Belge Yönetimi ve Ofis Uygulamaları Dersi 8. Ünite Özet

İnsan Kaynakları Yönetiminde Bilgi Ve Belge Güvenliği

İnsan Kaynakları Yönetiminde Bilgi Teknolojilerinin Kullanımı

Bilgi teknolojilerinin gelişimine bağlı olarak geçmişten günümüze dört temel aşamadan söz edilebilir. Bu aşamalar;

  • Basılı belge esaslı sistemler,
  • Kişisel bilgisayarların ilk sürümlerinin kullanımı,
  • Veritabanı yönetim sistemlerinin gelişimi ve
  • Web tabanlı teknolojilerin ortaya çıkışıdır.

Basılı Belge Esaslı Sistemler

Bilgi teknolojilerinin yeni gelişmeye başladığı dönemlerde insan kaynakları yönetimi ve bilgi sistemleri çok fazla entegre durumda değildi. Belirli veriler İngilizce “mainframe” olarak adlandırılan bir ana bilgisayar ortamında saklanabilmekle ve çok temel düzeyde raporlama yapmak mümkün olabilmekteydi. Örneğin bir yöneticinin çalışanlarla ilgili bilgi talep ettiği durumda, herhangi bir personelin insan kaynakları bölümüne gitmesi ve bu bilgisayardan temel düzeyde bir rapor alarak yöneticiye iletmesi söz konusuydu. Bu durumda, bilgi güvenliği açısından ortaya çıkabilecek çekinceler çok fazla değildir. Ana bilgisayarın olduğu bölüme erişebilen ve elde edilen raporu ileten personelin yetkili kişiler olması bu anlamda büyük oranda yeterli olacaktır.

Kişisel Bilgisayarların İlk Sürümlerinin Kullanımı

Kişisel bilgisayarların ilk sürümlerinin ve yerel bilgisayar ağlarının kullanıldığı dönemde, bilgiler merkezi bir sunucu bilgisayar ortamında kayıt altında tutulabilmektediydi. Ancak aynı işyerindeki kişisel bilgisayarlar vasıtasıyla merkezi bilgisayara erişebilemesi ve merkezi bilgisayar üzerindeki kayıtların görüntülenebilmesi söz konusuydu. Bu durumda, bilgi teknolojileri açısından gizlilik konusunda endişeler ortaya çıkmaya başlamıştır. Kayıtları görüntüleyebilecek veya değiştirilebilecek çalışanların belirlenmesi gerekmektedir. Dolayısıyla, gizlilik açısından problemlerin yaşanmaması için belirli çalışanlara belirli yetkilendirme dereceleri oluşturulması ihtiyacı doğmaya başlamıştır. Sonuç olarak gizlilik seviyesinin personelin görev türü ile bağlantılı olarak değişmesi söz konusu olacaktır.

Veritabanı Yönetim Sistemlerinin Gelişimi

Veritabanı, birbirleriyle ilişkili bilgilerin belirli bir düzene göre depolandığı alandır. Veritabanı yönetim sistemleri de veritabanlarını oluşturmak ve içerisindeki verileri işlemek için tasarlanmış yazılımlardır. Kurumsal kaynak planlama sistemleri, işletmenin tüm kaynaklarının birleştirilip verimli olarak kullanılması için tasarlanmış bilgi sistemlerine verilen genel addır. Bu sistemler, satın alma, müşteri hizmetleri, insan kaynakları gibi çok sayıda değişik bölümlere ait program modülleri içerebilirler.

Web Tabanlı Teknolojilerin Ortaya Çıkışı

Son dönemde insan kaynakları bölümleri ile ilgili olarak web tabanlı teknolojiler ortaya çıkmıştır. Bu altyapıyı barındıran bilgi sistemleri internet tarayıcıları vasıtasıyla kullanılabilir. Web tabanlı teknolojilerin kullanılmasının en önemli avantajı fiziksel olarak herhangi bir yerde bulunan bilgisayarlardan istenilen bilgilere ulaşılabilmesidir. Bu durumda, kullanıcı adı ve şifre girilen bir web arayüzü sayesinde belirli yetkiler dâhilinde çeşitli bilgiler görüntülenebilir ve raporlanabilir. Bu tip teknolojilere internet üzerinden erişilmesi sebebiyle güvenlik konusundaki kaygıların daha da fazla olması beklenebilir. Buna bağlı olarak ta gerekli güvenlik önlemlerinin alınması gerekmektedir.

