı etmeleri Sahip olunan bilgi varlıklarının farkında olmamaları kurum çalışanların zihinlerinde bulunan ve dosyalarda yer alan bilgi varlıklarından habersizdir. Bilgi transferinin zor olması Birimler arası bilgilerin bile bilinmemesi Kurum içinde birimler arasında çoğu zaman bilgilerin zor transfer edilebilir. Transferin önemsenmesi, teşvik edilmemesi 31/57 32/57 Bilgi Yönetiminde Yaşanan Sorunlar-4 Yönetsel Düzeylere Göre BY ile ilgili hangi sorulara yanıt aranır? Bilgi varlıklarının değerinin ölçmesinin zorluğu bilgi soyut bir kavram, yöntem geliştirme zorluğu Bilgi güvenliğini sağlamanın zorluğu bilgi güvenliği yönetimine yeterli önem verilmemesi, bilgi güvenliği modelinin kurumda bilgi paylaşımını yok edecek tarzda yönetilmesi. Uzman personel azlığı, Eğitim azlığı Yüksek maliyet gerektirmesi 33/57 Niçin Yönetilmelidir? NİÇİN? NE? Öncelikler nelerdir? Nasıl uygulanmalıdır? NASIL? 34/57 Bilgi Yönetim Süreci (Kaynak: T. K. BENSGHİR, TODAİE, Ocak 2008) Zack Bilgi Boşluğu Analizi Modeli Kurumunuz ne biliyor? BİLGİ-STRATEJİ BAĞLANTISI Kurumunuz bildikleriyle ne yapabilir? BİLGİ BOŞLUĞU STRATEJİK BOŞLUK Kurumunuz ne bilmelidir? STRATEJİ-BİLGİ BAĞLANTISI Kurumunuz bildikleriyle ne yapmalıdır? 35/57 36/57 6
Kurumsal Bilgi Güvenliği KBG bir ürün değil bir süreçtir. En zayıf halkası ise insandır. Teknoloji sorunu olarak bakmamak gerekiyor. Fiziksel-Yönetimsel-Teknik İnsan-Eğitim-Teknoloji Bilgisayar ağına saldırganların nasıl sızabileceğini söylemez. Yaşayan bir süreç olarak kurumsal bilgi güvenliğinin nasıl yönetileceğini tanımlar. Kayıplarının %80 inden fazlası yazılımsal veya donanımsal değil insan hatası veya kastı ile gerçekleşen durumlardır. Bu nedenle etkin bir yönetim yapısı ve BGYS takımına etkin bir yönetim desteğinin yanı sıra yoğun bir bilinçlendirme faaliyeti ISO 27001 in kaçınılmaz gerekliliklerindendir. Kurumsal Bilgi Güvenliği Nasıl Sağlanır? 37/57 38/57 KBG Sistemi Kurma Aşamaları BGYS kurmanın yararları Varlıkların sınıflandırılması Gizlilik, bütünlük ve erişebilirlik kriterlerine göre varlıkların değerlendirilmesi Risk analizi Risk analizi çıktılarına göre uygulanacak kontrolleri belirleme Dokümantasyon oluşturma Kontrolleri uygulama İç tetkik Kayıtları tutma Yönetimin gözden geçirmesi Belgelendirme 39/57 Bilgi varlıklarının farkına varma: Kuruluş hangi bilgi varlıklarının olduğunu, değerinin farkına varır. Sahip olduğu varlıkları koruyabilme: Kuracağı kontroller ile koruma metotlarını belirler ve uygulayarak korur. İş sürekliliği: Uzun yıllar boyunca işini garanti eder. Ayrıca bir felaket halinde, işe devam etme yeterliliğine sahip olur. İlgili taraflar ile barış halinde olma: Başta tedarikçileri olmak üzere, bilgileri korunacağından ilgili tarafların güvenini kazanır. Bilgiyi bir sistem sayesinde korur, tesadüfe bırakmaz. Müşterileri değerlendirirse, rakiplerine göre daha iyi değerlendirilir. Çalışanların motivasyonunu arttırır. Yasal takipleri önler Yüksek prestij sağlar 40/57 Genel Değerlendirme Bilgi sistemleri güvenliği ciddi olarak ele alınması gereken bir konudur. Neyin korunacağını bilmek en önemli adımdır. Nasıl korunacağını veya korunamayacağını bilmek (risk yönetimi) işin özüdür. Uygulama safhası doğru yolda olunduğunun, Gözleme, izleme ve denetim de etkinlik ve başarının anahtarıdır. 41/57 Genel Değerlendirme Bilginin değerinin bilinmesi Bilgi güvenliğinin bilinmesi ve uygulanması, Yapılması gerekenlerin daha önceden belirlenmesi, Güvenliğin bir bütün olarak ele alınması, Güvenlik kültürünün yaygınlaşması, Bilgi güvenliği risk yüzdesinin düşürülmesi, İyi bir bilgi güvenliği yönetim sistemi kurulmalı eğitim ile desteklenmeli ve belirli aralıklarla denetlenmeli, Kurumsal bilgi güvenliği oluşturulmalı 42/57 7
Genel Değerlendirme Fiziksel güvenlik Bilgi bulunduran ortamların korunması İnsan faktörü (eğitim ve bilinçlendirme) Teknoloji Güvenlik duvarları Anti-virüs yazılımları Sayısal imza Atak tespit sistemleri Şifreleme metotları Uluslar arası KBG standartları dikkate alınarak Kalite olgusunun farkında olunarak SORU-CEVAP KATKILAR 43/57 44/57 8