Güvenlik denilince aklımıza ilk gelenler genellikle kapıda bekleyen, ziyaretçileri kontrol edip ilgili birime yönlendiren kişiler, emniyet ya da askeri güvenlik birimleridir. Bilişim alanında güvenlik temelde klasik güvenlik mantığına benzese de çok daha karmaşık ve önemlidir. İnternet teknolojilerinin artık en küçük kurumlarda bile vazgeçilmez olduğu günümüzde dünyanın en uç noktasında elinde eski bir bilgisayarı ile sizin bilgileriniz arasında gezinen, dilediklerini alan, silen ya da para karşılığı satan insanların olabilme ihtimali gerçektende çok ürkütücüdür. En az bu ürkütücü olay kadar kurum içerisindeki kullanıcıların bilgisayarlarındaki kuruma has bilgileri dışarıya yollamaları ya da günümüzde çok yaygın olan zombi bilgisayarların sizin işleriniz yerine örneğin Rusya'daki bir bilişim korsanının yolladığı komutları yapması hiçte yabana atılmaması gereken bir risktir.

    Bu bahsettiğim birkaç tehlikenin dışında akla gelebilecek onlarca farklı tehdit kurum bilgi güvenliğini riske atabilir. Hemen hemen her konuda bazı kuralara sahip olan kurumlar nedense bilişimde bilgi güvenliği konusunda belirli kurallara sahip değillerdir. Bilgi İşlem Yöneticilerinin almış olduğu çoğunlukla kişisel kuralların ötesine geçen kurumların sayısının az olduğu kesindir.

    Bilgi güvenliğine nereden başlanmalı? Bilgi işlem Yöneticileri olarak bizlerin ya da firma, şirket sahiplerinin ilk adım diye niteleyebileceğimiz sorusu bu olmalıdır. Muhasebe, satınalma, insan kaynakları, finans gibi birçok birimde kesin süreçler olduğu halde bilişim tarafında bu süreçler çoğunlukla Bilgi İşlem Yöneticilerinin insiyatifine bırakılmaktadır. Peki çözüm nasıl olmalıdır?

    Kurumsal Güvenlik kurumlarda, kesin çizgilerle belirlenmiş politikalar olarak benimsenmelidir. İşe alınan bir çalışanı, hangi bilgisayarı ne zaman kullanacağı, hangi yerel kaynaklara erişebileceği, internete çıkması gerekiyorsa hangi protokoller kullanılacağı, hangi kaynaklara ne kadar süre ile erişeceği önceden belirlenmiş olmalıdır.

    Bütün bu yazılmış politikaların uygulanabilmesi için esnek, kullanıcı, bilgisayar, ya da çalışma grupları bazında erişim izinleri verebilecek, kullanıcı dostu, mevcut sunucu sistemi ile tam entegre olarak çalışabilecek, gerektiğinde güncellemesi kolaylıkla yapılabilir olan bir güvenlik yazılımı ya da donanımına ihtiyaç duyulmaktadır. Donanım güvenlik duvarları çok daha kararlı çalışmalarına rağmen yazılım güvenlik ürünlerinin esnekliğine sahip değillerdir. Birçok farklı yazılım olmasına rağmen ISA Server benim ve birçok Bilgi Sistemleri Yöneticisinin tercih ettiği bir üründür. Benim güvenlik duvarı olarak Isa Server'ı tercih etmemde birçok sebep olmakla birlikte başlıca tercih sebeplerimi şöyle özetleyebilirim.

  - Kullanım Kolaylığı: ISA Serve, birçok bilgi teknolojileri çalışanları tarafından benimsenmiş etkili yönetim araçlarına sahiptir. Hazır şablonlarından birisini tercih ederek çalışmaya hemen başlanılabilmektedir. Ayrıca birçok üçüncü parti yazılım ile de entegre olarak çalışabilmektedir.

  - Gelişmiş Güvenlik: ISA Server bir firewall olarak kullanılabilirken aynı zamanda VPN Server olarak da kullanılabilmektedir. Çoklu network desteği birden fazla networke sahip kurumlar için tek yerden koruma sağlanabilmesine imkan sağlamaktadır. Uygulama seviyesi filtrelemeler ile istenmeyen yazılımların network trafiği engellenebilmektedir.

  - Proxy Özelliği: Isa Server internet önbelleği olarak ta kullanılabilmektedir. Böylece internet trafiği azaltılarak performans artışı sağlanabilmektedir.

  - Kolay Entegrasyon: Isa Server birçok kurumda kullanılan Windows tabanlı sunucular ile tam entegre olarak çalışabilmektedir. Böylece kullanıcı ve sistem yönetimi için harcanan zaman çok aza inmektedir.

  - Detaylı İzlenebilirlik: Isa Server kullanıcı aktivitelerinin detaylı kayıtlarına sahiptir. Bu sayede kim nereden ne zaman nereye erişmiş bilgisini paket özellikleriyle birlikte kayıt ederek network güvenliğinin izlenebilmesini sağlar. Yine birçok üçüncü grup yazılımla da bu kayıtlar detaylı analiz edilebilmektedir.

    Kurumlarda bilgi güvenliği sadece o kurumu ilgilendiren bir husus değildir. Müşteri ya da çözüm ortaklarına ait bilgilerin başkalarınca ele geçirilmiş olması kuruma maddi kayıpların yanında ciddi prestij kaybı da yaşatacaktır. Ülkemizde güvenlik alanında danışmanlık yapan firmaların sayısının yetersizliği, bilişim suçları ile ilgili kanunların yetersiz ya da etkisiz olması bilgi hırsızlığı olaylarının artmasına sebep olmaktadır. Önümüzde iki seçenek bulunmaktadır. İlki data kablolarını çıkararak kurumumuzun dış dünya ile bütün bağlantılarını kesmek, diğeri ise gereken bütün güvenlik yatırımlarını yaparak hem kendi kurumumuzu hem de müşteri ve çözüm ortaklarımızın güvenliğini sağlamaktır.

    Ersen Denli
    Bahçelievler Belediyesi
    MCSE - MCSA


Özgeçmiş:
---------
1975 Nevşehir doğumluyum. İlk, orta ve lise eğitimimi İstanbul'da tamamladıktan sonra Marmara Üniversitesi Bilgi ve Belge Yönetimi bölümünü 1999 yılında bitirdim. 1989 yılında Bilgisayar Programcısı olarak Bilişim Sektörü'yle tanıştım. 1996-1998 yılları arasında Aygaz A.Ş. Bilgi İşlem Departmanında, 2000 yılında Albil Bilgi İşlem Ltd. Şti.'nde Bilgi İşlem Müdürü olarak çalıştım. 2005 yılından bu yana Bahçelievler Belediyesi Bilgi İşlem Bölümü'nde Sistem Yöneticisi olarak çalışıyorum.