Bilgi ve Belge Güvenliği

Bilgi güvenliği bilgiye yetkisiz kişiler tarafından yapılacak erişimin ve zarar verecek eylemlerin engellenmesidir.

Bilgi güvenliği, temel olarak CIA üçgeni olarak adlandırılan yapının içerdiği üç temel unsuru gerçekleştirmeyi hedefler (S:205, Şekil 8.1):

  • Gizlilik (confidentiality),
  • Bütünlük (integrity),
  • Kullanılabilirlik (availability).

Gizlilik kavramını mahremiyet (privacy) ile özdeşleştirmemiz mümkündür. Gizlilikle ilgili kavramlar temel olarak önemli bilgilerin yanlış kişilerin eline geçmesini engellemek amacını güder. Bilgiye erişim, ilgili konudaki yetkili kişiler ile sınırlı tutulmalıdır.

Bütünlük kavramı, bilgilerin eksiksiz, tutarlı ve doğru olması anlamını taşımaktadır. Bütünlüğün bozulmasına izin vermemek için yedekleme gibi bir takım yöntemler kullanılmalıdır.

Kullanılabilirlik kavramı, bilgilerin ihtiyaç duyulduğunda yetkisi olan kişiler tarafından erişilebilir olmasıdır. Kullanılabilirliğin daha iyi anlaşılması için şöyle bir örnek verebiliriz. İnternet sitelerindeki bilgilere erişim kimi zaman çeşitli sebeplerden dolayı kesintiye uğrayabilmektedir. Bu durumda, bu bilgiler yetkili kullanıcılar tarafından kullanılabilir olmamaktadırlar.

Belge, bilginin çeşitli şekillerde kayıt altına alınmış halidir. Dolayısıyla, bilgi güvenliği için yapılan tanımlar genel olarak belge güvenliğini de kapsamaktadır. Belge güvenliği, önemli belgelerin depolanması, yedeklenmesi ve bu belgelere yetkisiz kişilerin erişiminin engellenmesi şeklindeki işlemler topluluğu olarak tanımlanabilir. Belge güvenliği, belge yönetim sistemleri ve elektronik belge yönetim sistemleri açısından son derece önemlidir. Basılı belgeler için ilk akla gelen kapalı ve herkesin erişemeyeceği fiziksel alanlarda tutulmalarıdır. Böyle bir güvenlik önleminin kurumlarda mevcut işlerin akış hızını etkilemeyecek şekilde tasarlanması gerekir.

Belge güvenliği açısından Türkiye’de kamu kurum ve kuruluşlarında temelde dört adet gizlilik seviyeleri ön görülmektedir. Bu gizlilik seviyeleri;

  • “Çok Gizli”,
  • ”Gizli”,
  • ”Özel”
  • ”Hizmete Özel” olarak adlandırılmaktadır.

“Çok Gizli” gizlilik seviyesi, genel olarak sadece bilmesi gerekenlerin ulaşabilmesi istenen ve izinsiz açıklandığı takdirde devletin güvenliğine büyük zararlar verecek belgeler için kullanılır.

“Gizli” gizlilik seviyesi, genel olarak sadece bilmesi gerekenlerin ulaşabilmesi gereken, izinsiz açıklandığı takdirde devletin güvenliğine ciddi şekilde zarar verecek veya birtakım nedenlerle kanunların açıklanmasını yasakladığı bilgileri içeren belgeler için kullanılır.

“Özel” gizlilik seviyesi, izinsiz açıklandığı takdirde devletin menfaatlerine zarar verecek belgeler için kullanılır.

“Hizmete Özel” gizlilik seviyesi ise içerdiği bilgi itibariyle çok gizli, gizli ve özel gizlilik dereceleri ile korunması gerekmeyen ancak bilmesi gerekenlerden başkası tarafından bilinmesi istenmeyen belgeler için kullanılır.

Elektronik belgeler açısından güvenlik kavramı basılı belgelere göre farklı bir şekilde ele alınmalıdır. Örneğin, elektronik belgelerin bilgi sistemi içerisinde uygulama alanlarına göre faturalar, sağlık kayıtları gibi farklı mantıksal bölümler içerisinde tutulduğunu varsayalım. Her bir mantıksal bölüm için verilecek erişim yetkilendirmeleri farklı olabilir. Bu sayede, sadece yetkilendirilmiş kişilerin belgelere erişimi söz konusu olur ve güvenlik sağlanmış olur. Benzer şekilde değişik mantıksal bölümler için farklı kişilere okuma veya değişiklik yapabilme gibi yetkilendirmeler yapılması da belge güvenliği kapsamında düşünülebilir.

