30 Mayıs 2015 Cumartesi

Nabza Göre Güvenlik: Kuşakların Bilgi Güvenliği Yaklaşımları


Yakın zamanda katıldığım "Kuşaklar Arası İletişim" eğitiminden sonra, önemli bir parçası iletişim olan bilgi güvenliği alanıyla ilgisini düşünmeye başladım. Farklı kuşakların iş yaşamına, teknolojiye ve hayata uyum sağlamalarında gösterdiği değişiklikler bilgi güvenliği politikalarının uygulanmasında, kuralların aktarılmasında izlediğimiz yolları ne oranda etkiliyor sorusunu aklıma getirdi. Bu kapsamda kuşakları tek tek inceleyip uyguladığımız yöntemlerin etkisinin ne ölçüde olduğunu ve değişime ihtiyaç olan iletişim alanlarını belirlemeye çalıştım.

İlk olarak sosyolojik anlamda kuşakların toplumsal hareketlerden nasıl etkilendiklerini, değişimlere nasıl cevap verdiklerini ve olaylar karşısındaki tutumlarını inceleyerek buna karşı hangi stratejileri izlememiz gerektiğini belirleyelim.

Kuşaklar; Baby Boomer’lar, X, Y ve Z kuşağı olarak doğdukları yıllara göre ayrılırlar. En yaşlıları 69, en gençleri 15 yaşında. Her birinin karakteri, beklentileri, yaşama amacı, içinde bulundukları koşullar, iş yapış şekilleri farklıdır.


Baby-Boomer'lar, 1946-1964 arası doğanlara denir. “Baby boom” bir Kuzey Amerikan-İngiliz terimidir. Özellikle Amerika’da II. Dünya savaşının bitiminde başlayıp 1960 yılı başlarına kadar süren, yıllık doğum hızında büyük artış anlamına geliyor. Amerika’da bu dönemde gelişen ekonomiye de paralel olarak 78.2 milyon kişi doğmuş ve 1955, doğum artış hızının tepe yaptığı yıldır. Bu olay, “baby boom”, bu dönemde doğanlar da  “baby boomer” olarak adlandırılıyor. Şu anda baby boomer neslinin en yaşlısı 69 yaşında, en genci ise 51 yaşındadır. Bu nesil teknolojiden uzaktır, diğer bir deyişle teknolojiyi benimseyememiştir. Teknoloji yaygın olmadığı için çoğu zaman işlerini kendi kendilerine yapmak zorunda kalmış, üretmişlerdir. Bunun yanında, iş sadakatleri yüksektir. Diğer kuşaklardan farklı olarak, iş yaşamları için “çalışmak için yaşamışlardır” ifadesi kullanılabilir. Sadakatlilik ve kanaatkârlık duyguları oldukça yüksektir. Ülkemizin %19’unu oluşturuyorlar.[1]

Baby-Boomer'ların bilgi güvenliği anlayışı nasıldır?
Baby-Boomer'lar teknolojiye uzaktır ve benimseyememiştir. Bu yüzden saldırganların işlerini en çok kolaylaştıran kuşaktır. Sosyal mühendisliğe çok açıktırlar. Cep telefonu üzerinden kendini polis, savcı olarak tanıtan dolandırıcılar genelde bu kuşağı hedef alırlar. Çünkü bu kuşak için otoriteye saygı önemlidir. Zararlı linklere çok kolay tıklarlar ve yönergeleri takip edebilirler. Konu teknoloji olunca herkese güvenirler. Tüm bunların yanında bilgi güvenliği politikalarını en kolay uygulayabileceğiniz kuşaktır. Otoriteye ve kurallara bağlılıkları sayesinde politikalarınızı sorgulamadan kabul edip uygulamaya başlarlar. Bu yüzden mevcut politikaların en kolay ulaştığı kuşaktır, ekstra bir şey yapmanıza gerek yok. Sadece iyi anlatın yeter.  

