ÇALIŞMA HAYATINDA BİLİŞİM, BELGE YÖNETİMİ - Ünite 2: İnsan Kaynakları Yönetiminde Bilgi ve Belge Güvenliği Özeti :

PAYLAŞ:

Ünite 2: İnsan Kaynakları Yönetiminde Bilgi ve Belge Güvenliği

Giriş

İnsan kaynakları yönetiminde geçmişten günümüze bilgi teknolojileri kullanımını 4 temel aşamada ele almaktayız. Bu aşamalar basılı belge esaslı sistemler, kişisel bilgisayarların ilk sürümlerinin kullanımı, veritabanı yönetim sistemlerinin gelişimi ve web tabanlı teknolojilerin ortaya çıkışıdır. İnsan kaynaklarında bilgi teknolojilerinin kullanımı, bu konudaki bilgi ve belge güvenliği gereksinimleri ile doğrudan bağlantılıdır. Bilgi güvenliği, kabaca bilgiye yetkisiz kişiler tarafından yapılacak erişimin ve zarar verecek eylemlerin engellenmesi şeklinde ifade edilebilir. Belge ise bilginin çeşitli şekillerde kayıt altına alınmış halidir. Bu sebeple, bilgi güvenliği için yapılan açıklamalar genel itibariyle belge güvenliği kavramını da kapsamaktadır. Bilgi güvenliği, gizlilik, bütünlük ve kullanılabilirlik olarak adlandırılan 3 temel unsuru gerçekleştirmeyi hedefler.

Bilgi ve belge güvenliğine yönelik bilişim suçları genel olarak “bilgisayar korsanı” olarak adlandırılan kişiler tarafından işlenmektedir. Bilgisayar korsanları, temel olarak beyaz şapkalı bilgisayar korsanları, kara şapkalı bilgisayar korsanları ve gri şapkalı bilgisayar korsanları olarak 3 gruba ayrılırlar. Bilişim suçlarının işlenmesi için ise kötü amaçlı yazılımlar kullanılmaktadır. Kurumlar bilgi sistemlerinin güvenliğini sağlamak adına kimlik yönetimi ve doğrulama, ağ güvenliği, bilgisayarların güvenliği başlıkları altında toplanan çeşitli önlemler alabilirler.

İnsan Kaynakları Yönetiminde Bilgi Teknolojilerinin Kullanımı

Bu başlık altında bilgi teknolojilerinin insan kaynakları yönetimi açısından bugüne kadarki uygulamaları hakkında bilgi vereceğiz. Bilgi teknolojilerinin gelişimine bağlı olarak geçmişten günümüze dört temel aşamadan bahsedeceğiz. Bu aşamalar sırasıyla basılı belge esaslı sistemler, kişisel bilgisayarların ilk sürümlerinin kullanımı, veritabanı yönetim sistemlerinin gelişimi ve web tabanlı teknolojilerin ortaya çıkışıdır.

Basılı Belge Esaslı Sistemler

Bilgi teknolojilerinin yeni gelişmeye başladığı dönemlerde insan kaynakları yönetimi ve bilgi sistemleri çok fazla entegre durumda değildi. Belirli veriler İngilizce “mainframe” olarak adlandırılan bir ana bilgisayar ortamında saklanabilmekle ve çok temel düzeyde raporlama yapmak mümkün olabilmekteydi. Örneğin bir yöneticinin çalışanlarla ilgili bilgi talep ettiği durumda, herhangi bir personelin insan kaynakları bölümüne gitmesi ve bu bilgisayardan temel düzeyde bir rapor alarak yöneticiye iletmesi söz konusuydu. Sonuç olarak teslim edilen raporun basılı bir belge olması söz konusudur ve bilgisayar tek başına bu belgenin iletilmesini sağlayamamaktadır. Bu durumda, bilgi güvenliği açısından ortaya çıkabilecek çekinceler çok fazla değildir. Ana bilgisayarın olduğu bölüme erişebilen ve elde edilen raporu ileten personelin yetkili kişiler olması bu anlamda büyük oranda yeterli olacaktır.