Bilgi ve Belge Güvenliğinde İnsan Faktörü

İşe alınma süreçlerinde aday personel için bilgi ve belge güvenliğine yönelik olarak aşağıdaki koşulların sağlanmasına dikkat edilebilir:

  • Kurumun bilgi güvenliği ile ilgili politikaları doğrultusunda yeni işe alınacak personelin üzerine düşen sorumluluklar belgelenmiş olmalıdır.
  • Yeni işe alınacak personelin belgelenmiş olan bu sorumlulukları algıladığından emin olunmalıdır.
  • Yeni işe alınacak olan personelin, gizlilik ve açığa çıkarmama anlaşmalarını imzalaması işe alınma şartının bir parçası olarak istenmelidir.
  • Gizlilik ve açığa çıkarmama anlaşmaları, işe alınan personelin ve kuruluşun bilgi güvenliği sorumluluklarını kapsıyor olmalıdır.

Bilgi ve Belge Güvenliğine Yönelik Bilişim Suçları

Bilişim Suçlarını İşleyenler

İnternet suçları konusunda ilk akla gelenlerden birisi şüphesiz ki İngilizce “hacker” olarak adlandırılan ve Türkçe karşılığı “bilgisayar korsanı” olan kişilerdir.

Bilgisayar korsanı, sözlük anlamı olarak başka kişilere ait bilgi sistemlerindeki bilgileri gizlice kullanan veya değiştiren kişiler olarak tanımlanır. Bu konudaki dünyadaki önemli örneklerden birisi Kevin Mitnick ismindeki Amerikalı bilgisayar korsanıdır. Üç temel bilgisayar korsanı grubu vardır. Bu gruplar aşağıda kısaca açıklanmıştır:

  • Beyaz Şapkalı Bilgisayar Korsanları (White Hat Hacker): Aynı zamanda etik bilgisayar korsanları olarak ta bilinirler. Amaçları sadece bilgi sistemlerinin açıklarını tespit etmektir ve bilgi sistemlerinin içerdiği bilgilere zarar verme eğiliminde değillerdir.
  • Kara Şapkalı Bilgisayar Korsanları (Black Hat Hacker): Bu gruptaki bilgisayar korsanları bilgi sistemlerine yetkisiz giriş yaparak sistemlerin işleyişine ve içerdiği bilgilere zarar vermek amacını güderler.
  • Gri Şapkalı Bilgisayar Korsanları (Grey Hat Hacker): Bu gruptaki bilgisayar korsanları kara şapkalı bilgisayar korsanları ile beyaz şapkalı bilgisayar korsanlarının karışımı niteliğindedir. Genel olarak kötü amaçlı olmasalar da bilgi sistemlerindeki güvenlik açıklarını bazen kendi çıkarları için kullanabilirler.

Bilişim Suçları

Kötü amaçlı yazılımlar, İngilizce “malicious software” veya kısaca “malware” olarak adlandırılan ve bilgi sistemlerine zarar verebilen yazılımlardır. Bu tür yazılımlar, e-posta eklerindeki dosyalar ve sosyal medyadaki bağlantı linkleri gibi çeşitli yolları kullanarak yayılırlar.

Kötü amaçlı yazılımlar aşağıda kısaca açıklanmıştır:

  • Virüs: Bilgisayara kullanıcıların bilgisi olmadan yüklenen ve kullanıcının isteği dışında işlemler yapan programa virüs denir. Virüslerin kendi kendine kopyalayarak çoğalması da söz konusu olabilmektedir. Virüsler genelde “exe” veya “bat” gibi dosya uzantılarına sahiptirler. Virüsler, bilgisayarlara bulaşıp yerleşme şekillerine göre temel olarak dosya virüsleri, önyükleme sektörü virüsleri, makro virüsler, ağ virüsleri gibi değişik gruplara ayrılabilmektedirler.
  • Truva atı: İngilizce “trojan horse” olarak adlandırılan bu kötü amaçlı yazılımlar bilgisayarların yetkisiz kişilerce uzaktan kullanılabilmesine imkân sağlayan programlardır. Bu tip programlar, mitolojideki Truva savaşındaki hediye görünümlü Truva atının kenti ele geçirmek isteyen askerlere kentin kapılarını açması gibi bir rolü bilgisayar ortamında oynamaktadırlar. Kullanıcıların Truva atını içeren yazılımı çalıştırmasıyla birlikte bilgisayar korsanları bilgisayardaki bir takım kaynaklara erişebilirler.
  • Solucan: İngilizce “worm” olarak adlandırılan bu kötü amaçlı yazılımlar kendilerini başka bilgisayarlara yayılmak için çoğaltan programlardır. Bu tip programlar, içerisinde yayıldıkları bilgisayar ağlarını yavaşlatırlar. Solucan bir kez sisteme girdikten sonra kendi başına ilerleyebilir. Örneğin, içerisine girdiği bilgisayardaki e-posta adreslerini elde ederek başka kişilere kendi kopyalarını gönderebilir. Ağ kaynaklarının yüksek oranda kullanılmasından dolayı ilgili ağların kilitlenmesine, e-posta sunucularının aşırı yüklenmesine veya internet sayfalarına erişim hızının düşmesine neden olabilmektedirler.
  • Tuş kaydedici: İngilizce “keylogger” olarak adlandırılan bu kötü amaçlı yazılımlar bilgisayar veya başka elektronik cihazlarda yazılan her şeyi kaydeden ve başkalarının bu bilgileri toplamasına izin veren programlardır. Genellikle bilgisayar kullanıcılarının girdiği kullanıcı adı ve şifre gibi bilgileri izinsiz şekilde elde etmeyi amaçlarlar.
  • Casus yazılım: İngilizce “spyware” olarak adlandırılan bu kötü amaçlı yazılımlar bulundukları bilgisayardaki kişisel bilgileri veya internet aktivitelerini bilgisayar korsanlarına gönderen programlardır. Hedef bilgisayara bir kez bulaştıktan sonra çeşitli yollarla daha fazla yayılmaya ihtiyaç duymazlar. Casus yazılımın amacı girilen sistem içerisinde gizli kalarak istenen bilgileri toplamaktır. Bu bilginin kredi kartı numarası gibi önemli bir bilgi olması dahi söz konusu olabilir.

Bilişim Suçlarına Karşı Alınabilecek Önlemler

Kurumlar, bilgi sistemlerinin güvenliğini sağlamak ve bilişim suçlarının önüne geçebilmek için teknik anlamda çeşitli önlemler alabilirler. Aşağıdaki gruplarda kısaca açıklanan önlemler bunlara örnek olarak verilebilir.

Kimlik Yönetimi ve Doğrulama

Bilgi sistemlerine erişim için kullanıcılara verilecek olan yetkiler ve kullanıcı şifresi doğrulama yöntemleri bu kapsamda değerlendirilebilir. Her bir kullanıcıya veya kullanıcı grubuna olması gerektiği kadar yetki verilmesi gerekir. Kimi zaman farklı yetkilendirme derecelerinin tanımı ile uğraşmak istemeyen kişiler her bir kullanıcıya yönetici yetkisi dahi tanımlayabilmektedirler. Bu tarz yaklaşımların istenmeden birtakım bilgi ve belgelerin kaybedilmesine yol açması oldukça olasıdır.

Bir diğer husus da bilgi sistemlerinde tanımlı olan kullanıcı şifrelerinin kolayla tespit edilebilir olmamasıdır. Kullanıcı şifrelerinin güvenlik seviyesinin yüksek olması için genellikle içerisinde aynı zamanda küçük harf, büyük harf, rakam gibi farklı türdeki elemanların bulunması ve uzunluğunun belirli bir karakter sayısından az olmaması gerekmektedir.

Bir başka yöntem de bankaların kimi zaman uyguladığı gibi sisteme giriş yapmak isteyen kullanıcıların cep telefonu veya tanımlı başka iletişim araçlarına gönderilen şifrelerin girilmesidir. Bu şifreler anlık olarak üretilirler ve sadece belirli zaman dilimi içerisinde geçerliliklerini korurlar.

Kullanıcı denetimi için kimi zaman akıllı kartlar kullanıldığını görebiliriz. Bu durumda ise kullanıcının şifre bilgilerini girmesinin öncesinde ilgili akıllı kartın bilgisayara takılmış olması gerekmektedir. Sonrasında kullanıcı tarafından girilen şifrenin akıllı kart içerisinde tanımlı olan ile aynı olup olmadığı denetlenir.

