Değerli olanın hakkı ve yetkisi olmayanların erişiminden korunması, tarihin başlangı­cından bu yana insanlığın gündeminde ön sıralarda yer alan bir konu. Uygarlık tarihine baktığımız zaman, sadece maddi veya manevi değeri olan metanın değil, başkalarının eline geçmesi sakıncalı veya tehlikeli görülen bilgilerin de özenle saklanmaya ve ko­run­maya çalışıldığını görüyoruz. Tarih boyunca geliştirilen sayısız koruma ve güvenlik yönteminin yanında, bunlara rağmen hakkı ve yetkisi olmayana erişmenin bir yolunu bulanları hizaya getirmek için de, suç ve ceza kav­ramları ile buna dayanan hukuk sistemleri oluşturulmuş.

ALİ YURTSEVER

Bilgisayar ve iletişim teknolojilerinin 20. yüzyılın son çeyreğine damgasını vurduğu yadsınamaz bir gerçek. Bu iki teknoloji sayesinde, toplumların kültürleri ve ekonomileri ile uzak ve ayrı adalar olmaktan çıkıp hızla birbirlerine kenetlendiklerini görüyoruz. Yeni dünyada insanlığın temel değerini “bilgi” oluşturuyor ve bilginin üretildiği, toplandığı ve saklandığı bilgisayar ortamları, sosyal ve ekonomik yaşantının en vazgeçilmez araçları olarak değerlendiriliyor.

Bilgisayar sistemlerinin değerli ve gizli olanın bulunduğu yer olması, bilgisayarın kullanılmaya başlandığı ilk günden beri çeşitli koruma ve güvenlik yöntemlerinin uygulanmasını zorunlu kıldı. Bu anlamda ilk ve en kesin güvenlik önlemi hiç şüphesiz, bilgisayar sistemine dışarıdan erişim olanaklarının tamamen ortadan kaldırılması. Bu yaklaşım çerçevesinde uzun bir süre, kurumsal bilgisayar sistemlerinin dış dünyadan mümkün olduğu kadar soyutlandığı ve dışarıdan erişime son derece kısıtlı ve kendi içine kapalı yöntemlerle izin verildiği bir dönem yaşandı. Ancak yeni yüzyıla girerken bu uygulamanın artık geçerli olmadığını görmekteyiz. Hemen tüm sektörlerde, kurumlar bilgisayar sistemleri etrafında ördükleri bu aşılmaz duvarları artık yıkıyor ve dışarıya açılıyorlar. Internet temelli iletişim teknolojileri ve Internet temelli yeni uygulamalar, kurumun dışarıdaki müşterileri, tedarikçileri, kurumun uzaktaki kendi personeli, kısacası tüm dış dünya ile çok daha sıkı biçimde buluşmasını sağlıyor. Bu gelişmenin kurumların iş yapma biçimlerinde son derece ciddi değişikliklere neden olacağı açık biçimde görülüyor. Önümüzdeki yıllarda ekonomik etkinliklerin giderek artan bir bölümünün Internet ortamında gerçekleştirileceği ve Internet kullanmayan kurumların rekabet imkanlarının hızla zayıflayacağı bir gerçek.

Kurumsal bilgisayar ağlarının Internet’e açılması, güvenlik konusunu şimdiye kadar hiç olmayan bir ağırlıkta gündeme yerleştiriyor. Üstelik bu kez güvenlik tedbiri olarak Internet’e açılan kapıyı kapalı tutmak veya sorun olması durumunda kapatmak, söz konusu bile değil. Çünkü kapıyı kapattığınız zaman, iş yapma olanağını da toptan ortadan kaldırıyorsunuz. Bu nedenle, hem kapıyı her zaman açık tutabileceğiniz hem de kötü niyetli erişime fırsat vermeyeceğiniz yeni bir güvenlik düzenine gereksiniminiz var.

Kurumsal bilgisayar ağlarına yönelen tehditler, teknolojideki gelişmelere paralel olarak büyük bir hızla çeşitlenip büyüyor. Yeni saldırı yöntemleri ortaya çıkartıldıkça, yakın zamana kadar kesin çözüm olarak değerlendirilen güvenlik duvarı ve anti-virüs teknolojilerinin yetersiz kaldığı anlaşılıyor. Gerçek bir veri güvenliği için çok daha karmaşık, etkin biçimde bir arada çalışabilen yeni ürünlere ihtiyaç olduğu ortada.

Bilgisayar ağlarının güvenliği önümüzdeki dönemin en sıcak gündem maddelerinden birini oluşturacak. Bu alanda da inanılmaz bir hızla gelişen teknoloji, yeni sızma ve saldırı teknikleri üreterek, potansiyel tehdit unsurlarının çeşitlenip çoğalmasına ve tehlikenin boyutlarının giderek büyümesine yol açıyor. Bugüne kadar, “bize bir şey olmaz”, “firewall’umuz ve anti-virüs’ümüz var”, “bizden ne çalacaklar” gibi yaklaşımlarla konuya gereken ciddiyeti göstermeyen kullanıcıları, kötü sürprizler beklemekte. Bilgi güvenliğinin sağlanması, kurumsal bilgisayar ağına yapılacak kimi donanım ve yazılım eklentilerinin çok ötesinde, yapısal bir yaklaşımı zorunlu kılıyor. Bu yaklaşım öncelikle, kurumların kendi iş alanlarını, organizasyon yapılarını, çalışma düzenlerini, kültürlerini dikkate alarak risk değerlen­dirmelerini yapmalarını gerektiriyor. Bu değerlendirmenin ardından atılması gereken ikinci adım, belirlenen risklere uygun güvenlik politikalarının saptanması ve dokümante edilmesi. Kurumsal güvenlik politi­kasının en üst yöneticiden başalayarak kurumsal yapının bütün kademelerinde iyice anlaşılması ve kabul edilmesi, etkin bir güvenlik sisteminin en önemli temel unsurların­dan biri. Politikaların belirlenmesinin ardından, uygulamada gereksinim duyulacak güvenlik prosedürlerinin ve talimatların oluşturulması, ve eksiksiz bir dokümantasyon sisteminin kurulması gerekiyor. Bu sistemin olmazsa olmaz özelliği ise elbette denet­lenebilir olması. Bilgi Güvenliği Sisteminin hem kurum içi hem de kurum dışı uzmanlar tarafından düzenli olarak denetlenmesi, sistemin etkin biçimde çalıştırlması için zorunlu. 2000’li yıllar, ağ güvenliği ile ilgili ürün ve hizmetlerde büyük bir çeşitlenmeye sahne olacak.