Bilgi, günümüzde kurumların en önemli sermayelerinden biridir. Bilgi teknolojileri ise bu sermayenin yaşam döngüsünde en kritik rollerden birini oynayan yapıdır. Bu yapının dinamiklerini oluşturan, teknik ve teknik olmayan birçok öğe bulunmaktadır. Bu öğelerin güvenliğinin bir tehdit altında bulunması, bilginin tehdit altında bulunması demektir. Dolayısı ile en önemli sermayelerden birinin tehdit altında bulunması, kurumları zor durumlarla karşı karşıya bırakmaktadır.
Bilginin güvenliğinin tehdit altında bulunmasını sağlayacak durumların önceden tespiti ve bilginin korunması gereken üç önemli özelliği olan “Gizlilik”, “Bütünlük”, “Erişilebilirlik” özelliklerinin doğru bir şekilde korunabilmesi için kurumlar denetimlerden geçmektedirler. Bu denetimlerin bazıları kurumun kendi içindeki bir organizasyon tarafından kurumun kendisine yapılırken, bazıları da kurumdan bağımsız bir başka organizasyonun kuruma yapması ile gerçekleşir.
Yapılan denetimler sonucunda ortaya teknik ve teknik olmayan birçok bulgu çıkar. Güvenlikte kullanılan “bulgu” teriminin tanımı şu şekilde yapılabilir:
“Bir saldırganın verilmesi planlanmayan bir bilgiyi, dolaylı veya direkt yoldan ifşa etmesini veya bozmasını sağlayacak her tespit, bir bulgudur. Ayrıca, bir saldırganın verilmesi planlanan bir bilginin dolaylı veya direkt yoldan ifşa edilmesinin engellenmesini sağlayacak her tespit de bir bulgudur.”
Bulguların her biri bir güvenlik tehlikesine işaret eder. Ancak bu tehlikenin nasıl bir risk olarak değerlendirileceği konusu kurumun kendi inisiyatifindedir.
Teknik olan açıklarda risk değerlendirmesi yapılırken kullanılabilirlik ve güvenlik dengesi göz önünde bulundurulur. Alınacak bir güvenlik önlemi eğer sistemi o anki şartlar için kullanılabilirlikten uzaklaştıracaksa ve iş akışını sekteye uğratacaksa, bu risk kurum tarafından değerlendirilerek belli koşullarda yönetilip, göze alınabilir. Ancak bu durum, açığın ve tehlikenin varlığı gerçeğini değiştirmez. Teknik açıklar için risk değerlendirmesi yapılırken kullanılabilirlik dışında bakılan başka öğeler de mevcuttur. Açığın tehlikesinin teknik derecesini oluşturan “Seviye” ve kurum için açığın tehlikesinin önemini ifade eden “önem” öğeleri bunlardan bazılarıdır. Hiç kullanılmayan ve izole bir ortamda yaşamına devam eden bir test sisteminde bulunan kritik seviye bir açığın öneminin düşük olması çok rastlanabilen bir durum iken, hayati önem taşıyan bir noktada görev yapan bir sistemde çıkan düşük seviye bir açığın kritik önem arz etmesi de rastlanan durumlardandır. Genel anlamda teknik seviyelendirme yapılırken aşağıdaki tablodaki kriterler göz önüne alınabilir.
Buradaki kriterler ile seviyelendirilen bir açık, bilginin güvenliğini sağlayan üç özelliğinin bozulması ile sonuçlanan bazı etkileri doğurur. Temelde “Gizliliğin Bozulması”, “Bütünlüğün Bozulması” ve “Erişilebilirliğin Engellenmesi” etkilerinden türeyen bu açıkları ve etki türlerini şu şekilde toparlamak mümkündür.
Öğelerin hem bir bütün hem de tek tek ele alınmasıyla ortaya çıkan tabloyu iyi irdelemek güvenliğin önemli konularındandır. Bu konuyu anlatmak için kullanılan yaygın cümlelerden birisi: “Bir zincir en zayıf halkası kadar sağlamdır.” cümlesidir. Çıkan birkaç orta seviye açığı birleştirerek veya tek bir kritik açığı kullanarak sistemlere yetkisiz erişim sağlayan bir saldırgan, bu cümlenin anlamını iyi bilen ve hatta yaşayan biridir.
Gökhan MUHARREMOĞLU