Kişisel Bilgisayarların İlk Sürümlerinin Kullanımı

Kişisel bilgisayarların ilk sürümlerinin ve yerel bilgisayar ağlarının kullanıldığı dönemde, bilgiler merkezi bir sunucu bilgisayar ortamında kayıt altında tutulabilmekteydi. Ancak aynı işyerindeki kişisel bilgisayarlar vasıtasıyla merkezi bilgisayara erişilebilmesi ve merkezi bilgisayar üzerindeki kayıtların görüntülenebilmesi söz konusuydu. Bu durumda, bilgi teknolojileri açısından gizlilik konusunda endişeler ortaya çıkmaya başlamıştır. Kayıtları görüntüleyebilecek veya değiştirilebilecek çalışanların belirlenmesi gerekmektedir. Dolayısıyla, gizlilik açısından problemlerin yaşanmaması için belirli çalışanlara belirli yetkilendirme dereceleri oluşturulması ihtiyacı doğmaya başlamıştır. Sonuç olarak gizlilik seviyesinin personelin görev türü ile bağlantılı olarak değişmesi söz konusu olacaktır.

Veritabanı Yönetim Sistemlerinin Gelişimi

Veritabanı, birbirleriyle ilişkili bilgilerin belirli bir düzene göre depolandığı alandır. Veritabanı yönetim sistemleri de veritabanlarını oluşturmak ve içerisindeki verileri işlemek için tasarlanmış yazılımlardır. Veritabanı yönetim sistemleri teknolojisinin gelişimi ile birlikte bilgiler daha bütünleşik halde saklanmaya başlanmıştır. Bilgi sistemleri açısından insan kaynakları bölümleri ile kurumlardaki diğer bölümler entegre olabilir duruma gelmiştir. Bu durumda, veritabanı yönetim sistemlerinden faydalanılarak farklı bölümlere ait bilgilerin bir araya getirildiği karmaşık raporların elde edilmesi mümkün olabilmektedir. Sonuç olarak kurumlar insan kaynakları yönetimi ile ilgili modülleri de içerebilen yazılımlar satın almaya başlayabilmiştir.

Web Tabanlı Teknolojilerin Ortaya Çıkışı

Son dönemde ise insan kaynakları bölümleri ile ilgili olarak web tabanlı teknolojiler ortaya çıkmıştır. Bu altyapıyı barındıran bilgi sistemleri internet tarayıcıları vasıtasıyla kullanılabilir. Web tabanlı teknolojilerin kullanılmasının en önemli avantajı fiziksel olarak herhangi bir yerde bulunan bilgisayarlardan istenilen bilgilere ulaşılabilmesidir. Bu durumda, kullanıcı adı ve şifre girilen bir web arayüzü sayesinde belirli yetkiler dâhilinde çeşitli bilgiler görüntülenebilir ve raporlanabilir. Bu tip teknolojilere internet üzerinden erişilmesi sebebiyle güvenlik konusundaki kaygıların daha da fazla olması beklenebilir. Buna bağlı olarak ta gerekli güvenlik önlemlerinin alınması gerekmektedir.

Bilgi ve Belge Güvenliği

İnternet teknolojilerinin gelişmesi ile birlikte bilginin aktarımı önemli bir oranda elektronik ortamda gerçekleşmeye başlamıştır. Bu durum, bilgi güvenliği kavramını daha da önemli bir hale getirmiştir. Bilgi güvenliği, kabaca bilgiye yetkisiz kişiler tarafından yapılacak erişimin ve zarar verecek eylemlerin engellenmesi şeklinde ifade edilebilir. Günümüzde, eldeki bilginin yapısı ve niteliği ne olursa olsun bilgi güvenliğinin etkin, sürekli ve başarılı bir şekilde sağlanması büyük önem taşımaktadır.

Gizlilik kavramını mahremiyet (privacy) ile özdeşleştirmemiz mümkündür. Gizlilikle ilgili kavramlar temel olarak önemli bilgilerin yanlış kişilerin eline geçmesini engellemek amacını güder. Bilgiye erişim, ilgili konudaki yetkili kişiler ile sınırlı tutulmalıdır. Gizlilik kavramı açısından gerekli şartların sağlandığı çeşitli örnekler verebiliriz. İnternet bankacılığı kullanımı sırasında hesap numaralarının gizliliğinin korunması ve yetkisiz kişilerin eline geçmemesi bu konuda bir örnek olabilir. Bu amaca yönelik olarak veri şifreme (data encryption) gibi tekniklerden faydalanılabilmektedir.