Ağ Güvenliği

Kurumların içerisindeki bilgisayarlar kablolu veya kablosuz yerel ağlar üzerinde haberleşmektedir. Bu sebeple, bilgisayar ağının dış tehditlere karşı korunması önem arz etmektedir. Bu anlamda kurumların bilgi sistemlerinde merkezi olarak konumlandırılmış bir takım yazılım veya donanımlardan bahsetmemiz söz konusu olacaktır. Örnek olarak güvenlik duvarı (firewall) yazılımı verilebilir. Güvenlik duvarı (firewall), yerel ağ ile dış ağlar arasındaki trafiği kontrol eden yazılım veya donanımlardır.

Kablosuz bilgisayar ağlarının güvenliğini sağlamak için şifreleme ve MAC adresi filtreleme gibi çeşitli yöntemler bulunmaktadır. Bu konuda, İngilizce kısaltmaları WEP (kablolu dengi gizlilik) ve WPA (kablosuz bağlantı korunmuş erişim) olan şifreleme yöntemlerini söyleyebiliriz. Bu yöntemler sayesinde kablosuz ağlara erişim için girilen şifreler daha korunaklı bir şekilde sunuculara ulaşacak ve doğrulamaları gerçekleştirilecektir. MAC adresi filtreleme kullanıldığında ise sadece tanımlı bilgisayarların kablosuz ağa giriş yapabilmesi mümkün olmaktadır. Çünkü MAC adresi olarak adlandırdığımız kavram ağa bağlı bilgisayarlar için kimlik numarası türünde bir bilgidir ve her bir cihaz için farklı olması söz konusudur.

Kurumsal e-postaların güvenliği için istenmeyen e-posta filtreleme (spam e-mailfilter) yazılımları kullanılabilir. Bunun sebebi internet ortamında kişisel bilgilerin ele geçirilmesi amacıyla istenmeyen e-postaların sıklıkla kullanılmasıdır. Bu tip yazılımların düzgün çalışabilmesi için içerdiği kuralların doğru tanımlanmış olması gerekir. Aksi durumda kişiler veya kurumlar arasındaki bilgi alışverişinde aksamalar ve gecikmelerle karşılaşılabilir.

Bilgisayarların Güvenliği

Öncelikle kurumlar içerisinde kullanılan yazılımların güncel olmasına dikkat edilmelidir. Yazılım firmaları, sistem açıklarına karşı sürekli güncelleme içerisindedirler ve bu durum genellikle güncel yazılımların birçok saldırı tehdidine karşı daha güvenli olmalarını sağlar. Örneğin, kimi zaman çeşitli Windows sürümleri için güvenlik yaması (security patch) yayınlandığını görebiliriz. Eski sürümler için bu tip güvenlik yamalarını ayrıca yüklemek gerekirken yeni program sürümlerinde bu güvenlik açıklarına karşı önlemler alınmış olduğunu görebiliriz.

Bunun yanısıra yasal güvence altındaki lisanslı yazılımlar ile çalışılması da kurumlar adına güvenlik açısından faydalı bir yaklaşımdır. Bir diğer önlem de kurum içerisindeki bilgisayarlara antivirüs yazılımları yüklenmesidir. Böylelikle bilgisayar korsanlarının kötü amaçlı yazılımları kullanarak bilgisayarlara zarar vermesinin büyük oranda önüne geçilmiş olur.

Yedekleme kavramı da bu başlık altında ele alınabilir. Bilgisayarlardaki önemli bilgilerin yedeklerinin alınması her zaman için faydalı bir yaklaşımdır. Örneğin bir veri tabanının düzenli olarak yedeklenmesi bir siber saldırı sonrasında veri kaybına uğranılmadan sistemin çalışmaya devam etmesine imkân sağlar. Büyük kurumlara ait bilgi sistemlerinin yedekleri çoğu zaman bulunmaktadır. Yedek sistemlerin fiziksel olarak farklı yerleşim yerlerinde olması da söz konusu olabilmektedir. Sunucuların veya sunucuların bulunduğu ortamın fiziksel zarara uğraması gibi durumlarda sistemlerin yedekleri devreye alınarak kesinti engellenmiş olur.


Güz Dönemi Ara Sınavı
7 Aralık 2024 Cumartesi
v