Bilgi İşlem Daire Başkanlığı

Bilgi Güvenliği & İnovasyon

e-Posta Yazdır PDF

business-idea.jpgGökhan Muharremoğlu, PwC, www.bilgiguvenligi.gov.tr   

Bilgi, çağımızdaki kurum sermayelerinden birini oluşturmaktadır. İnovasyon, kurumun sahip olduğu sermayenin ve karın arttırılması, böylece rekabette bir adım öne çıkılması sonuçlarını hedeflemektedir. Bilgi güvenliği, bilginin korunmasını hedeflemektedir dolayısıyla bilgi güvenliği kuruma ait bir sermayenin korunmasını da amaçlamaktadır.

Sermaye ortak kümesinden bilgi ve inovasyona bakıldığında bilgi güvenliği ile olan ortak paydaları görmek de daha kolaylaşmaktadır. İnovasyonun amacı sermayenin korunması, arttırılması, kar oranının korunması, arttırılması iken, bilgi güvenliği de bu amaçlara hizmet vermektedir.

Bilgi güvenliği, kurumun bir sermayesi olan bilginin; gizliliğinin, erişilebilirliğinin ve bütünlüğünün korunması amacını hedeflemektedir. Bilginin bir sermaye olması nedeniyle koruma altına alınmış olması, kurumlar için elde edilecek maddi getirilerden biridir.

İnovasyon var olan yapının sürdürülmesi veya daha iyiye götürülmesi amacını taşır. Bilgi güvenliği süreçleri de kurum içinde aynı amaçları hedefleyen süreçlerdir.

Bir kurumda bilgi güvenliğine ait bir yönetim sisteminin hayata geçirilmesi başlı başına bir inovasyon olabilir. Bu örnekte inovasyon bilgi güvenliğini doğurur. Bilgi güvenliği ise sermayenin korunmasını ve karlılığın arttırılmasına yardımcı olunmasını hedefler.

Bilgi güvenliğinin hiç uygulanmamış bir kuruma uygulanması ile sağlanabilecek faydaya dair örnek bir senaryo oluşturarak bu kavramlar netleştirilebilir:

Bir yazılım şirketi bünyesindeki çalışanlar; sistemciler, yazılımcılar ve satış elemanlarından oluşmaktadır. Bu şirket kendi pazarında yoğun rekabet halindedir ve bu yüzden bünyesindeki sermayenin çoğunu ürettikleri yazılım için gerekli olan iş gücü ve bilgiye ayırmaktadır.

Şirketin ürettiği yazılımın muadilleri piyasada mevcuttur ve şirket bu yazılımların üreticileri ile rekabet halindedir. Yazılım tasarımında yapılan ufak değişiklikler bile yazılımlara ait pazar payını ciddi oranlarda etkilemektedir.

Şirket bünyesindeki yazılım ortamına sistemciler, yazılımcılar ve satış departmanından elemanlar ulaşabilmekte ve yazılım süreci için geliştirilen planlamalardan haberdar olmaktadırlar.

Her yıl yapılan stratejik toplantılarda ve her yeni yazılım ürününün piyasaya çıkması sonucu dengeye gelen pazar payının oranına bakıldığında şirketin sektör lideri olmasıyla bulunduğu konum arasında ufak bir müşteri sayısı farkının olduğu görülmekte ve bu farkın şirkete büyük bir kar imkânının kaçırılması olarak yansıdığı ortaya çıkmaktadır.

Sektörde rekabet için gerekli olan en önemli faktörlerden biri, şirketin ürettiği yazılım içinde sunduğu diğer rakiplerine göre getirdiği özellikler, yenilikler ve farklılıklardır. Ürüne ait özelliklerin önceden başka bir yazılımda bulunması veya ürün çıktıktan sonra hızlı bir şekilde taklit edilmesi şirketi pazar payını genişletmek konusunda zor durumda bırakmaktadır.

Hem kurumda hem de rakiplerinde şu güne kadar yapılmamış bir yeniliğin, inovasyonun gerçekleştirilmesiyle bilgi güvenliği kapsamında bir standardın ve denetimlerin hayata geçirilmesi sonucunda ortaya şu bulgular çıkmıştır:

22.jpg

Yapılan tetkikler sonucunda,

  • Yazılım ortamına yazılım süreci ile ilgisi olmayan (satış elemanı, sistemci gibi) çalışanların erişmesinin bir bulgu olduğu saptanmıştır.

  • Şirket bünyesinde bir bilişim güvenliği politikası kurulmadığından çalışanların bilgisayarlarında anti-virüs benzeri yazılımların bulunmadığı saptanmıştır.

  • Kullanılan bilişim altyapısında şirket kullanıcıların İnternete yapılan çıkışları esnasında hiçbir güvenlik aşamasından geçmedikleri saptanmış ve kurum içinde çalışan sunucu ve kullanıcılara ait sistemlerin İnternetten doğrudan erişilebilir olduğu görülmüştür.