***

X kuşağı, 1965-1979 arası doğanlara denir. Bu durumda en yaşlısı 50, en genci 36 yaşındadır. X nesli kurallara uyumlu, aidiyet duygusu güçlü, otoriteye saygılı, sadık, çalışkanlığa önem veren bir kuşak olarak tanımlanıyor. İş yaşamlarında çalışma saatlerine uyumlu olup iş motivasyonları yüksektir. Belirli çalışma süresinden sonra kademe atlayabileceklerine inanırlar ve sabırlıdırlar. Daha çok yaşamak için çalışırlar. Ayrıca, bu nesil, bir takım icatlara, buluşlara şahitlik etmiştir. Dünyaya gözlerini merdaneli çamaşır makinesi, transistörlü radyo, kaset çalar ve pikapla açan X nesli sakinleri pek çok dönüşüm yaşamıştır. Özellikle, teknoloji açısından düşünüldüğünde, bilgisayar sistemlerinin dönüşümü ve buna bağlı değişen iş yapış şekillerine adapte olmaya çalışmışlardır. Ülkemizin %22’sini oluştururlar.[1]

X kuşağının bilgi güvenliği anlayışı nasıldır?
Transistörlü radyolardan akıllı telefonlara geçiş yapmış bu kuşağın teknolojiyle ilşkisi Baby-Boomer'lara göre nispeten iyidir. Fakat uyum sorunu yaşayanların da sayısının fazla olduğu söylenebilir. Otoriteye saygı bu kuşağın da bir karakteri olduğu için politikalara kolay uyum sağlarlar. Ancak bir şartla. Mantıklarına uymasını beklerler. Eğer mantıklı bir şekilde anlatabilirseniz, örneklerini somut olarak gösterebilirseniz politikalarınızı benimseyeceklerdir. Ayrıca, bilgi güvenliğinin özellikle Türkiye'de gelişmesinde öncü rol oynayan IT uzmanlarının bir çoğu X kuşağı üyesidir. Bir çok kurumda bilgi güvenliği politikalarını belirleyen ve onaylayan bu kuşaktır. Bu yüzden X kuşağı politikaların uygulanmasında ve geliştirilmesinde öncülük etmiştir.

***

Y kuşağı, 1980-1999 arası doğanlardır. Y neslinin en yaşlısı 35, en genci ise 16 yaşındadır. Teknoloji her şeyleridir. İnternet, sosyal medya, akıllı telefonlarla haşır neşir olan, hatta bir tehlike anında kendinden önce akıllı telefonunu kurtarmayı düşünecek kadar ileri gidebilen bir nesildir. Kuşaklar arası farklılığın en çok hissedildiği nesil özelliği taşırlar. Çünkü onlar bağımsız olmayı seviyorlar, özgürlüklerine düşkünler ve iş yaşamlarında da farklılar. Belirlenen mesai saatleri arasında çalışmayı sevmiyorlar. Bu yüzden, iş saatinden ziyade işe odaklanmaları gerekiyor. Bu durumda onları işin bir parçası haline getirmek önemlidir. X nesline göre Y neslinin örgütsel bağlılıkları azdır ve çok fazla iş değiştirdikleri de söyleniyor. Bir an önce yönetici olmak ya da kendi işlerini kurmak istiyorlar. Onlar, iş hayatını sadece yaşamlarını sürdürebilmek için değil, daha rahat para harcamak için istiyorlar. Y nesli, çok farklı kişisel özellikler taşımakta ve özellikle üniversitelerden yeni mezun olanları kapsamaktadır. Y neslinin uyumsuz olduğu, kendisinden farklı düşünenleri acımasızca eleştiri yağmuruna tuttuğu da bir gerçek. Bu durum aşırı bireyci olmasından ve otorite tanımamasından kaynaklanıyor. Bu nesil kural tanımıyor. Ülkemizin %35’ini oluşturdukları söyleniyor. Yani 27 milyon genç. [1]

