Professional Documents
Culture Documents
1
İŞG104U-ÇALIŞMA HAYATINDA BİLİŞİM, BELGE YÖNETİMİ
Ünite 2: İnsan Kaynakları Yönetiminde Bilgi ve Belge Güvenliği
Gizlilik kavramını mahremiyet (privacy) ile • Yeni işe alınacak personelin belgelenmiş olan bu
özdeşleştirmemiz mümkündür. Gizlilikle ilgili kavramlar sorumlulukları algıladığından emin olunmalıdır.
temel olarak önemli bilgilerin yanlış kişilerin eline • Yeni işe alınacak olan personelin, gizlilik ve
geçmesini engellemek amacını güder. Bilgiye erişim, ilgili açığa çıkarmama anlaşmalarını imzalaması işe
konudaki yetkili kişiler ile sınırlı tutulmalıdır. Gizlilik alınma şartının bir parçası olarak istenmelidir.
kavramı açısından gerekli şartların sağlandığı çeşitli • Gizlilik ve açığa çıkarmama anlaşmaları, işe
örnekler verebiliriz. İnternet bankacılığı kullanımı alınan personelin ve kuruluşun bilgi güvenliği
sırasında hesap numaralarının gizliliğinin korunması ve sorumluluklarını kapsıyor olmalıdır.
yetkisiz kişilerin eline geçmemesi bu konuda bir örnek
olabilir. Bu amaca yönelik olarak veri şifreme (data Bunun yanı sıra, bilgi güvenliği bilincinin yerleşmesi
encryption) gibi tekniklerden faydalanılabilmektedir. adına kurumların çalışan personellerine belirli aralıklarda
eğitim aldırmaları söz konusu olabilir. Bir diğer taraftan
Bütünlük kavramı, bilgilerin eksiksiz, tutarlı ve doğru da bilgi güvenliği politikalarına uyulmaması durumunda
olması anlamını taşımaktadır. Bütünlüğün bozulmasına uygulanacak bir disiplin süreci olmalıdır.
izin vermemek için yedekleme gibi bir takım yöntemler
kullanılmalıdır. Bunun yanısıra bilgilerin bütünlüğünün Aynı şekilde kurumların işten ayrılan personelleri için de
doğrulanması için de bir takım yöntemler mevcuttur. bilgi güvenliği açısından yapılması gerekenleri belirlemiş
Bilgisayar ağları üzerinden yapılan veri aktarımları olması gerekmektedir. İşten ayrılma veya görev değişikliği
sonrasında hedefe ulaşan verilerin bütünlüğünün halinde kurum çalışanlarının kuruluşun bilgi işlem
doğrulanmasını buna örnek olarak verebiliriz. araçlarına ve gizlilik içeren belgelerine erişim hakları
kaldırılıyor veya gerektiği gibi yeniden düzenleniyor
Kullanılabilirlik kavramı, bilgilerin ihtiyaç olmalıdır.
duyulduğunda yetkisi olan kişiler tarafından erişilebilir
olmasıdır. Kullanılabilirliğin daha iyi anlaşılması için Bilgi ve Belge Güvenliğine Yönelik Bilişim Suçları
şöyle bir örnek verebiliriz. İnternet sitelerindeki bilgilere Bilişim Suçlarını İşleyenler
erişim kimi zaman çeşitli sebeplerden dolayı kesintiye Bilgi güvenliğine yönelik saldırıların amacı çoğunlukla
uğrayabilmektedir. Bu durumda, bu bilgiler yetkili işleyen sistemleri bir şekilde kesintiye uğratmak veya
kullanıcılar tarafından kullanılabilir olmamaktadırlar. sistemlerin işleyişini tamamen durdurmaktır. İnternet
Belge, bilginin çeşitli şekillerde kayıt altına alınmış sitesinin hizmet vermesini engellemek, internet sitesini
halidir. Dolayısıyla, bilgi güvenliği için yapılan tanımlar başka sayfalara yönlendirmek, internet sitesinin içerdiği
genel olarak belge güvenliğini de kapsamaktadır. Belge dosya ve bilgilere zarar vermek gibi eylemleri bilgi
güvenliği, önemli belgelerin depolanması, yedeklenmesi güvenliğine yönelik saldırılara örnek verebiliriz. İnternet
ve bu belgelere yetkisiz kişilerin erişiminin engellenmesi suçları konusunda ilk akla gelenlerden birisi şüphesiz ki
şeklindeki işlemler topluluğu olarak tanımlanabilir. Belge İngilizce “hacker” olarak adlandırılan ve Türkçe karşılığı
güvenliği, belge yönetim sistemleri ve elektronik belge “bilgisayar korsanı” olan kişilerdir. Bilgisayar korsanı,
yönetim sistemleri açısından son derece önemlidir. Basılı sözlük anlamı olarak başka kişilere ait bilgi sistemlerindeki
belgeler için ilk akla gelen kapalı ve herkesin bilgileri gizlice kullanan veya değiştiren kişiler olarak
erişemeyeceği fiziksel alanlarda tutulmalarıdır. Böyle bir tanımlanır. Bilgisayar korsanları, her ne kadar bilgi
güvenlik önleminin kurumlarda mevcut işlerin akış hızını güvenliğini tehdit etme özellikleri ortak noktaları olsa da
etkilemeyecek şekilde tasarlanması gerekir. Örneğin belge amaçlarına göre farklı gruplara ayrılırlar. Bilgisayar
güvenliği açısından Türkiye’de kamu kurum ve korsanlarını daha fazla sayıda grup ile ifade etmek mümkün
kuruluşlarında temelde 4 adet gizlilik seviyeleri ön olmakla beraber bu bölümde 3 temel bilgisayar korsanı
görülmektedir. Bu gizlilik seviyeleri “Çok Gizli”, ”Gizli”, grubu üzerinde duracağız. Bu gruplar, beyaz şapkalı, kara
”Özel” ve ”Hizmete Özel” olarak adlandırılmaktadır. Bu şapkalı ve gri şapkalı bilgisayar korsanlarıdır;
gizlilik seviyelerinin amaçları ile ilgili tanımlar kanunlarla
• Beyaz Şapkalı Bilgisayar Korsanları (White Hat
belirtilebilmekte ve belgelere atanan gizlilik seviyelerine
Hacker): Bu gruptaki bilgisayar korsanları aynı
göre erişim yetkileri tanımlanabilmektedir
zamanda etik bilgisayar korsanları olarak da
Bilgi ve Belge Güvenliğinde İnsan Faktörü bilinirler. Amaçları sadece bilgi sistemlerinin açık-
İnsan faktörünü, insan kaynakları yönetiminde bilgi ve larını tespit etmektir ve bilgi sistemlerinin içerdiği
belge güvenliği açısından değerlendireceğiz. Örneğin, işe bilgilere zarar verme eğiliminde değillerdir. Hatta
alınma süreçlerinde aday personel için bilgi ve belge kimi zaman şirketlerin bilgi sistemlerinin güvenlik
güvenliğine yönelik olarak aşağıdaki koşulların düzeyini test etmek amacıyla bu türdeki bilgisayar
sağlanmasına dikkat edilebilir: korsanları ile çalışmaları söz konusu
olabilmektedir. Bu sayede bilgi sistemlerinin
• Kurumun bilgi güvenliği ile ilgili politikaları açıklarını kapatabilmektedirler.
doğrultusunda yeni işe alınacak personelin üzerine • Kara Şapkalı Bilgisayar Korsanları (Black Hat
düşen sorumluluklar belgelenmiş olmalıdır. Hacker): Bu gruptaki bilgisayar korsanları bilgi
sistemlerine yetkisiz giriş yaparak sistemlerin
2
İŞG104U-ÇALIŞMA HAYATINDA BİLİŞİM, BELGE YÖNETİMİ
Ünite 2: İnsan Kaynakları Yönetiminde Bilgi ve Belge Güvenliği
işleyişine ve içerdiği bilgilere zarar vermek sunucularının aşırı yüklenmesine veya internet
amacını güderler. Şu an için daha çok beyaz sayfalarına erişim hızının düşmesine neden
şapkalı bir bilgisayar korsanı olduğunu olabilmektedirler.
söyleyebiliriz. • Tuş kaydedici: İngilizce “keylogger” olarak
• Gri Şapkalı Bilgisayar Korsanları (Grey Hat adlandırılan bu kötü amaçlı yazılımlar bilgisayar
Hacker): Bu gruptaki bilgisayar korsanları kara veya başka elektronik cihazlarda yazılan her şeyi
şapkalı bilgisayar korsanları ile beyaz şapkalı kaydeden ve başkalarının bu bilgileri toplamasına
bilgisayar korsanlarının karışımı niteliğindedir. izin veren programlardır. Genellikle bilgisayar
Genel olarak kötü amaçlı olmasalar da bilgi kullanıcılarının girdiği kullanıcı adı ve şifre gibi
sistemlerindeki güvenlik açıklarını bazen kendi bilgileri izinsiz şekilde elde etmeyi amaçlarlar.
çıkarları için kullanabilirler. • Casus yazılım: İngilizce “spyware” olarak
adlandırılan bu kötü amaçlı yazılımlar
Bilişim Suçları
bulundukları bilgisayardaki kişisel bilgileri veya
Şu ana kadar bilişim suçlarını işleyen insan grupları internet aktivitelerini bilgisayar korsanlarına
hakkında bilgi verdik. Şimdi ise bu insan gruplarının suç gönderen programlardır. Hedef bilgisayara bir
işlerken kullandıkları kötü amaçlı yazılımları detaylı bir kez bulaştıktan sonra çeşitli yollarla daha fazla
şekilde ele alacağız. Kötü amaçlı yazılımlar, İngilizce yayılmaya ihtiyaç duymazlar. Casus yazılımın
“malicious software” veya kısaca “malware” olarak amacı girilen sistem içerisinde gizli kalarak
adlandırılan ve bilgi sistemlerine zarar verebilen istenen bilgileri toplamaktır. Bu bilginin kredi
yazılımlardır. Bu tür yazılımlar, e-Posta eklerindeki kartı numarası gibi önemli bir bilgi olması dahi
dosyalar ve sosyal medyadaki bağlantı linkleri gibi çeşitli söz konusu olabilir.
