Kurumsal Bilgi Güvenliği

Bilgi güvenliği firmalarından Kaspersky tarafından Almanya, İngiltere, Fransa, İtalya, İspanya, ABD, Japonya, Brezilya, Rusya, Hindistan ve Çin’de 1300’den fazla Bilişim profesyoneli ile yapılan bir anketin sonuçları Haziran 2011’de “Global IT Security Risks” adıyla yayınlanmıştır.

Söz konusu rapora göre şirketler için en önemli riskler aşağıdaki grafikte gösterilmekte olup ankete katılanların yaklaşık yarısı (%46’sı) şirketleri için gelecekteki en yüksek riski, Bilişim ve Bilgi Sistemlerine yönelik tehditler olarak görmektedirler.

Rapora göre, Bilişim ve Bilgi Sistemlerine yönelik tehditleri ortadan kaldırıp buna ilişkin riskleri azaltabilmek için 10-99 çalışanı olan Küçük şirketler yıllık ortalama toplam 8.055 $ (kişi başı 93 $) yatırım yaparken, 100-999 çalışanı olan Orta İşletmeler yıllık ortalama toplam 83.200 $ (kişi başı 167 $), binden fazla çalışanlı büyük kuruluşlar ise yıllık ortalama 3.2 milyon $ (kişi başı 388 $) yatırım yapmışlardır.

Gartner tarafından yapılan tahminlere göre Siber tehditlerden korunmak için 2010 yılında dünya çapında 16.5 milyar dolarlık güvenlik yazılımı harcaması yapılmış olup bunun her yıl yaklaşık %10 artması beklenmektedir.

Bunca yatırıma rağmen şirketlerin %91’i geçen 12 ay içinde en az bir kez dış kaynaklı bir Bilgi Güvenliği olayı ile karşılaşmışlardır. Bu şirketlerin %31’i söz konusu olaylar nedeniyle bilgi kaybına uğramış, Bilgi kaybına uğrayan şirketlerin %10’u kaybettikleri bilgilerin kendileri için hassas ya da önemli olduğunu belirtmişlerdir.

Bunca yatırıma ve gayrete rağmen ankete katılanların yarısına yakını (%48) son 12 ay içinde Bilişim ve Bilgi Sistemlerine yönelik Siber tehditlerin artmış olduğunu ifade etmişlerdir.

Siber Tehdit Araçlarından Örnekler

  • Bilgisayar virüsleri

  • Y emleme (phishing), Truva atı (trojan)

  • Klavye izleme yazılımları (key logger)

  • Casus / köstebek yazılımları (spyware)

  • İstem dışı elektronik posta (spam)

  • Hizmetin engellenmesi saldırıları (DoS, DDoS)

  • Şebeke trafiğinin dinlenmesi (sniffing ve monitoring)

Siber Tehditlerin Amaçları

  • Sisteme yetkisiz erişim

  • Bilgilerin değiştirilmesi ya da yok edilmesi

  • Bilgilerin çalınması ya da ifşa edilmesi

  • Sistemin bozulması erişimin veya hizmetlerin engellenmesi

Symantec firması tarafından Ekim 2010’da yayınlanan “Kritik Altyapıların Koruması Araştırması“ raporuna göre Kritik altyapı sağlayıcılarının,

  • %53’ü sürekli siber saldırılara maruz kalıyor,

  • %48’i önümüzdeki yıl içinde saldırıya maruz kalacağını düşünüyor,

  • %31’i gelecek saldırılara hazırlıklı olmadığını düşünüyor.

Kritik altyapıların Bilişim ve Bilgi Sistemlerine bağımlılığı her geçen gün artmaktadır. Dolayısıyla Bilişim ve Bilgi Sistemlerinin güvenliği sadece Bilgi ve İletişim Teknolojilerini değil hayatın her alanını ilgilendiren bir boyut ve öneme sahiptir. O halde “Bilgi Güvenliği” konusu artık hem bireyler hem de kurumlar için çok önemli ve öncelikli hal almış demektir.

Bilgi güvenliği ise, bilginin gizliliğinin, bütünlüğünün ve erişilebilirliğinin garanti altına alınması demektir. Bilgi Güvenliği Derneği tarafından; bilgiye sürekli olarak erişilebilirliğin sağlandığı bir ortamda bilginin saklanması, göndericisinden alıcısına kadar gizlilik içerisinde (mahremiyeti korunarak), bozulmadan, değişikliğe uğramadan ve başkaları tarafından ele geçirilmeden bütünlüğünün sağlanması ve güvenli bir şekilde iletilmesi süreci olarak tanımlanmaktadır.

