Bilindiği üzere Türkiye Büyük Millet Meclisi (TBMM) 4 Mayıs 2007 tarihinde 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun’u kabul etmiştir. Bu yasa kurumlara belirli zorunluluklar getirmektedir. Yasanın uygulanması sırasında internet ortamında yapılan yayınların içeriklerini izleyerek, bu yasa kapsamına giren suçları oluşturan içeriğe sahip faaliyet ve yayınları önlemeye yönelik çalışmalar yapmak, herkese açık çeşitli servislerde yapılacak filtreleme, perdeleme ve izleme esaslarına göre donanım üretilmesi veya yazılım yapılmasına ilişkin asgari kriterleri belirlemek ve yasada gereken faaliyet belgelerini vermek gibi idari görevler Telekomünikasyon İletişim Başkanlığı (TİB)’na verilmiştir.

Yasanın kabulünden sonra gerek Telekomünikasyon Kurumu (2008 Kasım ayında adı Bilgi Teknolojileri ve İletişim Kurumu (BTK) olarak değiştirildi) gerekse Başbakanlık tarafından yayımlanan yönetmeliklerle, uygulamadaki detaylar belirlenmiştir.

Yasada internet ortamı, haberleşme ile kişisel veya kurumsal bilgisayar sistemleri dışında kalan ve kamuya açık olan internet üzerinde oluşturulan ortam olarak tanımlanmakta, internet ortamında yapılan yayın ise internet ortamında yer alan ve içeriğine belirsiz sayıda kişilerin ulaşabileceği verileri ifade etmektedir. Buna göre kişisel ve kurumsal haberleşme (içeriği) ile kurumların iç ağlarındaki kamuya açık olmayan bilgiler, İnternet ortamındaki yayınların kapsamı dışındadır.

Yasa erişim sağlayıcı, içerik sağlayıcı, yer sağlayıcı ve internet toplu kullanım sağlayıcı olmak üzere dört farklı faaliyet tanımlamıştır. Bu faaliyetlerin tanımları ve yasa önündeki yükümlülükleri aşağıda belirtilmiştir: devamını oku…

Kurumsal bilgi güvenliğinin sağlanmasında her çalışanın bilmesi ve uyması gereken temel prensipler:

1. Kurumsal Güvenlik Politikası’nı bilecek ve titizlikle gereklerini yerine getireceksin.
2. Kullanıcı adı/Parola bilgilerini hiçbir yere yazmayacak ve kimse ile paylaşmayacaksın.
3. Binaya yan kapılardan girenlere, bina içerisinde gördüğün yabancılara karşı şüpheci olacak, ziyaretçilere ziyaretleri süresince refakat edeceksin.
4. Önemli verilerinin yedeklerini düzenli olarak alacak ve bu yedeklerin güvenirlik kontrolünü yapacaksın.
5. Alışılagelmişin dışındaki telefon çağrılarına, e-postalara ve bu e-postaların eklerine karşı ihtiyatlı olacaksın.
6. İletişim hatları üzerinden gönderilen veya taşınabilir bilgisayarlar, aygıtlar veya pda’lerde bulunan kritik bilgileri şifreleyeceksin.
7. Masanı terk etmeden önce bilgisayarını mutlaka kilitleyeceksin.
8. Sadece bilmen gereken bilgiye erişim sağlayacaksın.
9. Güvenlik ile ilgili olayları en kısa zamanda ilgili birime veya yöneticine bildireceksin.
10. Ve son olarak … Hiçbir koşul altında internet üzerindeki sanal varlıklara çok fazla güvenmeyeceksin.

Lisanssız kullanım ve kurum bilgisayarlarının ve e-postalarının amaçları dışında kullanımı her ölçekteki firmalar için bir sorun oluşturmaktadır. Kurumsal işletmelerin varlık yönetimi yapabilecek Bilgi İşlem birimleri olabilmekte, ancak küçük ve orta boy işletmeler (KOBİ) için bu durum daha da kontrol dışına çıkmaktadır. KOBİ yöneticileri hem bu durumun üstesinden gelmek, hem de verimliliği artırmak için bir takım kontrol yöntemlerine başvurmakta, ancak işletmenin resmi bir politikası olmadığı veya var olan politika çalışanlara resmi olarak tebliğ edilmediği için, bu yöntemler yasadışı olmaktadır. Bundan dolayı aşağıda KOBİ’lerde uygulanabilecek örnek bir Bilgisayar ve E-posta Kullanım Politikası veriyorum. Bu politika yetkisiz erişim ve yazılım lisanslarını kapsadığı gibi, şiddet ve pornografik içeriği de kapsamakta ve işletmeye gerektiğinde çalışanlarını izleme yetkisini vermektedir.   devamını oku…