Bilgi, şirketler için günümüzün en önemli sermayesi haline geldi. Yeri geldiği zaman rekabette ön sırayı paylaşmanıza, yeri geldiğinde ise silinip gitmenize sebep olabilmektedir. Çünkü artık bilgi, küreselleşen dünyada ciddi bir rekabet silahı olarak kullanılmakta.
Eskiden beri bilgi casusluğu hikayelerinde ve filimlerinde birçok şirketin bu yolla büyük zararlara uğradığı hepinizin malumudur. Bu casusluk, önceleri kağıt ve evrak üzerinde yapılıyordu. Teknolojinin gelişmesiyle, günümüzde ise daha çok bilgisayar, internet ve diğer teknolojik yollarla yapılmaktadır. Bilginin bu derece önemli olması ve şirketlerin gündeminde birinci sıraya oturması, devamında yeni bir konuyu gündeme taşımaktadır. “Bilgi Güvenliği”
“Bilgi Güvenliği” konusu genel anlamda, şirkete ait olan bilgi mahremiyetini ve rekabet dünyasında diğer şirketlere karşı sağladığı bilgi avantajını temsil etmektedir. Ülkemiz bu konuda geç kalmış durumdadır ama bunu avantaja çevirmek yine bizim elimizde. Çünkü yeni gelişen bir sistemi başından düzgün kurma imkanına sahibiz. Fakat bu sistemi, çok dikkatli ve yeterince araştırma yaparak gerektiği gibi kurmalıyız. Geliştirilmemiş bir sistemde çözümler kısa vadeli olur ve kısa vadede fayda sağlar. Ama uzun vadede ciddi problemleri beraberinde getirecektir.
Savunma denetimi, dış saldırılara göre düzenlendiği gibi, aynı zamanda iç saldırılara karşı da düzenlenmesi gerekmektedir. Bunu ise kişisel kullanıcıları bilinçlendirerek, sistemlerinizin şirket içindeki ulaşım alanlarının kontrolünü sağlayarak yapabilirsiniz. Bazen hiç önemsemediğiniz bir dikkatsizlik, profesyonel bilgi casuslarının bile yapamadığı sonuçlar doğurabilmektedir. Tabi sistemi kurarken kullanılan yola çok dikkat etmek gerekir. Kullanıcıların anlayabileceği ve uygulayabileceği bir yol olması gerekmektedir. Mesela kullanıcılarınızdan iki günde bir şifrelerini değiştirmelerini isterseniz, bu denetim mekanizması kağıt üzerinde kalmaktan öteye gitmeyecektir. Tabi bu denetimleri bir kere yaptıktan sonra kenara atmak yine denetiminizi fiyaskoyla sonuçlandıracaktır. Belirli aralıklarla, kullanıcıları sıkmadan bu denetimleri yapmanız ve ayrıca teknolojiyi takip eden bir yapı oluşturmanız gerekmektedir.
Tekrar ihtiyaç belirleme işlemine dönersek, öncelikli olarak yukarıda da bahsettiğimiz saldırı ve saldırgan tipinin belirlenmesi gerekmektedir. Bu belirleme işlemi, size ait olan bilginin amacı ve konusuna göre belirlenir. Unutmamak gerekir ki; saldırganların tipi, bilginin tipine paralel gider. Saldırganlar daima kolay yolu dener. Örneğin iş yerinizi korumak için kapınıza güvenlik koyarsınız, kartlı geçiş sistemi kurarsınız ama üst katlarda açık unutulan bir cam, girişte oluşturduğunuz güvenlik sistemini bir kalemde silip atar. Bu örnekten de anlaşılacağı gibi, en kolay yol, en belirgin, en çok beklenen veya saldırılara karşı en çok önlem alınmış ve güçlendirilmiş yol demek değildir. CD, DVD, USB Bellek ve taşınabilir harddiskler daima sistemleriniz için büyük risk taşımaktadır. Bu yolla sisteme ulaşan saldırganlar, ağ sisteminizi kullanarak şirketinizin en mahrem bilgilerine ulaşmakta zorlanmayacaktır. Neticede bilgiler bir şekilde elinizden gittiği gibi ağ sisteminiz de çökecektir. Bunu önlemenin yolu ise kullanıcılarınızı bilinçlendirmekten geçmektedir.