Bu çerçevede bilgi güvenliğinin temel kavramı unsurları aşağıdaki modelde yer almaktadır:

Bu modelde yer alan bilgi güvenliğinin üç temel kavramı kısaca şöyle ifade edilmektedir:

  • Gizlilik: Kuruma özel ve gizliliği olan bilgilere, sadece yetkisi olan kişilerin erişebilmesi,

  • Bütünlük: Kurumsal bilgilerin yetkisiz değişim veya bozulmalara karşı korunması,

  • Erişilebilirlik: Kurumsal bilgilerin ihtiyaç duyan anda erişilebilir durumda olması.

Bilgi Güvenliğinin Temel Amaçları:

  • Veri bütünlüğünün korunması,

  • Bilgiye erişimin, erşim hız ve kalitesinin korunması,

  • İzinsiz erişimin engellenmesi, Mahremiyet ve Gizliliğin korunması,

  • İş sürekliliğinin ve Sistemin devamlılığının sağlanmasıdır.

Teknik, ekonomik, siyasal ve sosyal etkileri açısından gerek bireysel, gerek kurumsal ve gerekse ülke boyutunda top yekün bir yaklaşım ve hassasiyet gerektiren Bilgi Güvenliği (Siber Güvenlik) konusu, buna ilişkin bir kültür oluşturulmasını da gerekli kılmaktadır.

Dünya Telekomunikasyon Birliği (ITU) tarafından önerilen aşağıdaki modele göre Bilgi Güvenliği Kültürü, Siyasi, Yasal, Ekonomik, Teknik ve Sosyal alt katmanları olan ve Politika belirleyicilerden başlayarak Adalet sistemine, İşletme sahiplerinden BT uzmanlarına ve nihayetinde Son kullanıcılara kadar uzanan zincirde her seviyedeki ilgililerin sahiplenip özümsediği bir yapıya kavuşmalıdır. Bilgi Güvenliği Kültürü olmayan toplumların Bilgi Toplumu olması mümkün olmayacaktır.

Bilgi Güvenliği Kültürü, ülke güvenliği açısından da çok önemlidir, çünkü artık ülkeler arası savaşlar cephelerin yanında Siber dünyada da yapılmaya başlanmıştır. Siber Savaş, ekonomik, politik veya askeri nedenlerle hedef seçilen ülkeye bilgi ve iletişim sistemleri üzerinden gerçekleştirilen organize saldırılardır.

Yakın geçmişte gerçekleştirilen bazı Siber Savaş/Saldırı örnekleri:

  • 2007 –Estonya siber saldırıları

  • 2008 –Gürcistan siber saldırıları

  • 2009 –İran nükleer santral siber saldırısı

  • 2010 –Wikileaks

Tüm bunlardan da anlaşılacağı üzere Bilgi Güvenliği son derece önemli bir konudur ve hak ettiği ölçüde ciddiye alınmalıdır.

KURUMSAL BİLGİ GÜVENLİĞİ

Kişilerin bilgi güvenliği çok önemlidir, ancak kişilerin güvenliğini doğrudan etkileyen kurumsal bilgi güvenliği de en az onun kadar önemlidir. Her birey bilgi sistemleri üzerinden hizmet alırken veya hizmet sunarken kurumsal bilgi varlıklarını doğrudan veya dolaylı olarak kullanmaktadır. Bu hizmetler kurumsal anlamda bir hizmet alımı olabileceği gibi, bankacılık işlemleri veya bir kurum içerisinde yapılan bireysel işlemler de olabilir. Kurumsal bilgilerin güvenliği sağlanmadıkça, kişisel güvenlikte sağlanamaz.

Kurumsal bilgi güvenliği, güvenlik golitikalarının oluşturulması ile başlar. Kurumsal bilgi güvenliği politikası, her kurum için farklılık gösterse de genellikle çalışanın sorumluluklarını, güvenlik denetim araçlarını, amaç ve hedeflerini kurumsal bilgi varlıklarının yönetimini, korunmasını, dağıtımını ve önemli işlevlerin korunmasını düzenleyen kurallar ve uygulamaların temel ilkelerini ifade ederler. Kurumsal bilgi varlıklarının güvenliğinin istenilen düzeyde sağlanabilmesi amacıyla gizlilik, bütünlük ve erişilebilirlik gibi güvenlik unsurlarının kurumlar tarafından bir sistem dahilinde yönetimi ve sağlanması gerekmektedir.