Bütünlük kavramı, bilgilerin eksiksiz, tutarlı ve doğru olması anlamını taşımaktadır. Bütünlüğün bozulmasına izin vermemek için yedekleme gibi bir takım yöntemler kullanılmalıdır. Bunun yanısıra bilgilerin bütünlüğünün doğrulanması için de bir takım yöntemler mevcuttur. Bilgisayar ağları üzerinden yapılan veri aktarımları sonrasında hedefe ulaşan verilerin bütünlüğünün doğrulanmasını buna örnek olarak verebiliriz

Kullanılabilirlik kavramı, bilgilerin ihtiyaç duyulduğunda yetkisi olan kişiler tarafından erişilebilir olmasıdır. Kullanılabilirliğin daha iyi anlaşılması için şöyle bir örnek verebiliriz. İnternet sitelerindeki bilgilere erişim kimi zaman çeşitli sebeplerden dolayı kesintiye uğrayabilmektedir. Bu durumda, bu bilgiler yetkili kullanıcılar tarafından kullanılabilir olmamaktadırlar.

Belge, bilginin çeşitli şekillerde kayıt altına alınmış halidir. Dolayısıyla, bilgi güvenliği için yapılan tanımlar genel olarak belge güvenliğini de kapsamaktadır. Belge güvenliği, önemli belgelerin depolanması, yedeklenmesi ve bu belgelere yetkisiz kişilerin erişiminin engellenmesi şeklindeki işlemler topluluğu olarak tanımlanabilir. Belge güvenliği, belge yönetim sistemleri ve elektronik belge yönetim sistemleri açısından son derece önemlidir. Basılı belgeler için ilk akla gelen kapalı ve herkesin erişemeyeceği fiziksel alanlarda tutulmalarıdır. Böyle bir güvenlik önleminin kurumlarda mevcut işlerin akış hızını etkilemeyecek şekilde tasarlanması gerekir. Örneğin belge güvenliği açısından Türkiye’de kamu kurum ve kuruluşlarında temelde 4 adet gizlilik seviyeleri ön görülmektedir. Bu gizlilik seviyeleri “Çok Gizli”, ”Gizli”, ”Özel” ve ”Hizmete Özel” olarak adlandırılmaktadır. Bu gizlilik seviyelerinin amaçları ile ilgili tanımlar kanunlarla belirtilebilmekte ve belgelere atanan gizlilik seviyelerine göre erişim yetkileri tanımlanabilmektedir.

Bilgi ve Belge Güvenliğinde İnsan Faktörü

İnsan faktörünü, insan kaynakları yönetiminde bilgi ve belge güvenliği açısından değerlendireceğiz. Örneğin, işe alınma süreçlerinde aday personel için bilgi ve belge güvenliğine yönelik olarak aşağıdaki koşulların sağlanmasına dikkat edilebilir:

  • Kurumun bilgi güvenliği ile ilgili politikaları doğrultusunda yeni işe alınacak personelin üzerine düşen sorumluluklar belgelenmiş olmalıdır.
  • Yeni işe alınacak personelin belgelenmiş olan bu sorumlulukları algıladığından emin olunmalıdır.
  • Yeni işe alınacak olan personelin, gizlilik ve açığa çıkarmama anlaşmalarını imzalaması işe alınma şartının bir parçası olarak istenmelidir.
  • Gizlilik ve açığa çıkarmama anlaşmaları, işe alınan personelin ve kuruluşun bilgi güvenliği sorumluluklarını kapsıyor olmalıdır.

Bunun yanı sıra, bilgi güvenliği bilincinin yerleşmesi adına kurumların çalışan personellerine belirli aralıklarda eğitim aldırmaları söz konusu olabilir. Bir diğer taraftan da bilgi güvenliği politikalarına uyulmaması durumunda uygulanacak bir disiplin süreci olmalıdır.

