Bilişim Akademi ve Kalite Sistemleri Koordinatörümüz Sayın Ayşe Eser Baransel'in makalesi ICTMEDIA dergisinin Aralık sayısında yayınlandı.

Bilgi Güvenliği ile ilgili yazım tararken onca teknoloji, onca saldırı yöntemi arasında, psikoloji ve yalınlık ilkesiyle yeniden karşılaşmak benim için hoş bir sürpriz oldu. İnsan makine etkileşimi, kullanıcı arayüzlerinin kullanılabilirliği ve sistemlerin başarısı için yalınlık ilkesine bir yazılımcı olarak çok ilgi duymuş, çok kafa yormuştum. Sanat eserlerinde gözlemlediğim yalınlık da bende hep hayranlık uyandırır. Az sözcükle anlaşılır ve etkileyici bir yazı yazmak, az çizgiyle güzel bir resim yapmak çok güçtür, sanatsal yeteneğin yanında büyük ölçüde ustalık gerektirir. Bilgi güvenliği alanında, 1974 yılında yazılmış bir makalede ortaya konan benzer bir tasarım ilkesinin 43 yıldır aynen geçerli olmasını beklemiyordum doğrusu. Jerome Saltzer ve Michael Schroeder'in "the Protection of Information in Computer Systems" başlıklı yazılarının son ilkesi, psikolojik kabul. Özetle, sistemlerin güvenlik mekanizmalarının doğru biçimde kullanılabilmesinin, arayüzün, kullanıcıların akıllarındaki güvenlik görüntüsüyle doğal biçimde eşleşmesine bağlı olduğunu bildiriyor. Bilirsiniz, evlerine çok akıllı güvenlik sistemleri kuran birçok kişi, sistemin gelişkin işlevlerini, bir gece yarısı buzdolabına giderken yaşanan ve tüm evi, siteyi ve/ ya da mahalleyi ayağa kaldıran alarm olaylarını yaşadıktan sonra devre dışı bırakırlar.

Sistem Yöneticiniz, kullanıcı parolası belirleme kurallarını güçleştirdikçe, parolaların daha kırılamaz, dolayısıyla da sistemin daha güvenli hale geldiğini düşünebilir. Ama, "kullanıcı parolası en az 12 karakter olmalı, içinde anlamlı bir sözlük geçmemeli, aynı karakter tekrarlanmamalı, vb" biçiminde ilerleyen kuralların sayısı ne kadar çoksa, kullanıcılar parola belirlerken o kadar bunalacaklardır. En az 20 başarısız denemeden sonra sisteme kabul ettirebildikleri parolalarım akıllarında tutamayacakları için büyük bir olasılıkla bilgisayarın yakınında bir yerde duran kağıda yazacaklardır. Tasarladığınız sistem karmaşıklaştıkça, kullanışlılığı azalacaktır. Genellikle karmaşıklık güvenliğin düşmanıdır. Kullanıcılar kullanım zorluğundan kaçmak için işlerini öngörülmedik akışlar belirleyerek yapmaya çalışacaklar, büyük bir olasılıkla da buldukları bu yollar, sistemde yeni güvenlik açıklarına neden olacaktır. Microsoft'ta çalışan Scott Culp'ın, "Güvenliğin 10 Değişmez Kuralı" (İng. "10 Immutable Laws of Security") başlıklı makalesine bilgi güvenliği yazımnda sıkça rastlanır. İki numaralı kural "Güvenlik yalnızca güvenli yol gerçekten kolay uygulanabilir bir yolsa çalışır" diyor. ISO/IEC 27001, bilgi güvenliği ile ilgili en çok bilinen uluslararası standarttır.

Bu standart, bizlere siber güvenlik teknolojilerini tanımlamak yerine bilgi güvenliğini bir sistem yaklaşımı ile sağlama ilkelerini belirler. Standart, sosyal mühendislik tehlikeleri ile ilgili olarak zayıf bulunur ama bilişim sistemlerinin yanı sıra fiziksel çevre güvenliği, iş sürekliliğinin sağlanması ve insan kaynakları gibi konulara değinir. Özellikle insan kaynakları önemlidir, çünkü teknoloji tek başına bütün güvenlik sorunlarını önlemeye yetmiyor. En gelişkin teknolojik araçlarla korunan bir bilgisayar ağı= olabilir ama kurumdan mutsuz ayrılan eski çalışanlar hâlâ kullanıcı kodu ve parolalarını kullanabiliyorlarsa ağınız tehditlere açık demektir. "İki kişinin bildiği, artık sır değildir" sözü doğru olsa da, insanların paylaşmak istemediği bilgileri, sistemlerinin zafiyetlerinden yararlanarak çalmak, ifşa etmek, işlerini yapamaz hale getirecek biçimde sistemlerini bozmak hem suç hem de ahlâksızlıktır. Gerek siber saldırıyı yapan insanlar, gerekse de saldırılardan zarar gören kurbanları düşündüğümüzde, bilgi güvenliği aslında doğrudan insanla ilgilidir. Kimi ciddi saldırı olaylarında, saldırganların bir güvenlik açığı bulmak için çalışması gerekmemiştir bile. Içeride çalışan bir insanı avlamak ya da kandırmak yeterli olmuştur. Yine de, genellikle bilgi güvenliğinde daha çok teknik önlemler üzerinde yoğunlaşılır. Güvenlik politikaları, Bilgi Güvenliği Yönetim Sistemlerinin ve 27001 standardının en önemli öğeleridir. Amaç, teknolojinin doğru biçimde kullanılabilmesi, güvenlik zincirinin en zayıf halkası olan insan faktörünün göz ardı edilmesini engellemektir. Ne var ki, bu politikaların doğru biçimde oluşturulması, psikolojik kabul ve yalınlık ilkeleriyle birlikte, sağduyu, deneyim, yapabilme bilgisi, başka bir deyişle ustalık gerektirir.