Kurumsal bilgi güvenliği, kurumların bilgi varlıklarının tespit edilerek zafiyetlerinin belirlenmesi ve istenmeyen tehdit ve tehlikelerden korunması amacıyla gerekli güvenlik analizlerinin yapılarak önlemlerinin alınmasıdır. Kurumsal bilgi güvenliği insan faktörü, eğitim, teknoloji gibi birçok faktörün etki ettiği tek bir çatı altında yönetilmesi zorunlu olan karmaşık süreçlerden oluşmaktadır.

Bilgi Güvenliği Yönetim Sistemleri (BGYS) insanları, süreçleri ve bilgi sistemlerini içine alan ve üst yönetim tarafından desteklenen bir yönetim sistemidir. Bilgi varlıklarının korunabilmesi, kurumların karşılaşabileceği risklerin en aza indirgenmesi ve iş sürekliliğinin sağlanması, ancak üst yönetimin desteğiyle BGYS’nin hayata geçirilmesiyle mümkündür.

BGYS’nin kurulması demek, olası risk ve tehditlerin tespit edilmesi, güvenlik politikalarının oluşturulması, denetimlerin ve uygulamaların kontrolü, uygun yöntemlerin geliştirilmesi, örgütsel yapılar kurulması ve yazılım/donanım fonksiyonlarının sağlanması gibi bir dizi denetimin birbirini tamamlayacak şekilde gerçekleştirilmesi anlamına gelmektedir.

ITU tarafından önerilen BGYS modeli aşağıdaki gibidir:

Bu modele göre BGYS, Yönetim, Denetim ve Son kullanıcı düzeyinde tüm güvenlik boyutlarına yönelik tehdit ve saldırıları algılamayı ve önlemeyi, bunlara fırsat veren açıkları belirlemeyi ve kapatmayı güvence altına alacak bir yönetim sistemi oluşturulmasını hedeflemelidir.

Bu hedefe ulaşmak için olmazsa olmazlar şunlardır;

  • yönetimin kararlılığı ve desteği,
  • politika ve prosedürlerin açıklığı ve tutarlılığı
  • her seviyedeki çalışanların bilgili ve bilinçli olması,
  • uygulamaların sürekli izlenmesi, denetimi ve iyileştirilmesi.

 

Bu süreçlerin yönetilmesi, güvenlik sistemlerinin uluslararası standartlarda yapılandırılması ve yüksek seviyede bilgi güvenliğinin sağlanması amacıyla tüm dünyada kurumsal bilgi güvenliğinin yönetiminde standartlaşmaya gidilmektedir. Bu amaçla geliştirilen ve uluslararası kabul görmüş Rehber ve Standartlardan bazıları şunlardır:

Rainbow Series

  • Orange Book (TCSEC) – Gizlilik – Tekil sistem
  • Red Book (TNI) – Gizlilik + Bütünlük – Ağ
  • National Cybersecurity Center (NCSC) tarafından hazırlanmışlardır. ITSEC-Information Technology Security Evaluation Criteria
  • Avrupa standartı, gizlilik+bütünlük+erişilebilirlik sağlamayı hedefler
  • National Cybersecurity Center (NCSC) tarafından hazırlanmışlardır

 

Common Criteria

  • Bilgi Teknolojileri Güvenlik Değerlendirmesi için genel kriterler
  • ISO tarafından ISO/IEC 15408 koduyla yayınlanmıştır. ISO27000 Bilgi Güneliği Yönetim Sistem Standardı Ailesi
  • ISO tarafından yayınlanmıştır, TSE tarafından da Türkçeleştirilip kullanılmaktadır
  • ISO27001 Bilgi Güvenliği Yönetim Sistemi – Gereksinimler
  • ISO27002 Bilgi Güvenliği Yönetim Sistemi için Uygulama Kodları
  • ISO27003 Bilgi Güvenliği Yönetim Sistemi için Uyarlama, gerçekleştirme Kılavuzu
  • ISO27004 Bilgi Güvenliği Yönetim Sistemi – Ölçekler, Raporlar
  • ISO27005 Bilgi Güvenliği Yönetim Sistemi – Risk Yönetim
  • ISO27006 Bilgi Güvenliği Yönetim Sistemi – Denetim ve Belgelendirilmesi için Şartlar

 