  • Şirket bünyesinde domain altyapısı kullanılmaması nedeniyle kullanıcılara ait parolaların zayıf olduğu veya hiç parola kullanılmadığı bulgusuna erişilmiştir.

  • Kullanılan yazılım geliştirme ortamının da bu bulgulardan etkilendiği görülmüştür. 

Bu bulgulardan kaynaklı olarak şirket içindeki bilgilerin sızdırıldığı tespit edilmiş:

  • Satış elemanları tarafından kullanılan bir taşınabilir bilgisayara truva atının yerleştiği,

  • Bu truva atının anti-virüs kullanılmaması nedeniyle fark edilemediği,

  • Satış elemanının yazılım ortamına erişimi olmasından dolayı bu truva atının yazılım ortamına ve diğer kullanıcılara da bulaştığı,

  •  İnternete doğrudan erişim sağlandığı için truva atının rakip şirketler tarafından fark edilerek yönetilmeye başlandığı,

  • Domain altında olmayan ve parola kullanılmayan sunuculara truva atı sayesinde ulaşan rakip şirketlerin yazılımla ilgili bilgileri çaldıkları,

ortaya çıkmıştır.

Çıkacak olan yeni yazılıma ait özelliklerin diğer şirketler tarafından önceden biliniyor olması ve hatta bu özelliklerinin teknik detaylarının da bu şirketlerin ellerinde olması nedeniyle, şirketin kendi ürünü için harcadığı zaman ve paranın rakiplerine aktarılması durumunu ortaya çıkarmıştır. Şirket sektörde hedeflediği yere gelememiştir ve zarara uğramıştır.

Şu ana kadar bahsi geçenler kurum açısından bir inovasyon olarak bilgi güvenliğinin ele alınmasıydı. Ancak, inovasyon çok yönlü bir kavram olması ve birçok alana uygulanabilir olması nedeniyle ortaya yeni bir başlık daha çıkartmaktadır. Bu başlık da “Bilgi Güvenliğinde İnovasyon ”dur.

İnovasyonun süreçler için uygulanabilir olması ve bilgi güvenliğinin de aslında bir süreç ve yönetişim olgusu olması nedeniyle inovasyon, bilgi güvenliği için de uygulanabilir. Bu durumda ortaya bir inovasyon olarak bilgi güvenliği yerine bilgi güvenliği için inovasyon tanımı çıkacaktır.

İnovasyonun genel geçer ilkelerine uyan bir yapı bilgi güvenliği için de hayata geçirilebilir.

Bu ilkeler: 

  • İnovasyon bir vizyona sahip olmalıdır.

  • İnovasyon müşteri odaklı olmalıdır.

  • İnovasyon etik kurallara uygun olmalıdır.

  • İnovasyon inovatif düşünmeyi desteklemelidir.

  • İnovasyon sistemin bütününe bakmalıdır.

  • İnovasyon farklı bilgi ve zengin etkileşim ortamlarıyla bütünleştirilmelidir.

  • İnovasyon riskleri göze almalıdır.

  • İnovasyon için gelecek trendler sürekli araştırılmalıdır.

  • İnovasyon örgütün her üyesini içine almalı ve katkıları ödüllendirmelidir.

  • İnovasyon için uyumlu öğrenme zemini yaratılmalıdır.

  • İnovasyon her zaman bir direnç içerebileceği unutulmamalıdır.

Hem bilgi güvenliği yönetimi süreçlerinde hem de bilgi güvenliğinin teknik konularında inovasyon yapmak, bilgi güvenliğinden elde edilen faydayı, dolaylı yoldan da kurumun bilgi güvenliğinden sağladığı faydayı arttıracaktır.

İnovasyonun etkilerinin en rahat görülebileceği sektörlerin başında teknoloji sektörü gelmektedir. Teknoloji sektörleri diğer alan sektörleri ile kıyaslandığında değişimde önde olan sektörlerdir. Her yeniliğin bir değişim getirmesi durumu her değişimin de bir yeniliğe aç olması durumunu beraberinde getirmektedir. Bu yüzden teknoloji sektörleri için İnovasyon bir araçtan çok bir amaç haline gelmiştir. İnovasyon konusunda geride kalan bir kurum, pazar payını çok hızlı bir şekilde kaybetme tehdidi ile karşı karşıya kalmaktadır. Çok hızlı gerçekleşen kayıplar benzer şekilde yeni kurulan bir şirketin de çok hızlı bir şekilde sektör devi olmasına da altyapı sağlayabilmektedir. Hız ile ilgili bu durum özellikle teknoloji ve bilişim alanlarında hizmet veren kurumların karşılaştığı bir durumdur. Hızın ve değişimin yoğun olduğu bir sektörde inovasyon en önemli faktörlerden biri olarak karşımıza çıkmaktadır.

