Şirket Bilgilerinin Güvenliği için Gizlilik Dereceleri Oluşturmak

27 04 2011 | Ekleyen: | Konu: Bilgi Güvenliği, Güvenlik Uzmanlık Alanları

Şirket Bilgileri, diğer önemli ticari varlıklar gibi, şirketin ticari faaliyetlerinin sürekliliğini sağlamak, ticari kayıpları önlemek ve ticari fırsatların ve yatırımların kazanca dönüşünü en üst seviyeye çıkartmak için, her türlü rekabet istihbaratı ve endüstriyel casusluk girişimlerine karşı korunmalıdır.

Bilgi, birçok biçimde bulunabilir. Kağıt üzerine yazılmış ve basılmış olabilir, elektronik ortamda üretilmiş ve saklanmış olabilir, posta yoluyla veya elektronik imkânlar kullanılarak dolaşıma çıkarılmış olabilir, filmlerde veya sunumlarda gösterilebilir veya karşılıklı konuşma sırasında sözlü olarak ifade edilmiş olabilir.

Bilgi hangi biçimde var olursa olsun, paylaşıldığı veya bir araya getirildiği andan itibaren, her zaman uygun bir şekilde ve değerini koruduğu sürece korunmalıdır.

Bilgi güvenliğini sağlamak için en temel uygulama, bilginin korunması için gerekli ortak esasları işaret eden Gizlilik Dereceleri sistemini kurmaktır. Aynı zamanda şirketin bilgi güvenliği politikalarının bir parçası olan gizlilik dereceleri sisteminin kurulması için aşağıdaki çalışmaların yapılması faydalı sonuçlar verebilir.  

Gizlilik dereceleri oluşturulurken öncelikle hangi bilgilerin korunması gerektiği dikkatle belirlenmelidir.

Bilgi güvenliği tedbirlerinin kapsamını olması gerekenden fazla geniş tutmak gereksiz iş yükü doğuracak, kapsamı olduğundan daha dar belirlemek bilgi sızmalarına ve güvenlik ihlallerine neden olacaktır.

Bu nedenle; şirket?in her departmanı tarafından korunması gereken bilgilerin aşağıdaki hususlar dikkate alınarak doğru bir şekilde tespit edilmesi gerekmektedir. 

  • Kişisel, finansal ve benzeri bilgilerin korunması için yasaların getirdiği zorunluluklar,
  • Ticari anlaşmalardan doğan zorunluluklar,
  • Ticari faaliyetlerin sürdürülmesi ve geliştirilmesi ihtiyaçları,
  • Ticari rekabetin ve şirketin gelecek planlarının gereklilikleri,  
  • Güvenlik ihtiyaçları,
  • Ve diğer özel durumlar.

Hangi bilgilerin korunması gerektiği tespit edildikten sonra, bu bilgilerin hangi tedbirlerle korunacağı belirlenmelidir.

Her türlü bilgiye aynı güvenlik tedbirinin uygulanması pratik değildir. Bu nedenle, şirket bilgi güvenliği ihtiyaçlarını kademeli olarak karşılayacak şekilde gizlilik derecelerinin belirlenmesi gerekir.

Gizlilik dereceleri en azından gizli ve özel olmak üzere iki seviyeden oluşabilir. Bunun dışında, ihtiyaç duyulduğunda kullanılmak üzere daha üst seviye olarak ?çok gizli? derecesi de oluşturulabilir. Bu sınıflandırmaların dışında kalan bilgilerin, ?tasnif dışı? olduğu anlaşılır.

Gizlilik derecelerinin her birisi için erişim yetkileri açıkça tanımlanmalı, gizlilik derecesine göre alınması gereken tedbirler ve kısıtlamalar belirlenmeli ve gizliliğin ihlal edilmesi halinde protokoller (ihbar, bildirim, disiplin uygulamaları vb) belirlenmelidir. 

Bununla beraber,  devlet kurumlarında olduğu gibi, erişim yetkilerinin tanımlanmasında hiyerarşik yapının, rütbe ve kıdem durumunun esas alınması, özellikle matriks tipi organizasyon yapısıyla veya proje grupları şeklinde çalışan şirketlerin çalışma yöntemleriyle bağdaşmayabilir. 