Haberleşme şebekelerinin yaygınlaşması ve hizmetlerin kullanımının artması sonucunda elektronik ortamlarda bulunan bilgilerin her geçen gün artması, paylaşımı, bilgiye her noktadan erişimin mümkün hale gelmesi bu ortamlarda meydana gelen açıkların gerek birey ve gerekse kurumlar için büyük tehdit oluşturmasına neden olmuştur. Kişi ve kurumların bilgi güvenliği açıkları ile kişisel ve kurumsal bilgi varlıklarına yapılan saldırılardaki artışlar; kişisel ve kurumsal bilgi güvenliğine daha fazla önem verilmesi ile yeni yaklaşımların ve standartların kurumlar bünyesinde uygulanmasını zorunluluğu hale getirmiştir.

Bu standartların en başında Uluslararası Standartlar Organizasyonu (ISO) tarafından yayınlanan ve TSE tarafından da Türkçeleştirilip ülkemizde de uygulamaya konulan “ISO27000 Bilgi Güneliği Yönetim Sistem Standardı Ailesi” gelmektedir.

ISO 27001 standardı genel olarak aşağıdaki amaçları gerçekleştirmektedir.

  • Kurumun bilgi güvenlik risklerini, bilgi varlıklarına yönelik tehditleri, varlıkların açıklıklarını sistematik olarak denetlemek;
  • Risk işleme planları, artık risklerin transferleri ile tutarlı bilgi güvenliği kontrollerini tanımlamak ve gerçekleştirmek, riskleri kabul edilebilir seviyeler çekmek
  • Bilgi güvenliği kontrollerinin sürekliliğini bilgi güvenliği esaslarına göre sağlamak üzere yönetim süreçlerini kabul etmek ve uygulamak

 

Standart yukarıdaki amaçları gerçekleştirmek üzere aşağıdaki konuları kapsamaktadır:

  1. Risk Değerlendirme ve Tehditlendirme
  2. Güvenlik Politikası
  3. Güvenlik Organizasyonu
  4. Varlık Yönetimi ve Sınıflandırma
  5. İnsan Kaynakları Yönetimi
  6. Fiziksel ve Çevresel Güvenlik
  7. İletişim ve Operasyon Güvenliği
  8. Erişim Denetimi
  9. Bilgi Sistemleri Temini, Geliştirilmesi ve Yönetimi
  10. Güvenlik İhlal Yönetimi
  11. İş Devamlılık Yönetimi
  12. Yasalar ve Standartlarla Uyumluluk

 

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı ISO 27000 Bilgi Güvenliği Yönetim Sistemi standartlar ailesinin ana standardı olup sistem kurulumu ve belgelendirme bu standarda göre yapılmaktadır. Kurumlar, oluşturdukları Bilgi Güvenliği Yönetim Sisteminin standartlara uygunluğunu ve uygulamalarının etkinliğini akredite edilmiş (ülkemizde TURKAK tarafından) belgelendirme kuruluşlarına (TSE, TUV, SGS vb.) denetlettirerek belgelendirebilmektedirler.

Yapılan çalışmalar hala pek çok kurumda bilgi güvenliği açıkları ve kayıplarının artması sebebiyle bu konunun henüz doğru olarak anlaşılmadığını, bireyler ve kurumlar tarafından konuya gereken önemin verilmediğini ve bilinçlenmenin gereken seviyede olmadığını göstermektedir.

Bağımsız araştırma kuruluşlarının raporları kurum ve kuruluşların güvenlik teknolojilerine yeterli ölçüde yatırım yapmadıklarını göstermektedir. Kurumsal bilgi güvenliğinin üst seviyede sağlanabilmesi için bilgi güvenliğinin devamlılık gerektiren bir süreç olduğu ve bu sürecin kurumsal bilgi güvenliği standartları çerçevesinde yönetilmesi gerektiği unutulmamalıdır.

Bilgi güvenliğinin sağlanmasında aşağıdaki hususlara gözden kaçırılmamalıdır:

  • Yüzde yüz güvenlik mümkün değildir.
  • Kurumsal bilgi güvenliğini sağlamanın dinamik bir süreçtir, süreklilik ve sebat gerektirir.
  • Kurumsal bilgi güvenliği sadece teknolojik bir süreç değil, topyekün bir yaklaşım gerekirir.
  • BGYS uluslararası standartlara uygun olarak oluşturulmalı, uygulanmalı ve sürekli iyileştirilmelidir.