Saldırganların izleyeceği yollardan bahsedersek, bu yolların başında sisteminizde gerekli gereksiz oluşturulan erişim haklarıdır. Bu erişim izinleri belki sisteminizdeki bilgilerin kaybolmasına veya değiştirilmesine sebep olmasa da, bilginin istenmeyen kişilerle paylaşılmasına sebep olabilir. Diğer bir yol ise birinci yolun ciddi anlamda açıklar oluşturmasıyla gerçekleşir. Çünkü saldırgan erişim iznine ulaştıktan sonra, bir şekilde bu erişim iznini yetkili iznine çevirirse, bu bilginin engellenmesine veya silinmesine sebep olacaktır ve bu kaçınılmazdır. Bazı durumlarda ise bilgi herhangi bir zarara uğramamış gözükür. Fakat bilgiyi kullanmaya başladığınızda, saldırganın değiştirdiği ve size faydası olmayan bilgileri kullandığınızı iş işten geçtikten sonra farkedersiniz. Genel anlamda saldırıları aktif veya pasif olarak gruplandırabiliriz. İzinsiz erişim türündeki saldırılar pasif grubuna, diğer saldırılar ise aktif grubuna girmektedir.
Şimdi sıra geldi işin en önemli bölümüne “Saldırgan”. Genel anlamda saldırgan tipleri üçe ayrılır. Önemsizden önemliye doğru sayacak olursak, birinci sırayı amatör bilgisayar kullanıcıları almaktadır. Bu tip saldırganlar genelde şifrelerinizi değiştirmek, şifreleme yapısını uçurmak gibi sisteminize fazla zarar vermeyen fakat bilgileri kendi bilgisayarına indirip, ulaşmaması gereken insanlara ulaşmasını sağlayabilir. Bu tip saldırganların saldırıları genelde planlanmadan ve farkında olmadan gerçekleşir. Bu da işin neticesini ve ne yaptıklarını tam olarak bilmedikleri için bazen küresel anlamda büyük sıkıntılara sebep olabilir.
İkinci sınıf ise toplum içinde “hacker” dediğimiz tiplerdir. Bu grup genelde aşırı merak duygusuna sahip kimselerden oluşmaktadır. Bu grubun yaptığı saldırılar da birinci grup gibi planlı değildir. Sadece yapabildiğini gösterme ve egosunu tatmin etme veya yapmış olmak için yaptım niyetiyle yapılanlandır. Sonuçları birinci tip saldırganların sonuçlarına yakındır.
Gelelim en tehlikeli olan ve yukarıdaki iki grubun aksine saldırganlık kavramını ve amaçlarını anlayan, bilen profesyonel suçlular grubuna. Bilgi casusu dediğimiz grubları bunlar oluşturmaktadır. Genelde birden fazla ekiplerle çalışırlar ve sayıca değil nitelik açısından tehlikelidirler. Çünkü yaptıkları işin neticesinde para kazanırlar ve bütün saldırılarını planlı ve organize bir şekilde yaparlar.
Netice; bilgi önemlidir ve korunması gerekmektedir. Bu alanda yapacağınız yatırımların maliyetlerinden korkup vazgeçmeyin. Çünkü bilgi elden giderse, geri getirmek daha çok maliyete sebep olacaktır. Geri getiremediğiniz bilgiler de işin cabası olacaktır. Bilgi ve bilginin önemi şimdi olduğu kadar, gelecekte de önemini korumaya devam edecektir. Bilgi sermayenizi, maddi sermayelerinizden üstün tutabilmeniz dileğiyle.