Aynı şekilde kurumların işten ayrılan personelleri için de bilgi güvenliği açısından yapılması gerekenleri belirlemiş olması gerekmektedir. İşten ayrılma veya görev değişikliği halinde kurum çalışanlarının kuruluşun bilgi işlem araçlarına ve gizlilik içeren belgelerine erişim hakları kaldırılıyor veya gerektiği gibi yeniden düzenleniyor olmalıdır.

Bilgi ve Belge Güvenliğine Yönelik Bilişim Suçları

Bilişim Suçlarını İşleyenler

Bilgi güvenliğine yönelik saldırıların amacı çoğunlukla işleyen sistemleri bir şekilde kesintiye uğratmak veya sistemlerin işleyişini tamamen durdurmaktır. İnternet sitesinin hizmet vermesini engellemek, internet sitesini başka sayfalara yönlendirmek, internet sitesinin içerdiği dosya ve bilgilere zarar vermek gibi eylemleri bilgi güvenliğine yönelik saldırılara örnek verebiliriz. İnternet suçları konusunda ilk akla gelenlerden birisi şüphesiz ki İngilizce “hacker” olarak adlandırılan ve Türkçe karşılığı “bilgisayar korsanı” olan kişilerdir. Bilgisayar korsanı, sözlük anlamı olarak başka kişilere ait bilgi sistemlerindeki bilgileri gizlice kullanan veya değiştiren kişiler olarak tanımlanır. Bilgisayar korsanları, her ne kadar bilgi güvenliğini tehdit etme özellikleri ortak noktaları olsa da amaçlarına göre farklı gruplara ayrılırlar. Bilgisayar korsanlarını daha fazla sayıda grup ile ifade etmek mümkün olmakla beraber bu bölümde 3 temel bilgisayar korsanı grubu üzerinde duracağız. Bu gruplar, beyaz şapkalı, kara şapkalı ve gri şapkalı bilgisayar korsanlarıdır;

  • Beyaz Şapkalı Bilgisayar Korsanları (White Hat Hacker): Bu gruptaki bilgisayar korsanları aynı zamanda etik bilgisayar korsanları olarak da bilinirler. Amaçları sadece bilgi sistemlerinin açıklarını tespit etmektir ve bilgi sistemlerinin içerdiği bilgilere zarar verme eğiliminde değillerdir. Hatta kimi zaman şirketlerin bilgi sistemlerinin güvenlik düzeyini test etmek amacıyla bu türdeki bilgisayar korsanları ile çalışmaları söz konusu olabilmektedir. Bu sayede bilgi sistemlerinin açıklarını kapatabilmektedirler.
  • Kara Şapkalı Bilgisayar Korsanları (Black Hat Hacker): Bu gruptaki bilgisayar korsanları bilgi sistemlerine yetkisiz giriş yaparak sistemlerin işleyişine ve içerdiği bilgilere zarar vermek amacını güderler. Şu an için daha çok beyaz şapkalı bir bilgisayar korsanı olduğunu söyleyebiliriz
  • Gri Şapkalı Bilgisayar Korsanları (Grey Hat Hacker): Bu gruptaki bilgisayar korsanları kara şapkalı bilgisayar korsanları ile beyaz şapkalı bilgisayar korsanlarının karışımı niteliğindedir. Genel olarak kötü amaçlı olmasalar da bilgi sistemlerindeki güvenlik açıklarını bazen kendi çıkarları için kullanabilirler.

Bilişim Suçları

Şu ana kadar bilişim suçlarını işleyen insan grupları hakkında bilgi verdik. Şimdi ise bu insan gruplarının suç işlerken kullandıkları kötü amaçlı yazılımları detaylı bir şekilde ele alacağız. Kötü amaçlı yazılımlar, İngilizce “malicious software” veya kısaca “malware” olarak adlandırılan ve bilgi sistemlerine zarar verebilen yazılımlardır. Bu tür yazılımlar, e-Posta eklerindeki dosyalar ve sosyal medyadaki bağlantı linkleri gibi çeşitli yolları kullanarak yayılırlar. Kötü amaçlı yazılımlar virüs, truva atı, solucan, tuş kaydedici, casus yazılım gibi alt başlıklar altında toplanmaktadır.