 

Tüm bunların yanında şunun altını çizmek şarttır; Bilgi güvenliği bilginin üretildiği, işlendiği, iletildiği ve saklandığı her ortamda sağlanmak durumundadır. Bunun için kullanılan yazılımlar, donanımlar ve ve kurulan sistemlerin yanında en önemli unsur “insan” faktörüdür. Bilgi güvenliği topyekün bir anlayış ve uygulama birliğini gerektirir. Bu sürecin en zayıf halkası insandır, en üst yöneticiden en alt kullanıcıya kadar kurumda yer alan her insan bu konuda kritik öneme sahiptir.

Bilgi güvenliği konusunda kullanıcıların bilgi ve bilinç seviyesi ile bu konudaki teknolojilerin de gelişmesiyle tehdit ve saldırılar da değişiklik göstermektedir. Geçmiş yıllarda bilgi sistemlerine en büyük zararları veren virüsler son yıllarda yerini casus programların avlama yöntemiyle kullanıldığı saldırılara bıraktı. Dünyada olduğu gibi ülkemizde de sıkça karşılaşılan bu yöntemde genellikle bilgi güvenliği bilinci olmayan kullanıcılar kurban olarak seçilmekte ve internet bankacılığı odaklı soygunlar yapılmaktadır.

Önümüzdeki yıllarda çok yüksek teknik bilgiler üzerine kurulu saldırılardan ziyade bilgi güvenliği bilincine sahip olmayan kişilerin kandırılması sonucunda ortaya çıkan güvenlik açıklarının saldırganlar tarafından ustaca kullanılacağı tahmin edilmektedir. Kullanıcıların bu konuda bilgili ve bilinçli olması ile alacağı bazı kolay bireysel tedbirler sonucu bilgi güvenliğine yönelik tehdit ve saldırıların sayısı ve etkisi önemli ölçüde azaltılabilecektir.

Sanal ortamda yapılan saldırıları sıralamak gerekirse:

  • Virüsler, kendi başına çalışamayan, ancak başka programlar aracılığı ile çalışıp kendini taşıyan programlardır. Bilgisayar virüsleri, “kötü amaçlı program kodu” olarak tanımlanabilir. Anti- virüs yazılımları, bilinen virüsleri tanıyabilen ve temizleyebilen programlardır.
  • Dinleme (Eavesdropping), iletişim hatlarına saplama yapmaktır.
  • Casusluk (Spying), önemli bilginin çalınmasına yönelik aktivitelerdir.
  • Truva atı (Trojan Horse), dışarıdan indirilen veya sisteme kopyalanan programlardır.
  • Kurtçuklar (worms), kendi kendini çalıştırabilen ve kopyalayabilen bir programdır.
  • Tarama (Scanning) sisteme değişken bilgiler göndererek sisteme giriş için uygun isim ve parolaları bulmak için kullanılır.
  • Sırtlama (Piggybacking), yetkili kullanıcı açık ve hatalarından yararlanarak sisteme girmektir.
  • Yerine geçme (Masquerading), yetkisiz bir kullanıcının yetkili kullanıcı haklarını kullanarak sisteme girmek istemesidir.
  • Çöpleme (Scavenging), dış müdahale sonucu kalan kullanılabilir bilgilerin toplanmasıdır.
  • Arkaya takılma (Tailgating), dial-up bağlantı düşmelerinden veya işlemin tamamlanmasından sonra hattı elinde bulundurarak sisteme girmektir.
  • Süperzap yöntemi (Superzapping), sistem programının gücünden yararlanarak işlem yapmaktır.
  • Kapanlar (Trap doors), tasarımcıların ve geliştiricilerin sistem bakımında yararlanmak üzere bıraktıkları programlardır. Kötü amaçla kullanılabilirler.
  • Mantık Bombaları (Logic bomb), önceden belirlenmiş koşullar gerçekleşince harekete geçen programlar.
  • Salami teknikleri (Salami Techniques), dikkati çekmeyecek büyüklükte sistem kaynağı veya kaynakların kullanılması.
  • Koklama (Sniffing), ağ üzerindeki paketlerin izlenmesi.
  • Aldatma (Spoofing), ağa saplama yapılarak bilgilerin değiştirilmesi adres değişikliği yapılması.
  • Kırmak (Cracking), sistem güvenlik önlemlerinin kırılması

 

Bunlardan korunmak hem bireysel hem de kurumsal bilgi güvenliği için zorunludur. Bunun için, bilgisayarlara mutlaka anti-virüs yazılımı kurulmuş olmalı, bu yazılımlar her zaman aktif ve güncel tutulmalı, kullanılan yazılımların (işletim sistemi ve uygulama yazılımları) periyodik güncellemesi yapılmalı, şüpheli e-postalar ve eklerinin açılmamalı gibi bireysel önlemlerin alınması büyük önem taşımaktadır.