Bu nedenle, şirket özelliklerine uygun gizlilik dereceleri belirlenirken pratik çözümler bulunmalıdır. Bir çözüm tarzı olarak; Gizlilik  derecelerinin başına, şirket ismi ve/veya departman veya proje grubu ismi koyarak gizlilik dereceli bilgiye kimlerin erişebileceği belirtilebilir.  Örnek olarak;

  • XYZ şirketinde kullanılacak ?XYZ Özel? terimi, sadece şirket personelinin, ?XYZ-İK Özel? terimi şirketin sadece İK departmanı personelinin erişebileceği bilgileri temsil eder.
  • Daha üst düzeyde gizlilik arzu edildiğinde oluşturulabilecek ?XYZ Grup1-Gizli? terimi, XYZ firmasında sadece Grup1 olarak tanımlanmış yetkililerin erişimine izin verilen dokümanı,
  • ?XYZ ProjeABC-Gizli? terimi ise benzer şekilde sadece ABC Projesinde görev alanların erişebileceği bilgiyi işaret eder.

Her şirketin kendi ihtiyaçlarına göre çeşitlendirilebilecek bu sistemde, gizlilik dereceleri ve erişim yetkileri bir arada belirtilebilir, her gizlilik derecesi için erişim yetkileri listesi belirlenmesi ihtiyacı asgariye indirgenir.

Normal olarak, bir bilgi?ye gereken gizlilik derecesini vermekten o bilgi?yi üreten kişi sorumlu olmalı, yöneticilere de bunu kontrol etme görevi verilmelidir. Gizlilik dereceleri, içerdiği bilgiler değerini kaybettikten sonra iptal edilebilir veya bir alt seviyeye indirgenebilir. Bunun karar yetkisi, şirket politikalarında gösterilmelidir.

Şirket için hayatî önemi olan bir bilgiye erişim hakları, ?bilmesi gereken? prensibine göre verilmelidir. Bu prensip, çalışanların sadece kendilerine verilen iş tanımlarını, proje görevlerini ve diğer fonksiyonlarını başarıyla ifa etmelerine yetecek kadar bilgiye erişebilmelerini öngörür. Diğer bir ifadeyle; bir şirketin üst düzey bir yöneticisi, bulunduğu hiyerarşik konum nedeniyle, kendi görev alanıyla ilgisi olmayan ve sadece başka bir departmanın alt düzey bir elemanının ?bilmesi gereken? bir bilgiye erişim hakkına sahip olamaz.

?Bilmesi gereken prensibi? özellikle, şirketin geleceğini ilgilendiren, rakiplerine karşı uzun vadeli rekabet avantajı sağlaması beklenen, yüksek meblağlarda ARGE harcamaları yaptığı projelerde önem kazanmaktadır. Bu gibi durumlarda, şirketin koruması gereken bilgi, projenin yürümesine zarar vermeyecek kadar büyük, rakiplerin eline geçtiğinde onlara bir avantaj sağlamayacak kadar küçük parçalara bölünür ve her bir bilgi parçasına, farklı kişilerin erişimine izin verilir. Bu uygulama, aynı zamanda ?kompartumasyon? olarak da bilinmektedir.

Gizlilik dereceleri, birbirlerinden sadece erişim yetkilerindeki farklılıklarla değil, bilginin korunması için tabi tutuldukları kısıtlama tedbirleri ile de ayrılır. Gizlilik derecelerine yönelik tedbirler aşağıda genel olarak gösterilmiş olup, şirket ihtiyaçlarına göre yeniden düzenlenmelidir.

?Çok Gizli? bilginin korunması için tedbirler;

–      Erişime yetkili personel sayısı çok az tutulur ve ismen belirlenir.

–      Yazılı belgelerin kopyalanmaması için fotokopi çekilemeyen özel üretim kağıtlar kullanılabilir veya kağıdın üstüne çapraz olarak, arka plana ?kopyalanamaz-fotokopisi çekilemez? yazısı yazılabilir.