Y kuşağının bilgi güvenliği anlayışı nasıldır?
Benim de içinde bulunduğum ülkemizin % 35'ini oluşturan Y kuşağı. Otoriteye bağlı olmayan, kural tanımayan, teknolojiden hızlı hareket eden, sosyal medyada yaşayan kuşak kurumların bilgi güvenliği politikalarını uygulamakta en çok zorlandığı kuşaktır. Kişisel cep telefonlarından, tabletlerinden şirket kaynaklarına erişmek isterler. İşlerini kolaylaştırmak için teknolojiyi sonuna kadar kullanırlar. Anında şirket bilgisi dahil her şeyi sosyal medyada paylaşabilirler. Bilgi güvenliğinin sadece regülasyonlara uyum olduğunu düşünürler. Bilgi güvenliği politikasına karşı "Neden, ne olacak?" sorusunu muhakkak sorarlar ve verilen cevaptan tatmin olmazlar. Y kuşağına karşı yasakçı politikalardan ziyade çağın gerekliliklerini güvenli bir şekilde uygulama yoluna gidilmelidir. Y kuşağının ihtiyaçlarına yüz çevirmek sadece politikanın bir panoda asılı durmasından başka bir fayda sağlamaz. Politikanın Y kuşağına ulaşmasını sağlamanın en önemli adımlarından biri sorgulayıcı sorularına karşı mantıklı cevaplar verebilmektir. 

2000 yılından sonra doğan kuşak ise Z kuşağı olarak adlandırılmaktadır. Bu kuşak doğduğu anda tabletlerle tanışan bir kuşaktır. Şu anda iş hayatında olmadıkları için bir değerlendirme yapmayacağım. Belki ilerde güncelleme yaparım. :)

Sonuç olarak, kuşakların yukarıda anlatılan farklılıklarına göre hareket etmek, bilgi güvenliği kültürünü oluşturmak için politikaları aktarmada ve uygulamada yaşanılan zorlukları aşma yolunda önemli bir adım olacaktır.Referanslar
Kuşaklar ile ilgili açıklamaları aşağıdaki sayfadan temin ettim.
1- http://www.acikbilim.com/2013/09/dosyalar/nesiller-ayriliyor-x-y-ve-z-nesilleri.html

14 Mayıs 2015 Perşembe

Siber Tehdit Analizi Zihin Haritası

Projelerde bilgi güvenliğinin son dakika işi olmaması için projenin en başında güvenlik uzmanlarının yer alması gerekiyor. Giderek daha da karmaşıklaşan sistemlerin güvenlik analizleri yapılırken konuya her açıdan yaklaşmak, zafiyete neden olacak bir nokta bırakmamak için önemli. Bu yüzden yapılan güvenlik analizlerinde en ufak detayı kaçırmamak için bir zihin haritası oluşturdum. 

Öncelikle zihin haritasından kısaca bahsedeyim. Aklımızdan geçen her şeyi gruplandırarak görsel bir harita oluşturuyoruz. Bu haritalar sayesinde hem fikirlerin yönetimi, hem de yeni fikirlerin ortaya çıkması kolaylaşıyor. Benim gibi çalışırken görsel ögeleri kullanmayı sevenler için faydalı olacağını düşünüyorum. Hemen hemen her işinizde zihin haritalarını kullanabilirsiniz. Alışverişe giderken dahi :) Ücretsiz zihin haritası (mind map) araçlarına internetten ulaşabilirsiniz.

Hazırladığım siber tehdit analizi zihin haritasında aklıma ilk gelen maddeleri ekledim. Sizlerden gelecek geri dönüşlere göre ekleme/düzenleme yapabilirim. Siber tehdit analizi zihin haritası v1.0'a aşağıdan ulaşabilirsiniz.

Tam boyuta ulaşmak için lütfen sağ tıklayıp yeni sekmede açmayı deneyin.Şekil-1. Siber Tehdit Analizi Zihin Haritası v1.0