  • Virüs: Bilgisayara kullanıcıların bilgisi olmadan yüklenen ve kullanıcının isteği dışında işlemler yapan bir programdır. Virüslerin kendi kendine kopyalayarak çoğalması da söz konusu olabilmektedir. Virüsler genelde “exe” veya “bat” gibi dosya uzantılarına sahiptirler. Virüsler, bilgisayarlara bulaşıp yerleşme şekillerine göre temel olarak dosya virüsleri, önyükleme sektörü virüsleri, makro virüsler, ağ virüsleri gibi değişik gruplara ayrılabilmektedirler.
  • Truva atı : İngilizce “trojan horse” olarak adlandırılan bu kötü amaçlı yazılımlar bilgisayarların yetkisiz kişilerce uzaktan kullanılabilmesine imkân sağlayan programlardır. Bu tip programlar, mitolojideki Truva savaşındaki hediye görünümlü Truva atının kenti ele geçirmek isteyen askerlere kentin kapılarını açması gibi bir rolü bilgisayar ortamında oynamaktadırlar. Kullanıcıların Truva atını içeren yazılımı çalıştırmasıyla birlikte bilgisayar korsanları bilgisayardaki bir takım kaynaklara erişebilirler.
  • Solucan: İngilizce “worm” olarak adlandırılan bu kötü amaçlı yazılımlar kendilerini başka bilgisayarlara yayılmak için çoğaltan programlardır. Bu tip programlar, içerisinde yayıldıkları bilgisayar ağlarını yavaşlatırlar. Solucan bir kez sisteme girdikten sonra kendi başına ilerleyebilir. Örneğin, içerisine girdiği bilgisayardaki e-Posta adreslerini elde ederek başka kişilere kendi kopyalarını gönderebilir. Ağ kaynaklarının yüksek oranda kullanılmasından dolayı ilgili ağların kilitlenmesine, e-Posta sunucularının aşırı yüklenmesine veya internet sayfalarına erişim hızının düşmesine neden olabilmektedirler.
  • Tuş kaydedici: İngilizce “keylogger” olarak adlandırılan bu kötü amaçlı yazılımlar bilgisayar veya başka elektronik cihazlarda yazılan her şeyi kaydeden ve başkalarının bu bilgileri toplamasına izin veren programlardır. Genellikle bilgisayar kullanıcılarının girdiği kullanıcı adı ve şifre gibi bilgileri izinsiz şekilde elde etmeyi amaçlarlar.
  • Casus yazılım: İngilizce “spyware” olarak adlandırılan bu kötü amaçlı yazılımlar bulundukları bilgisayardaki kişisel bilgileri veya internet aktivitelerini bilgisayar korsanlarına gönderen programlardır. Hedef bilgisayara bir kez bulaştıktan sonra çeşitli yollarla daha fazla yayılmaya ihtiyaç duymazlar. Casus yazılımın amacı girilen sistem içerisinde gizli kalarak istenen bilgileri toplamaktır. Bu bilginin kredi kartı numarası gibi önemli bir bilgi olması dahi söz konusu olabilir.

Bilişim Suçlarına Karşı Alınabilecek Önlemler

Kurumlar, bilgi sistemlerinin güvenliğini sağlamak ve bilişim suçlarının önüne geçebilmek için teknik anlamda çeşitli önlemler alabilirler. Aşağıdaki bahsedilen gruplardaki önlemler bunlara örnek olarak verilebilir.

Kimlik Yönetimi ve Doğrulama

Bilgi sistemlerine erişim için kullanıcılara verilecek olan yetkiler ve kullanıcı şifresi doğrulama yöntemleri bu kapsamda değerlendirilebilir. Daha önce de bahsettiğimiz gibi her bir kullanıcıya veya kullanıcı grubuna olması gerektiği kadar yetki verilmesi gerekir. Kimi zaman farklı yetkilendirme derecelerinin tanımı ile uğraşmak istemeyen kişiler her bir kullanıcıya yönetici yetkisi dahi tanımlayabilmektedirler. Bu tarz yaklaşımların istenmeden birtakım bilgi ve belgelerin kaybedilmesine yol açması oldukça olasıdır.