yolları kullanarak yayılırlar. Kötü amaçlı yazılımlar virüs,
truva atı, solucan, tuş kaydedici, casus yazılım gibi alt Bilişim Suçlarına Karşı Alınabilecek Önlemler
başlıklar altında toplanmaktadır. Kurumlar, bilgi sistemlerinin güvenliğini sağlamak ve
• Virüs: Bilgisayara kullanıcıların bilgisi olmadan bilişim suçlarının önüne geçebilmek için teknik anlamda
yüklenen ve kullanıcının isteği dışında işlemler çeşitli önlemler alabilirler. Aşağıdaki bahsedilen
yapan bir programdır. Virüslerin kendi kendine gruplardaki önlemler bunlara örnek olarak verilebilir.
kopyalayarak çoğalması da söz konusu Kimlik Yönetimi ve Doğrulama
olabilmektedir. Virüsler genelde “exe” veya Bilgi sistemlerine erişim için kullanıcılara verilecek olan
“bat” gibi dosya uzantılarına sahiptirler. Virüsler, yetkiler ve kullanıcı şifresi doğrulama yöntemleri bu
bilgisayarlara bulaşıp yerleşme şekillerine göre kapsamda değerlendirilebilir. Daha önce de bahsettiğimiz
temel olarak dosya virüsleri, önyükleme sektörü gibi her bir kullanıcıya veya kullanıcı grubuna olması
virüsleri, makro virüsler, ağ virüsleri gibi değişik gerektiği kadar yetki verilmesi gerekir. Kimi zaman farklı
gruplara ayrılabilmektedirler. yetkilendirme derecelerinin tanımı ile uğraşmak istemeyen
• Truva atı: İngilizce “trojan horse” olarak kişiler her bir kullanıcıya yönetici yetkisi dahi
adlandırılan bu kötü amaçlı yazılımlar tanımlayabilmektedirler. Bu tarz yaklaşımların istenmeden
bilgisayarların yetkisiz kişilerce uzaktan birtakım bilgi ve belgelerin kaybedilmesine yol açması
kullanılabilmesine imkân sağlayan programlardır. oldukça olasıdır.
Bu tip programlar, mitolojideki Truva
savaşındaki hediye görünümlü Truva atının kenti Bir diğer hususta bilgi sistemlerinde tanımlı olan kullanıcı
ele geçirmek isteyen askerlere kentin kapılarını şifrelerinin kolayla tespit edilebilir olmamasıdır. Bir başka
açması gibi bir rolü bilgisayar ortamında yöntem de bankaların kimi zaman uyguladığı gibi sisteme
oynamaktadırlar. Kullanıcıların Truva atını içeren giriş yapmak isteyen kullanıcıların cep telefonu veya
yazılımı çalıştırmasıyla birlikte bilgisayar tanımlı başka iletişim araçlarına gönderilen şifrelerin
korsanları bilgisayardaki bir takım kaynaklara girilmesidir. Kimlik doğrulama için farklı güvenlik
erişebilirler. seviyelerine uygun olacak şekilde değişik çözümlerin
• Solucan: İngilizce “worm” olarak adlandırılan bu üretilebilmesi de mümkündür.
kötü amaçlı yazılımlar kendilerini başka Ağ Güvenliği
bilgisayarlara yayılmak için çoğaltan
Kurumların içerisindeki bilgisayarlar kablolu veya
programlardır. Bu tip programlar, içerisinde
kablosuz yerel ağlar üzerinde haberleşmektedir. Bu
yayıldıkları bilgisayar ağlarını yavaşlatırlar.
sebeple, bilgisayar ağının dış tehditlere karşı korunması
Solucan bir kez sisteme girdikten sonra kendi
önem arz etmektedir. Bu anlamda kurumların bilgi
başına ilerleyebilir. Örneğin, içerisine girdiği
sistemlerinde merkezi olarak konumlandırılmış bir takım
bilgisayardaki e-Posta adreslerini elde ederek
yazılım veya donanımlardan bahsetmemiz söz konusu
başka kişilere kendi kopyalarını gönderebilir. Ağ
olacaktır. Buna bir örnek olarak güvenlik duvarı (firewall)
kaynaklarının yüksek oranda kullanılmasından
yazılımını verebiliriz. Güvenlik duvarı (firewall), yerel ağ
dolayı ilgili ağların kilitlenmesine, e-Posta
ile dış ağlar arasındaki trafiği kontrol eden yazılım veya
3
İŞG104U-ÇALIŞMA HAYATINDA BİLİŞİM, BELGE YÖNETİMİ
Ünite 2: İnsan Kaynakları Yönetiminde Bilgi ve Belge Güvenliği