Kurumsal Uygulamalarda Güvenlik

Bilişim teknolojileri her geçen gün hayatımızda yeni bir alanda yer alıyor, yeni roller üstleniyor. Kurumlar açısından bakıldığında ise, bu süreç bireysel kullanımın çok öncesine dayanıyor. Kurumsal hayatta, ise ilk bilgisayarların icadı ile beraber, kurumlardaki karmaşık işleri yerine getirerek, bu karmaşık işleri insanlardan daha hızlı nasıl yapacaklarına dair bir süreç ile yer aldılar. Sonrasında ise bu süreç bilgisayarların birer hesaplama aracının ötesine geçmesi ile bambaşka bir boyut kazandı. Özellikle farklı amaçlar için programların yazılması ile beraber artık, bilgisayarlar hem ciddi hesaplama işlerini yerine getiren, hem verimliliği sağlayan hem de kaliteyi arttıran, rekabette kurumlara ciddi avantajlar sağlayan bir boyut kazandı. Böylece kurumlar için bilişim teknolojileri, özellikle de kurumsal uygulamalar hayati öneme sahip oldular. Bu süreç kurumsal her türlü bilginin sağlanması, işlenmesi ve analiz edilmesi ile beraber, mahremiyet açısından bambaşka bir noktaya evirildi. Bu evrilmenin sonucu olarak ve kamuoyuna ciddi güvenlik açıklarının yansıması ile beraber, güvenlik tüm kurumların ciddi bir şekilde takip ettiği bir konu haline geldi.

Günümüzde hemen hemen her ölçekteki kurum, ister KOBİ, ister büyük bir holding, bünyesinde belirli fonksiyonları yerine getirmek en az bir yazılım kullanmaktadır. Sadece ticari işletmeler değil, kar amacı gütmeyen dernekler, vakıflar, üniversiteler gibi her türlü kurum gündelik işlerini takip etmek, yapılan işlemlerini raporlamak, sonuçları analiz etmek vb. pek çok amaç ile kurumsal uygulamalar kullanmaktadır. Bu kurumsal uygulamalar en bilinen şekli ile cari hesap takibi, muhasebe işlemleri, üye/müşteri bilgileri, muhasebe defterleri, bordro işlemleri gibi en temel bilgileri kapsadığı gibi; ürün reçeteleri, hasta bilgileri, satış adetleri, kurum finansal varlıkları, gelecek hedefleri, ücret politikaları gibi çok daha stratejik ve hayati derece ehemmiyet taşıyan verileri de kapsamaktadır. Bazen ise kurumsal uygulamalar fabrika veya tesisin üretim hattı ile direkt entegre olarak, üretimin devam etmesinde belirleyici rol almaktadır. Günümüzde pek çok kurumda, kurumsal uygulamalar çalışmadığı veya bir aksaklık yaşandığında çalışanların iş yapamadığını, üretimin durduğunu, tahsilatların yapılamadığını, siparişlerin alınamadığını, sevkiyatların yapılamadığını görmekteyiz. Artık kurumsal uygulamalarda yaşanan aksaklıklar, kesintiler, kuruma direkt para kaybı, itibar kaybı olarak yansımaktadır. Kurumsal uygulamaların bu rolü her geçen gün yeni bir boyut kazanmakta, kurumlar için önemini bir derece daha artırmaktadır.

Kurumsal uygulamaların üstlendiği roller açısından bakıldığında, kurumlar için “yangında ilk kurtarılacaklar” listesine girdiğine göre güvenlik önlemlerinin de aynı çerçevede düşünülmesi gerekmektedir. Klasik güvenlik anlayışlarında kaybedildiğinde, nelere mal olacağı sonucuna bakılarak, bir sınıflandırma yapılmaktadır. Ancak bilişim güvenliği yeniden tarif edilmesi, dizayn edilmesi gereken bir konudur. Bireysel ve kurumsal ortalama açısından bakıldığında, fiziksel güvenlik ve mahremiyet kavramları ülkemizde belli bir olgunluğa kavuşmuştur denilebilir. Ancak bilişim güvenliği açısından bakıldığında ise maalesef, bilgi ve bilinç düzeyimiz bireysel ve kurumsal ortalamada çok gerilerdedir. Bunun somut kanıtı ise hepimizin çevremizden veya basın yoluyla şahit olduğumuz olaydır. O halde bireysel düzeyde bilişim güvenliği okuryazarlığı düzeyini arttırmak, kurumsal düzeyde ise bu işin daha ciddiye alınması sağlamamız gerekmektedir.

Şüphesiz ki bireysel güvenlik ihtiyaçları ile kurumsal güvenlik ihtiyaçları bir birinden çok farklılık göstermektedir. Kurumsal düzeyde oluşan güvenlik zafiyetleri kurumun bütününe, bazen belli bir toplum kesimine bazen de tüm topluma ciddi zararlar verebilmektedir. Örneğin kişisel verilerinizi saklayan bir kurum, bu bilgiler başkaları tarafından ele geçirildiğinde sadece kendisine değil, ayın zamanda bazen sayıları milyonları bulan kitlelere zarar verebilmektedir. Oluşan problem ise çoğu zaman ulusal sınırları aşarak, uluslararası bir boyut kazanmakta, bu zararların telafisi, hukuki süreçlerin takibi gibi yapılması gereken pek çok şey maalesef yapılamamaktadır.

Dolayısı ile birey veya kurum olarak kime hangi bilgileri verdiğimiz ile ciddi bir şekilde ilgilenmemiz gerekmektedir. Bilgi veren açısından sorumluluk bu noktada büyük oranda ortadan kalkmaktadır. Ancak bilgileri kaydeden kurum açısından sorumluluk tam bu noktada başlamaktadır. Bu bilgileri alan, saklayan kurum, bu bilgilere hak ettiği değeri vermekle yani o bilgilerin ilgisiz kişilerin eline geçmemesi için gerekli her türlü tedbiri almakla yükümlüdür. Bu ilgisiz kişilerin sadece kurum dışından kişiler, hackerler olacağını düşünmek veya bu bilgilerin başkalarının çok fazla ilgisini çekmeyeceğini düşünmek, kurumsal uygulamalarda ki güvenlik zafiyetlerinin başlıca noktalarındandır (Diğer güvenlik gerektiren konularda olduğu gibi).

Kurumsal uygulamalar için güvenlik ihtiyacını doğru bir şekilde karşılamak için öncelikle veriler ile ilgili bir tasnif yapılmalıdır. Neyin ke kadar güvenliğe ihtiyaç duyduğu sorusuna cevap aranmalıdır. Bu soru doğru bir şekilde cevaplandıktan sonra ise güvenlik çözümlerini çok boyutlu ve çok katmanlı düşünmek gerekmektedir. Masanızda duran bir bilgisayar aracılığı ile veya cep telefonunuzdan çalıştırdığınız bir kurumsal uygulama için arka tarafta pek çok farklı teknoloji katmanında farklı yazılımlar ve teknolojiler kullanılmaktadır. Öncelikte bu yazılımınız bir veri merkezinde bulunan bir sunucu bilgisayar ve/veya buna bağlı bir depolama ünitesi üzerinde çalışıyordur. Kaydettiğiniz her bilgi bu sunucu bilgisayardaki veya depolama ünitesi üzerinde duran disklere fiziksel olarak yazılıyordur. Sunucu bilgisayar üzerinde çalışan bir işletim sistemi kuruludur (Çoğu zaman işletim sistemi de bir sanallaştırma teknolojisi üzerinde çalışıyordur.). Bu işletim sisteminin üzerinde çalışan bir orta katman yazılımı çalışıyordur. Kurumsal uygulamanız ise bu orta katman yazılımı üzerine kuruludur. Orta katman yazılımı üzerinde çalışan kurumsal uygulamanız, verilerini bir sistematiğe göre saklamak için bir veri tabanı yazılımı kullanıyordur. Siz uygulamanızı kullanmak için bir ağ üzerinden uygulamalarınıza erişiyor, bir ağ yönlendiricisi veya belki bir güvenlik duvarından geçerek uygulamanıza erişiyorsunuzdur. Kaba olarak özetlemeye çalıştığımız bir kurumsal uygulama için bakıldığında bile, güvenlik açısından düşünülmesi gereken pek çok katman vardır. Bu katmalar, veri merkezi güvenliği, cihaz güvenliği, işletim sistemi güvenliği, orta katman yazılımları güvenliği, veri tabanı yazılımı güvenliği, ağ güvenliği, erişim güvenliği, şifreleme güvenliği olarak adlandırılabilir. Her katman için yapılması gereken çalışmalar, farklı farklı uzmanlıklar, hassasiyetler gerektirmektedir.

Kişisel Verilerin Mahremiyeti

Kurumsal uygulamaların sakladığı en temel veriler, müşterilerin, çalışanların ve şirket ortaklarının bilgileridir. Bu bilgiler mahrem bilgilerdir. Bilginin mahremiyeti ise kişilerin veya kurumların kendilerine ait bilgileri ne zaman, kimin ve ne kapsamda kullanılmasına karar vermesini belirleme hakkıdır. Ülkemizde de kişisel verilerin korunması kanunu ile bu konuda oluşabilecek veri sızıntıları ve ihlallere karşı ciddi yaptırımlar uygulanmaktadır. Böyle bir ihlal veya sızıntının oluşması durumda şirketin kaybedeceği müşteri, itibar vb. ise ayrıca değerlendirilmesi gereken bir konudur.

Kurumsal Uygulamalarda Güvenlik Katmanları

Kurumsal uygulamaların güvenliği öncelikle veri merkezinin güvenliği ile başlar. Bu konuda uluslararası belirlenmiş standartlar takip edilmeli, titizlikle uygulanmalıdır. Bunun için ihtiyaç halinde dışarından danışmanlık ve denetim hizmeti sağlanmalıdır. Başka bir veri merkezinden bu hizmeti alan kurumlar ise, bu konuda talepte bulunmalı, bu konudaki ihtiyaçları sözleşme konusu yaparak, hukuki olarak kendilerini garanti altına almalıdır.

Kurumsal verilere kimlerin erişeceği mutlaka belirlenmelidir. Bu belirlenirken hangi verilere kimlerin erişeceği ve erişim yöntemi belirlenmelidir. Kurum bünyesinde kullanılan uygulamalara erişim ve yetkiler bir yetki matrisi ile tarif edilmeli, kurum üst yönetimi tarafından onaylanmalıdır. Klasik bir öngörü olan, sızıntılar ve tehditlerin içeriden olduğu görüşünün gerçeklik payının çok yüksek olduğu unutulmamalı, içeriden erişimler konusunda da dışarıdakilerin erişimi kadar ciddiyetle kurallar belirlenmeli ve uygulanmalıdır.

Kurumsal uygulama güvenliği söz konusu olduğunda ağ güvenliğinin sağlanması da hayati öneme sahiptir. Kurumsal uygulama üreticileri bu konuda kendileri direkt çözüm sunmamaktadırlar. Bu nedenle genellikle göz ardı edilen bir konu olmaktadır. Bilgisayar ile kurumsal uygulama sunucusu arasındaki tüm ağ iletişiminin şifrelenmiş bir şekilde yapılıyor olması gerekmektedir. Aksi halde ağ dinleme teknolojileri ile verileriniz kolaylıkla kopyalanabilmektedir. Özellikle çalışanlarına kurum dışından kurumsal uygulamaları kullanabilme imkânı veren kurumlar, bu iletişimi de güvenli hale getirmeyi ihmal etmemelidir. Dışarıdan erişim politikalarının belirlenmesi ve dışarıdan bağlantılar için ayrıca bir şifre güvenliği çözümü kullanması yararlı olacaktır.

Toplum ortalamamıza bakıldığında, şifre güvenliği bilinci tam olarak yerleşmiş değildir. Ancak özellikle son yıllarda bankacılık uygulamalarını yaygın kullanılması ve bankaların şifre güvenliği kurallarını dayatmaları ile şifre güvenliği kültürü biraz daha yerleşmeye başlamıştır. Fakat yine de pek çok kurumda şifre güvenliği politikalarının olmaması nedeni ile hala kurumsal uygulamalara erişim çok basit şifreler ile yapılmaktadır. Şifre güvenliği taviz verilmeden uygulanması gereken kurallar olarak anlaşılmalıdır. Pek çok büyük kurum bir çalışanın basit bir şifre kullanması nedeni ile ciddi veri sızıntılarına maruz kalmıştır. Şifre güvenliği politikalarının ne düzeyde uygulandığı denetlenmeli, çalışanların normal kullanım alışkanlıklarının dışına çıkan kullanımlar tespit edildiğinde uyarı mekanizmaları ve bunlar ile ilgili teknolojilerden faydalanılmalıdır.

Kurumsal uygulamalar ile ilgili destek hizmetlerini pek çok kurum, dışarıdan tedarik etmektedir. Bunun sonucu olarak, başka kurumlardan danışman ve bilişim uzmanlarının bu sistemlere dışarıdan veya kurum bünyesinden erişimi gerekmektedir. Bu tür erişimlerinde güvenli bir şekilde yapılması sağlanmalıdır. Bu kişilerin belirlenmiş güvenlik politikalarına uygun bir şekilde kurumsal uygulamalara erişimi sağlanmalı, ne zaman çalışabilecekleri, hangi verilere erişebilecekleri ve diğer detaylar belirlenmelidir. Hizmet alınan kurumlar ile bu konudaki sızıntı risklerini konu edecek şekilde sözleşmeler yapılmalıdır. Sistemlere erişecek olan uzman kişiler ile ilgili bilgiler ve bunların yetkinlikleri mutlaka sorgulanmalıdır.

Kurumsal uygulamaların üzerinde çalıştığı işletim sistemi ve orta katman yazılımlarındaki güvenlik açıkları mutlaka yetkili kişiler tarafından takip edilmeli, bu ürünlere ait güvenlik açıklarını kapatan güvenlik yamalarının güncel tutulması sağlanmalıdır.

Kurumsal uygulamanın kullandığı veri tabanı uygulamalarının ihtiyaç duyduğu güvenlik güncellemeleri de takip edilmeli ve zamanında yüklenmelidir. Bu katmanlarda oluşacak açıklar, çok büyük veri sızıntılarına neden olacaktır. Veri tabanına içeriden ve dışarıdan direkt erişimin olmadığı garanti altına alınmalıdır. Veri tabanı sunucusuna sadece yetkili uzman kişi veya kişilerin erişimi sağlanmalı, bu erişimler ise ayrıca izlenmeli ve kayıt altına alınmalıdır. İzleme, kayıt altına almak, ileride ulaşabilecek bir zafiyet durumunda delil toplamak için önem arz etmektedir. Pek çok veri tabanında veriler açık bir şekilde tutulmaktadır. Bu verilere uzmanlığı bulunan bilişim personelinin erişebildiği unutulmamalıdır. Yüksek öneme sahip verilerin güvenliği için veri tabanı üzerinde tutulan verilerin de ayrıca şifrelenmesi ve güvenliği için, bu konuda geliştirilmiş olan teknolojiler kullanılmalıdır.

Günümüzde kurumsal uygulamalar üzerinde tuttuğumuz pek çok veri, kullanıcılar tarafından kolaylıkla Excel, Word, pdf gibi dosya formatlara aktarılmakta, bu dosyalar aracılığı ile de kontrolsüz bir şekilde saklanabilmekte ve başkaları ile paylaşılabilmektedir. Bu konudaki risklerin minimize edilmesi için ilgili teknoloji çözümlerinden faydalanmak gerekmektedir.

Kurumsal uygulama güvenliği, bir kurumun tüm güvenlik bileşenleri ile direkt ilgili bir konudur. Bu nedenle önemsenmeli ve yapılması gerekenler ivedilikle yapılmalıdır. Bilişim güvenliği konusu hiçbir boyutu ile hafife alınacak veya ötelenecek bir konu değildir. Bu neden ile bilişim güvenliği konusunda güvenilir, uzman kurumlardan destek ve hizmet almak, işlerimizi hem daha kolaylaştıracak hem de daha hızlandıracaktır.

Abdurrahman ÖZDEMİR