Sony, ürettiği Playstation isimli konsol için oyunların korsan olarak çalıştırılmasını engelleyecek  güvenlik önemleri geliştirmektedir. Bu güvenlik önlemleri sayesinde sadece orijinal satın alınmış oyunlar Playstation ile oynanabilir olmaktadır ve bu oyunların kopyaları yapılamamaktadır. Bilgi güvenliğinin teknik olarak zaten hayata geçirilmiş olduğu bu durumdan Sony, beraber çalıştığı oyun yapımcısı firmaların kar elde etmesiyle beraber ticari kazanç elde etmektedir.

Bugüne kadar Sony üç adet Playstation konsolu üretmiştir ve bu konsolların her birinde kopyalamaya karşı güvenlik önlemleri yer almıştır. Ancak Playstation 1 ve 2 isimli ürünlerde bu kopyalama koruması hızlı bir şekilde korsanlar tarafından aşılmış ve kopya oyunlar konsol üzerinde oynanabilir olmuştur.

Sony bu duruma bir çözüm olarak zaten hali hazırda uyguladığı teknik güvenlik politikaları üzerinde bir yeniliğe gitmiş ve en son piyasaya sürdüğü Playstation 3 konsolunda bu yenilikleri uygulamıştır.

ps3.jpg

Uyguladığı yenilikler sayesinde rakiplerinin aksine Sony, ürünü için yaklaşık 4 yıl süren bir kopyalama koruması elde etmiştir. bu 4 yılın sonunda diğer piyasaya sürmüş olduğu eski ürünlerinde olduğu gibi kopyalamaya karşı koruma ancak kırılabilmiştir. Bu rakam hem Sony’nin eski ürünlerine hem de rakiplerine bakıldığında istatistiklerde yüksek bir oran olarak göze çarpmaktadır.

Bu durum hemen akıllara bilgi güvenliğindeki zaman boyutu kavramını getirmektedir. İnovasyon da bilgi güvenliğinde olduğu gibi zamana bağlı bir fonksiyondur. Zamanın ihtiyaçlarına ve değişen şartlara cevap vermeyi hedefler. Şüphesiz olan bir şey var ki, Sony bu cevabı verebilmek için Playstation 4 üzerinde güvenlik anlamında birçok yeniliğe imza atacaktır.  Bir kurum olarak Sony, kendi çıkarlarını korumak zorunda ve karlılığını arttırmak zorundadır.

Günümüzde bilgi güvenliğini önemseyen devletler, bilgi güvenliğinin kullanım alanlarında inovasyona giderek ülkelerinin ulusal çıkarlarını dahi korumayı hedeflemektedir. 

cin.jpg

2011 yılında Çin devleti tarihi bir açıklamayla, ilk kez bir "süper elit siber savaşçı birliğine" sahip olduğunu belirtti. Siber savaşçılardan oluşan ekibin, Çin Halk Kurtuluş Ordusu'nun (PLA) İnternet ağlarını dış saldırılardan korumak amacını taşıdığı ifade edildi.

Çin, 30 kişiden oluşan birliğin isminin "Mavi Ordu" olduğunu açıkladı. İngiltere'nin Times gazetesine konuşan eski bir PLA generali, Mavi Ordu'yu oluşturan kişilerin özel olarak seçildiğini ve "istisnai derecede yetenekli" insanlar olduğunu söyledi.

Devlet destekli Çin Silah Kontrolü ve Silahsızlanma Derneği'nin üst düzey araştırmacılarından Xu Guangyu,  "İnternet sınır tanımıyor. Bu yüzden hangi örgüt veya ülkenin düşmanımız olacağını ve bize saldırabileceğini bilemeyiz. Mavi Ordu'nun asıl hedefi meşru müdafaa yapmak. Hiç kimseye saldırma eğiliminde değiliz" dedi.

Bilgi güvenliğinde ve bilgi güvenliğinin kullanımında inovasyon yapılması bir kurum veya bir devletin faydasına olabilir. Hem bilgi güvenliği için inovasyonu hem de inovasyon için bilgi güvenliğini kapsayan bu örnek iki kavramında sahip olduğu çok boyutluluğu gözler önüne sermektedir.

Bilgi güvenliği kurumlar için bir sermaye olan bilginin korunmasını hedeflemektedir. İnovasyon yönetimi ise kurumun karlılığını korumak veya arttırmak amaçlı yapılacak yenilikleri kapsar. Eğer bilginin korunması için bir yönetişim hayata geçirilecekse bu bir inovasyondur. Aynı şekilde inovasyon bilgi güvenliği sistemlerinin kendilerine uygulanabilecek yeniliklerden de oluşabilir. Bu durumlar gösterir ki, inovasyon yapmak isteyecek bir kurum bunu bünyesinde bilgi güvenliğini hayata geçirerek yapabilir. Aynı şekilde bilgi güvenliği konusunda yapılacak yenilikler de hem kurumlara hem de devletlere yeni kapıları aralama fırsatı tanıyabilir.

Referanslar:

http://www.iso27001-bgys.com/ts-iso-iec-27001/bilgi-guvenligi-nedir.html

http://www.sabah.com.tr/Dunya/2011/05/27/cin-super-gizli-ordusunu-acikladi

http://tr.wikipedia.org/wiki/%C4%B0novasyon