« Network problemlerinde olaya yaklasım farki | Home | Round robin algoritmasinda onceliklendirme »
Bilgi Guvenliginde Standartlasma ve Bilinc Duzeyi
By Huzeyfe ONAL | August 26, 2007
Bilisim dunyasinin yeni donem populer konularindan biri de standartlasma. “Her konuda kendini tamamlamis” yabanci kurum/kuruluslarin yapilan isleri daha kontrollü ve belli standartlara uydurarak yapma isteğinden ortaya çıkmış ve bizede ithal edilmiş bir sistem. Hemen hemen tum Turk sirketleri neyin ne olduğunu araştırmadan, ne kadar hazırlıklı olduğuna bakmadan bu ruzgarın serinligine aldanarak yelkenlerini actılar. Hayırlı olsun:)
Yaklasik uc sene oncesi kadardi. Dunya genelinde en yaygın olan standartlardan birini bulundugumuz sirkete uygulamamız gerektiği söylendi ve kısa sürede yapılacak denetimler için hummalı bir çalışma süreci başlattık.
Uyumluluk sürecinde görevimiz piyonluk olduğu için yapabileceklerimizin sınırı da belliydi. Oyunu kuralına göre ynayarak maksimum verim elde etmek!
Sürec oldukca kısaydı. O kadar çok çalışıyorduk ki 1.5-2 senede yapılması, tamamlanması gereken işleri 3-4 ay ibi kısa sayılabilecek bir süre içerisinde tamamlamıştık. Hatta bu süre zarfında mesai ücretleri için doldurduğumuz formda bir gün için 26 saat mesai yazdığımı hatırlarım. 24 saatlik bir günü 26′a çıkarma başarısı göstermiştik:).
Velhasıl süreç belirtilen tarihler içinde tamamlandı. Tamamlamasına tamamlanmıştı fakat işi yapan yine bizlerdik, bizdeki mantık değişmediği için standartlar sadece adı ile göstermelik kalıyordu. Klasik Türk zekası ve işleyişinin çok gerisinde kalan standartlar bizi sadece zora sokan , iş yapış sürecini yavaşlatan elemanlar olarak gözüküyordu. (Change management formlarini atlatmak icin sahte loglar uretmekten, merkezi log sistemine log gonderen agentleri sessiz durdurarak is yapma becerisine kadar bircok sey denemistim)
Yillar geçti(3 yil), ben buyuk konuşarak yapmam dediğim isi - piyasanin gidisati ile de paralel olarak- denetcilik oyunu oynamaya basladim. Cok sevmesemde is iştir tanımı icerisinde elimden gelenin en iyisini yapmaya calisiyorum ama bir yanım hep eksik/rahatsiz.
Rahatsızlıgımın kaynagı aslında standartlara karşı değil, bizim yani IT çalışanlarının, yöneticilerinin olaya bakış açısı. Yoksa standartlaşma her zaman olmalı .Benim sistem yoneticiligi yaptıgım zamanlarda acı tecrübelerle ilk öğrendiğim kurallardan biridir “Yaptığın herşeyi belli standarta uydur, yoksa kendi standartını kur!” maddesi. Kisa bir sure once basimdan gecen ve oncesinde benzerlerini cokca yasadigim bir olay bu konudaki dusuncelerimi hakli cikariyor.
Gecenlerde bagli bulundugumuz sirketin dunya genelinde IT security konularindan sorumlu danisman sifati ile ulkemizi ziyaret eden bir yonetici ile toplantiya girdik. Firmanin Turkiye ayagina guvenlik konularinda deneyimlerini aktarmak ve risk degerlendirmesi yapmak amacli cesitli konulardan konusmaya basladik.
Bir ara Turk halkının guvenlik acisindan riskli sayilabilecek en buyuk zaafiyetini sordu: odadaki herkes tereddut etmeden “guven iliskisi” dedi. Yani telefonda ya da gercek dunyada karsidaki insana ne oldugunu sorgulamadan gguveniriz ta ki ondan bir darbe yiyene kadar. (Klasik iyi niyetli, misafirperver karekteri) Bu da IT dunyasinda sosyal muhendislik ile bilgi almaya calisan insanlar icin buyuk bir nimet.
Neyse efendim biz bunlari nasil asabilecegimizi, nasil kullanicilari daha aware hale getirebileceğimizi konusurken toplantiya bir ara verdik. Ben laptoptan mailleri kontrol ederken oda bosalmisti.
Oylesine etrafima bakarken bir de ne goreyim : biraz once bize guvenilirlik, awareness konularindan bahseden yoneticilerimiz laptoplarindaki isletim sistemlerini kitlemeden odadan cikmislar. Yani odaya girebilecek ya da odada bulunan kotu niyetli birisinin cok kisa surede bilgisayarin basina gecip istedigi bilgileri alabilmesi, daha da otesinde sisteme truva ati, trojan , keylogger vs yuklemesi siradan bir isti.
Kendi kendime icimden: “Oldumu simdi Bu kadar konustuktan sonra bu gaf yapılır mı?” Hadi unuttun diyelim , yok mu senin global politikan x dakika sonra ekranin otomatik kilitlensin…
Bu, doktorların/ogretmenlerin okul boyunca ogrencilerine kotu aliskanliklarin zararlarını anlatıp sonradan bunları kendilerinin yapması gibi birseye benziyor. Ve gercekten hic inandiriciligi olmuyor.
Kısaca anlatmaya calistigim bazi seylerin oyle aceleye getirerek yaptırılamayacagı, insanların neyi ne icin yaptıklarını anlamadan bir kosu standartları yakalamaya calısması sadece diploması icin okul okumaya, sertifikasi icin kursa gitmeye benziyor ve gercek dunyada pek gecer bir akce olmuyor.
Peki ben ne yapiyorum? Bunca elestiriyi getirip standartlasmadan uzak mi duruyorum… Boyle birsey mumkun degil, herseyi mukemmel yapmaya calısmak da cozum degil. Ama daha bilincli, neyi ne icin yaptıgımı acıklayarak ve mutlaka genel guvenlik penceresinden bakarak standartlara uyumluluk saglamaya calisiyorum ki bu da zaman, kaynak ve sabır gerektiriyor. Patronum cok sansli bu konuda:)
Topics: Misc |
August 27th, 2007 at 8:13 am
Eski is yerinizi hatirlar gibiyim