"Tasarladığımz sistem karmaşıklaştıkça, kullanışlılığı azalacaktır. Genellikle karmaşıklık güvenliğin düşmanıdır. Kullanıcılar kullanım zorluğundan kaçmak için işlerini öngörülmedik akışlar belirleyerek yapmaya çalışacaklar, büyük bir olasılıkla da buldukları bu yollar, sistemde yeni güvenlik açıklarına neden olacaktır."

Ayşe Eser Baransel
BilişimAkademi ve Kalite Sistemleri Koordinatörü
eser@bilisim.com.tr

Bilişim Akademi ve Kalite Sistemleri Koordinatörümüz Sayın Ayşe Eser Baransel'in makalesi ICTMEDIA dergisinin Aralık sayısında yayınlandı.

Bilişim AŞ Müşterilerinden Savunma Sanayi’nin Önde Gelen Firmaları Aselsan, Havelsan ve FNSS ‘Defense Top 100’ Listesinde Yer Aldı

İncele

Bilişim AŞ ekibi K.K.T.C'de

İncele

Eker Plastik, BilişimERP'yi Tercih Etti.

İncele

Forbes: Kendimize yabancılaşmamak için yerliliğe ve fikri mülkiyete önem vermeliyiz

Genel Müdürümüz Hüseyin Erdağ'ın Röportajı Forbes Dergisinin

İncele

13. İstanbul Bilişim Kongresi’ndeydik!

İncele

Yürütme Kurulu Üyemiz Ulaş Kula İlk 50'de!

İncele

WEBİNAR: İş Zekâsı, Veri Platformu ve Modern Veri Analizi Yaklaşımları 2020

İncele

Türkiye Bankalar Birliği’nin Veri Sorgulama Sistemini Yeniledik!

İncele

Web Sitemiz Yenilendi!

Kurumsal Web Sitemiz Yeni Arayüzü ve Yeni İçerik Yapısı ile Yayına Alındı.

İncele

Yılın En İyi Bilişim Firması Ödülü

"Hacettepe Üniversitesi Kristal Geyik Ödülleri”nde mühendislik alanında Yılın En İyi Bilişim Firması Ödülü’ne Bilişim AŞ layık görüldü.

İncele

Kayseri Akıllı Bilişim Teknolojileri Konferansı gerçekleştirildi!

İncele

Konya Ticaret Odası Karatay Üniversitesi insan kaynakları yazılımı olarak BilişimHR ürününü tercih etti.

2005 yılında kuruluş çalışmalarına başlanan Konya Ticaret Odası Karatay Üniversitesi, Konya Ticaret Odası Eğitim ve Sağlık Vakfı tarafından Konya’nın ilk vakıf üniversitesi olarak eğitim...

İncele

Kamu Bilgi ve İletişim Teknolojileri" Konferansında Gebze'deydik.

İncele

BTvizyon Toplantısında Kayseri'deydik.

İncele

Akıllı Bilişim Teknolojileri Konferansı Gerçekleştirildi

İncele

BİLİŞİM AŞ 2. İstanbul Kobiler ve Bilişim Kongresi'nde

İncele

Bilişim AŞ BilişimBI Çözümleri Müdürü Ulaş Kula Bey'in Makalesi Yayınlandı.

Ulaş Kula Bey’in “Geleceğe Yön Verecek İki Teknoloji: Yapay Zekâ ve Büyük Veri -1” başlıklı makalesi ICTMEDIA dergisinin Haziran sayısında yayınlandı.

İncele

Seminer

"ERP-Kurumsal Kaynak Yönetimi: İşletmeler ve Mühendisler için Önemi"

İncele

Bilişim Yerli ERP Kategorisinde 4. Sırada!

Bilişim 500 ödüllerinde bu yıl da Türkiye'nin lider firmaları arasındaki yerimizi aldık!

İncele

Bilişim AŞ, 1-2 Kasım tarihleri arasında, Lütfi Kırdar Kongre Merkezi’nde G 23 standında 26 . Peryön İnsan Kaynakları Yönetimi Kongresi’nde, insana yönelik geliştirtiği yeni kuşak uygulamalarıyla ziyaretçilerini karşılıyor.

Bilişim AŞ, kongrede katılımcıları Yeni jenerasyon İnsan Kaynakları Yönetim Sistemi N-HR ve Kamu İnsan Kaynakları Yönetim Sistemi Kamu HR, Bilişim Bordro Fusion, Bilişim BI ürünlerinin...

İncele

BTvizyon Anadolu Toplantıları Etkinliğinde Denizli'deydik

İncele

Bize Ulaşın!

Bilişim ürünlerini deneyimlemek ve ihtiyaçlarınızı belirlemek için uzmanlarımız ile görüşün.