Ayrıca lisanssız (internetten indirilen) yazılımlar kullanılmamalı, giriş ve aktivasyon şifreleri yeterince zorlayıcı olmalı, sık sık değiştirilmeli, elektronik ortamda saklanıp başkaları ile paylaşılmamalıdır. Bunun yanında internette güvenli olmayan ortamlarda ve sosyal ağlarda kişisel veriler ya hiç kullanılmamalı ya da sınırlı kullanılmalıdır.

SONUÇ ve DEĞERLENDİRME

Bilgi güvenliği konusunda daha yapılması gereken çok iş vardır. Bireylerin ve kurumların yanında bu alanda devlete de çok önemli görevler düşmektedir.

Bilgi Güvenliği Konusunda Yapılması Gerekenler,

  • Ulusal Bilgi Güvenliği Stratejisi’nin yayınlanması
  • Bilgi Güvenliği konusunda gerekli olan yasal düzenlemelerin tamamlanması
  • Bu alanda ülkemiz yetkinlik ve yeteneklerinin geliştirilmesi
  • Bilgilendirme ve bilinçlendirme çalışmaları ve Bilgi Güvenliği kültürünün oluşturulması
  • Ulusal kritik bilgi ve iletişim sistem altyapılarının belirlenmesi ve güvenliği
  • Ulusal Siber Olaylarına Müdahale Organizasyonunun kurulması
  • Uluslararası eşgüdümün geliştirilmesi
 

Gerek bireysel ve gerekse kurumsal düzeyde bilgi ve bilinç düzeyinin yeterli seviyede olmadığını düşündüğüm ülkemizde her şeye rağmen bazı iyi gelişmeler de söz konusudur. Örneğin;

  • Temmuz 2008’de yayınlanan “Elektronik Haberleşme Güvenliği Yönetmeliği” ile elektronik haberleşme alanında faaliyet gösteren işletmecilere ISO27001 uyumlu BGYS kurma zorunluluğu getirilmesi,
  • Ocak 2011’de Ulusal Siber Güvenlik Tatbikatının gerçekleştirilmesi,
  • Kasım 2008’de çıkartılan 5809 Sayılı Elektronik Haberleşme Kanunu ile bilgi güvenliği konusunun kanuni dayanağa kavuşturulması
    • Bilgi güvenliği ve haberleşme gizliliğinin gözetilmesi (Md. 41)
    • Kişisel veri ve gizliliğin korunması ve izinsiz erişime karşı şebeke güvenliğinin sağlanması (Md. 12-j)
       

Buraya kadar anlatılmaya çalışıldığı üzere “güvenlik” çok önemlidir, ancak “biresel hak ve özgürlüklerin korunması” da aynı şekilde çok önemlidir. Bunun yanında, güvenlik sağlanırken işlevsellik ve ekonomiklik te ihmal edilmemelidir.

Yukarıdaki gösterimde de yer aldığı gibi güvenlik seviyesi ile bu konuya yapılan yatırımlar arasında belli bir denge de korunmalıdır. Bir noktadan sonra güvenlik seviyesinde çok küçük artış yapmak için çok büyük boyutlu yatırımlar yapılmak zorunda kalınmaktadır, bu da kabul edilebilir ekonomiklik sınırlarının dışına çıkmak demektir.

Aynı tablo güvenlik seviyesi ile hizmet seviyesi ya da kullanılabilirlik için de geçerlidir. Belli bir noktadan sonra güvenlik seviyesinin arttırılması hizmeti kullanılabilir olmaktan çıkartabilir. Bu nedenle burada da bir denge noktası bulunmalıdır.

Benzer şekilde Güvenlik-Gizlilik-Mahremiyet-Özgürlük konuları da dengeli ve ölçülü bir şekilde ele alınmalı hiçbiri diğerine feda edilmemelidir.

Daha güvenli bir dünya için iyilerin de en az kötüler kadar işbirliği içinde olması (kamu kurumları- özel sektör-sivil toplum örgütleri koordinasyonu) ve bu konuda tek başına yeterince etkin olunamayacağının kabul edilmesi şarttır.

Kaynaklar:

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir