Bilgi Güvenliği & İnovasyon

Bilgi, çağımızdaki kurum sermayelerinden birini oluşturmaktadır. İnovasyon, kurumun sahip olduğu sermayenin ve kârın arttırılması ve böylece rekabette bir adım öne çıkılması sonuçlarını hedeflemektedir. Bilgi güvenliği, bilginin korunmasını hedeflemektedir, dolayısıyla bilgi güvenliği kuruma ait bir sermayenin korunmasını da amaçlamaktadır.

Sermaye ortak kümesinden bilgi ve inovasyona bakıldığında bilgi güvenliği ile olan ortak paydaları görmek de daha kolaylaşmaktadır. İnovasyonun amacı sermayenin korunması, arttırılması, kar oranının korunması, arttırılması iken, bilgi güvenliği de bu amaçlara hizmet vermektedir.

Bilgi güvenliği, kurumun bir sermayesi olan bilginin; gizliliğinin, erişilebilirliğinin ve bütünlüğünün korunması amacını hedeflemektedir. Bilginin bir sermaye olması nedeniyle koruma altına alınmış olması, kurumlar için elde edilecek maddi getirilerden biridir.

İnovasyon var olan yapının sürdürülmesi veya daha iyiye götürülmesi amacını taşır. Bilgi güvenliği süreçleri de kurum içinde aynı amaçları hedefleyen süreçlerdir.

Bir kurumda bilgi güvenliğine ait bir yönetim sisteminin hayata geçirilmesi başlı başına bir inovasyon olabilir. Bu örnekte inovasyon bilgi güvenliğini doğurur. Bilgi güvenliği ise sermayenin korunmasını ve karlılığın arttırılmasına yardımcı olunmasını hedefler.

Bilgi güvenliğinin hiç uygulanmamış bir kuruma uygulanması ile sağlanabilecek faydaya dair örnek bir senaryo oluşturarak bu kavramlar netleştirilebilir:
Bir yazılım şirketi bünyesindeki çalışanlar sistemciler, yazılımcılar ve satış elemanlarından oluşmaktadır. Bu şirket kendi pazarında yoğun rekabet halindedir ve bu yüzden bünyesindeki sermayenin çoğunu ürettikleri yazılım için gerekli olan iş gücü ve bilgiye ayırmaktadır.

Şirketin ürettiği yazılımın muadilleri piyasada mevcuttur ve şirket bu yazılımların üreticileri ile rekabet halindedir. Yazılım tasarımında yapılan ufak değişiklikler bile yazılımlara ait pazar payını ciddi oranlarda etkilemektedir. Şirket bünyesindeki yazılım ortamına sistemciler, yazılımcılar ve satış departmanından elemanlar ulaşabilmekte ve yazılım süreci için geliştirilen planlamalardan haberdar olmaktadırlar.

Her yıl yapılan stratejik toplantılarda ve her yeni yazılım ürününün piyasaya çıkması sonucu dengeye gelen pazar payının oranına bakıldığında, şirketin sektör lideri olmasıyla bulunduğu konum arasında ufak bir müşteri sayısı farkının olduğu görülmekte ve bu farkın şirkete büyük bir kâr imkânının kaçırılması olarak yansıdığı ortaya çıkmaktadır.

Sektörde rekabet için gerekli olan en önemli faktörlerden biri, şirketin ürettiği yazılım içinde sunduğu diğer rakiplerine göre getirdiği özellikler, yenilikler ve farklılıklardır. Ürüne ait özelliklerin önceden başka bir yazılımda bulunması veya ürün çıktıktan sonra hızlı bir şekilde taklit edilmesi şirketi pazar payını genişletmek konusunda zor durumda bırakmaktadır.

Hem kurumda hem de rakiplerinde şu güne kadar yapılmamış bir yeniliğin, sonuç olarak “inovasyon”un gerçekleştirilmesiyle bilgi güvenliği kapsamında bir standardın ve denetimlerin hayata geçirilmesi sonucunda yapılan tetkikler sonucunda ortaya şu bulgular çıkmıştır:

• Yazılım ortamına yazılım süreci ile ilgisi olmayan (satış elemanı, sistemci gibi) çalışanların erişmesinin bir bulgu olduğu saptanmıştır.

• Şirket bünyesinde bir bilişim güvenliği politikası kurulmadığından çalışanların bilgisayarlarında anti-virüs benzeri yazılımların bulunmadığı saptanmıştır.

• Kullanılan bilişim altyapısında şirket kullanıcıların internete yapılan çıkışları esnasında hiçbir güvenlik aşamasından geçmedikleri saptanmış ve kurum içinde çalışan sunucu ve kullanıcılara ait sistemlerin internetten doğrudan erişilebilir olduğu görülmüştür.

• Şirket bünyesinde domain altyapısı kullanılmaması nedeniyle kullanıcılara ait parolaların zayıf olduğu veya hiç parola kullanılmadığı bulgusuna erişilmiştir.

• Kullanılan yazılım geliştirme ortamının da bu bulgulardan etkilendiği görülmüştür.

Bu bulgulardan kaynaklı olarak şirket içindeki bilgilerin aşağıdaki nedenlerle sızdırıldığı tespiti yapılmıştır:

• Satış elemanları tarafından kullanılan bir taşınabilir bilgisayara truva atının yerleştiği,

• Bu truva atının anti-virüs kullanılmaması nedeniyle fark edilemediği,

• Satış elemanının yazılım ortamına erişimi olmasından dolayı bu truva atının yazılım ortamına ve diğer kullanıcılara da bulaştığı,

• İnternete doğrudan erişim sağlandığı için truva atının rakip şirketler tarafından fark edilerek yönetilmeye başlandığı,

• Domain altında olmayan ve parola kullanılmayan sunuculara truva atı sayesinde ulaşan rakip şirketlerin yazılımla ilgili bilgileri çaldıkları.

Yeni çıkacak olan yazılıma ait özelliklerin diğer şirketler tarafından önceden biliniyor olması ve hatta bu özelliklerinin teknik detaylarının da bu şirketlerin ellerinde olması nedeniyle, şirketin kendi ürünü için harcadığı zaman ve paranın rakiplerine aktarılması durumunu ortaya çıkarmıştır. Şirket sektörde hedeflediği yere gelememiştir ve zarara uğramıştır.

Şu ana kadar bahsi geçenler kurum açısından bir inovasyon olarak bilgi güvenliğinin ele alınmasıydı. Ancak, inovasyon çok yönlü bir kavram olması ve birçok alana uygulanabilir olması nedeniyle ortaya yeni bir başlık daha çıkartmaktadır. Bu başlık da “Bilgi Güvenliğinde İnovasyon”dur.

İnovasyonun süreçler için uygulanabilir olması ve bilgi güvenliğinin de aslında bir süreç ve yönetişim olgusu olması nedeniyle inovasyon, bilgi güvenliği için de uygulanabilir. Bu durumda ortaya bir inovasyon olarak bilgi güvenliği yerine bilgi güvenliği için inovasyon tanımı çıkacaktır.

Bu durumda inovasyonun genel geçer ilkelerine uyan bir yapı bilgi güvenliği için de hayata geçirilebilir. Bu ilkeler:

• İnovasyon bir vizyona sahip olmalıdır.

• İnovasyon müşteri odaklı olmalıdır.

• İnovasyon etik kurallara uygun olmalıdır.

• İnovasyon inovatif düşünmeyi desteklemelidir.

• İnovasyon sistemin bütününe bakmalıdır.

• İnovasyon farklı bilgi ve zengin etkileşim ortamlarıyla bütünleştirilmelidir.

• İnovasyon riskleri göze almalıdır.

• İnovasyon için gelecek trendler sürekli araştırılmalıdır.

• İnovasyon örgütün her üyesini içine almalı ve katkıları ödüllendirmelidir.

• İnovasyon için uyumlu öğrenme zemini yaratılmalıdır.

• İnovasyon her zaman bir direnç içerebileceği unutulmamalıdır.

Hem bilgi güvenliği yönetimi süreçlerinde hem de bilgi güvenliğinin teknik konularında inovasyon yapmak, bilgi güvenliğinden elde edilen faydayı, dolaylı yoldan da kurumun bilgi güvenliğinden sağladığı faydayı arttıracaktır.Gökhan MUHARREMOĞLU