–      Kilitli ve şifreli odalarda saklanır veya aynı şekilde korunan, elektronik dinlemeye karşı izole edilmiş odalarda kullanılır.

–      Bilgi, grup içinde fiziken el değiştirdiğinde veya gruba yeni katılımlar olduğunda bu durum kayıt altına alınır.

–      Gizlilik derecesinin düşürülmesine, imha edilmesine veya içeriğinin açıklanmasına dair kararları almaya şirketin üst düzey yöneticileri yetkili kılınabilir. Aynı yöneticilere, gizlilik ihlallerinde rapor makamı, soruşturma yetkilisi, vb görevler verilir.

–      Gizlilik ihlallerinde, sorumlular hakkında adli makamlara suç duyurusunda bulunulacağı ilan edilir.

–      Elektronik dokümanlarda, bilgi güvenliği sertifikaları vasıtalarıyla aynı tedbirler alınabilir.

?Gizli? bilginin korunması için tedbirler

–      Kopyalama kontrollü olarak yapılır.

–      Kilitli ve şifreli dolaplarda saklanır.

–      Erişime yetkili personel dikkatle, ismen veya ünvan bazında belirlenebilir. 

–      Genel Müdür Yardımcısı, Departman başkanı, vb seviyedeki yöneticilere, imha, gizlilik derecesi düşürme, ihlallerin raporlanacağı makam olma, soruşturma vb yetkiler tanınır.

Şirkete ait ?özel? bilginin korunması  için tedbirler

–      Erişime yetkili personel ?bilmesi gereken prensibi? ne göre belirlenir. 

–      Muhafazasında ?temiz masa kuralı? uygulanır.

–      Birim direktörü/yöneticisi/müdürüne gizlilik derecesini düşürme, ihlalleri soruşturma vb görevler verilebilir.

Bir işlemin kontrollü yapılması; yetkili personel nezaretinde, asgari iki kişiyle tutanak düzenlenerek kayıt altına alınmasıdır. 

Gizlilik dereceleri, fizikî dokümanlara olduğu gibi, elektronik dokümanlara da verilebilmelidir. Bu husus, yerel alan şebekesinde çalışacak yazılımlar ve güvenlik sertifikaları ile sağlanabilmektedir.

Bilgilerin gizlilik derecesinin işaretlenmesi için çeşitli yöntemler kullanılabilirse de, bunların ortak noktası kolayca görünür ve fark edilebilir olmasıdır. Bundan maksat, bilgiye yetkisiz olarak erişen kişilerin, bilginin gizlilik dereceli olduğunu anlamalarını sağlamak ve bilginin korunması için şirket tarafından gerekli tedbirlerin alındığını göstermektir. 

Gizlilik derecesi için bir grup oluşturulduğunda, gruba yeni katılımlar olduğunda veya kontrollü olarak grup dışından bilgi?ye erişim olduğunda, bilgi?ye nüfuz edenlere ?Gizlilik Anlaşması? tebliğ edilir. Bu anlaşmada temel olarak, nüfuz edilen bilginin ilgisiz kişilere aktarılması halinde baş vurulacak yasal uygulamalar veya uygulanacak cezai şartlar belirtilir.

Aynı kişilerin atama, iş değişikliliği, işten çıkarma, emeklilik vb nedenlerle gruptan ayrılmaları halinde de ?gizlilik anlaşması? benzer şekilde imzalatılır.

Gizlilik derecelerinin belirlenmesi, uygulanması için gerekli alt yapının olması, kilitler, şifreli kasalar ve diğer bir çok tedbir alınmış olsa da, sistemin kurgulandığı gibi uygulanmasında en önemli faktör; İNSAN?dır.  Farkındalık düzeyi düşük veya kötü niyetli kişilerin sistem içerisinde yer alması bilgi güvenliğine yönelik en ciddi riskdir.

Bu riskin minimize edilmesi ancak, farkındalık artırıcı tedbirler ve personel güvenliği tedbirleri ile mümkündür.

   

Yorum Yapın