Bir diğer hususta bilgi sistemlerinde tanımlı olan kullanıcı şifrelerinin kolayla tespit edilebilir olmamasıdır. Bir başka yöntem de bankaların kimi zaman uyguladığı gibi sisteme giriş yapmak isteyen kullanıcıların cep telefonu veya tanımlı başka iletişim araçlarına gönderilen şifrelerin girilmesidir. Kimlik doğrulama için farklı güvenlik seviyelerine uygun olacak şekilde değişik çözümlerin üretilebilmesi de mümkündür.

Ağ Güvenliği

Kurumların içerisindeki bilgisayarlar kablolu veya kablosuz yerel ağlar üzerinde haberleşmektedir. Bu sebeple, bilgisayar ağının dış tehditlere karşı korunması önem arz etmektedir. Bu anlamda kurumların bilgi sistemlerinde merkezi olarak konumlandırılmış bir takım yazılım veya donanımlardan bahsetmemiz söz konusu olacaktır. Buna bir örnek olarak güvenlik duvarı (firewall) yazılımını verebiliriz. Güvenlik duvarı (firewall), yerel ağ ile dış ağlar arasındaki trafiği kontrol eden yazılım veya donanımlardır. Örneğin, kurumun yerel ağına dışarıdan bağlantı kurulmak istenilmesi halinde tanımlanmış belirli kurallar dâhilinde bu bağlantılara izin verilebilir. Güvenlik duvarı yazılımları kişisel bilgisayarlarda da kurulu olabilmektedir ancak buradaki şekliyle bir kurumdaki tüm bilgi sistemini merkezi bir noktadan koruma amacı gütmektedir.

Sadece kablosuz bilgisayar ağlarının güvenliğini sağlamak için de şifreleme ve MAC adresi filtreleme gibi çeşitli yöntemler bulunmaktadır. Bu konuda, İngilizce kısaltmaları WEP (kablolu dengi gizlilik) ve WPA (kablosuz bağlantı korunmuş erişim) olan şifreleme yöntemlerini örnek verebiliriz. Bu yöntemler sayesinde kablosuz ağlara erişim için girilen şifreler daha korunaklı bir şekilde sunuculara ulaşacak ve doğrulamaları gerçekleştirilecektir. MAC adresi filtreleme kullanıldığında ise sadece tanımlı bilgisayarların kablosuz ağa giriş yapabilmesi mümkün olmaktadır. Çünkü MAC adresi olarak adlandırdığımız kavram ağa bağlı bilgisayarlar için kimlik numarası türünde bir bilgidir ve her bir cihaz için farklı olması söz konusudur. Ülkemizde nasıl her bir vatandaş için kullanılan Türkiye Cumhuriyeti Kimlik Numarası farklı ise bu bilginin de ona benzer olduğunu söyleyebiliriz.

Bunun yanısıra, kurumsal e-Postaların güvenliği için istenmeyen e-Posta filtreleme (spam e-Mail filter) yazılımları kullanılabilir. Bu tip yazılımların düzgün çalışabilmesi için içerdiği kuralların doğru tanımlanmış olması gerekir.

Bilgisayarların Güvenliği

Öncelikle kurumlar içerisinde kullanılan yazılımların güncel olmasına dikkat edilmelidir. Yazılım firmaları, sistem açıklarına karşı sürekli güncelleme içerisindedirler ve bu durum genellikle güncel yazılımların birçok saldırı tehdidine karşı daha güvenli olmalarını sağlar. Bir diğer önlem de kurum içerisindeki bilgisayarlara antivirüs yazılımları yüklenmesidir. Böylelikle bilgisayar korsanlarının kötü amaçlı yazılımları kullanarak bilgisayarlara zarar vermesinin büyük oranda önüne geçilmiş olur. Yedekleme kavramını da bu başlık altında ele alabiliriz. Bilgisayarlardaki önemli bilgilerin yedeklerinin alınması her zaman için faydalı bir yaklaşımdır. Yedek sistemlerin fiziksel olarak farklı yerleşim yerlerinde olması da söz konusu olabilmektedir. Sunucuların veya sunucuların bulunduğu ortamın fiziksel zarara uğraması gibi durumlarda sistemlerin yedekleri devreye alınarak kesinti engellenmiş olur.