Belge Yönetimi ve Ofis Uygulamaları Dersi 8. Ünite Sorularla Öğrenelim
İnsan Kaynakları Yönetiminde Bilgi Ve Belge Güvenliği
Açıköğretim ders notları öğrenciler tarafından ders çalışma esnasında hazırlanmakta olup diğer ders çalışacak öğrenciler için paylaşılmaktadır. Sizlerde hazırladığınız ders notlarını paylaşmak istiyorsanız bizlere iletebilirsiniz.
Açıköğretim derslerinden Belge Yönetimi ve Ofis Uygulamaları Dersi 8. Ünite Sorularla Öğrenelim için hazırlanan ders çalışma dokümanına (ders özeti / sorularla öğrenelim) aşağıdan erişebilirsiniz. AÖF Ders Notları ile sınavlara çok daha etkili bir şekilde çalışabilirsiniz. Sınavlarınızda başarılar dileriz.
İnsan Kaynakları Yönetiminde Bilgi Ve Belge Güvenliği
İnsan kaynakları yönetiminde geçmişten günümüze bilgi teknolojileri kullanımının aşamaları nelerdir?
İnsan kaynakları yönetiminde geçmişten günümüze bilgi teknolojileri kullanımını 4 temel aşamada ele almaktayız. Bu aşamalar basılı belge esaslı sistemler, kişisel bilgisayarların ilk sürümlerinin kullanımı, veritabanı yönetim sistemlerinin gelişimi ve web tabanlı teknolojilerin ortaya çıkışıdır.
İnsan kaynaklarında bilgi teknolojilerinin kullanımının altında yatan temel gereksinim nedir?
İnsan kaynaklarında bilgi teknolojilerinin kullanımı, bu konudaki bilgi ve belge güvenliği gereksinimleri ile doğrudan bağlantılıdır. Bilgi güvenliği, kabaca bilgiye yetkisiz kişiler tarafından yapılacak erişimin ve zarar verecek eylemlerin engellenmesi şeklinde ifade edilebilir. Belge ise bilginin çeşitli şekillerde kayıt altına alınmış halidir. Bu sebeple, bilgi güvenliği için yapılan açıklamalar genel itibariyle belge güvenliği kavramını da kapsamaktadır.
Bilgi güvenliğinin gerçekleştirmeyi hedeflediği temel unsurlar nelerdir?
Bilgi güvenliği, gizlilik, bütünlük ve kullanılabilirlik olarak adlandırılan 3 temel unsuru gerçekleştirmeyi hedefler.
İnsan kaynakları yönetiminde bilgi teknolojileri kullanımını ilk aşaması olan basılı belge esaslı sistemler nasıl çalışmaktadır?
Bilgi teknolojilerinin yeni gelişmeye başladığı dönemlerde insan kaynakları yönetimi ve bilgi sistemleri çok fazla entegre durumda değildi. Belirli veriler İngilizce “mainframe” olarak adlandırılan bir ana bilgisayar ortamında saklanabilmekle ve çok temel düzeyde raporlama yapmak mümkün olabilmekteydi. Sonuç olarak teslim edilen raporun basılı bir belge olması söz konusudur ve bilgisayar tek başına bu belgenin iletilmesini sağlayamamaktadır. Bu durumda, bilgi güvenliği açısından ortaya çıkabilecek çekinceler çok fazla değildir. Ana bilgisayarın olduğu bölüme erişebilen ve elde edilen raporu ileten personelin yetkili kişiler olması bu anlamda büyük oranda yeterli olacaktır.
İnsan kaynakları yönetiminde bilgi teknolojileri kullanımını ikinci aşaması olan kişisel bilgisayarların ilk sürümlerinin kullanımı ile birlikte yaşanan gelişmeler nelerdir?
Kişisel bilgisayarların ilk sürümlerinin ve yerel bilgisayar ağlarının kullanıldığı dönemde, bilgiler merkezi bir sunucu bilgisayar ortamında kayıt altında tutulabilmektediydi. Ancak aynı işyerindeki kişisel bilgisayarlar vasıtasıyla merkezi bilgisayara erişebilemesi ve merkezi bilgisayar üzerindeki kayıtların görüntülenebilmesi söz konusuydu. Bu durumda, bilgi teknolojileri açısından gizlilik konusunda endişeler ortaya çıkmaya başlamıştır. Çünkü sadece belirli yetkilere sahip personellerin insan kaynakları ile ilgili bilgilere ulaşması gerekmektedir. Kayıtları görüntüleyebilecek veya değiştirilebilecek çalışanların belirlenmesi gerekmektedir. Dolayısıyla, gizlilik açısından problemlerin yaşanmaması için belirli çalışanlara belirli yetkilendirme dereceleri oluşturulması ihtiyacı doğmaya başlamıştır.
İnsan kaynakları yönetiminde bilgi teknolojileri kullanımının üçüncü aşaması olan veritabanı yönetim sistemlerinin gelişimi ile birlikte yaşanan gelişmeler nelerdir?
Veritabanı, birbirleriyle ilişkili bilgilerin belirli bir düzene göre depolandığı alandır. Veritabanı yönetim sistemleri de veritabanlarını oluşturmak ve içerisindeki verileri işlemek için tasarlanmış yazılımlardır. Veritabanı yönetim sistemleri teknolojisinin gelişimi ile birlikte bilgiler daha bütünleşik halde saklanmaya başlanmıştır. Bilgi sistemleri açısından insan kaynakları bölümleri ile kurumlardaki diğer bölümler entegre olabilir duruma gelmiştir. Bu durumda, veritabanı yönetim sistemlerinden faydalanılarak farklı bölümlere ait bilgilerin bir araya getirildiği karmaşık raporların elde edilmesi mümkün olabilmektedir. Sonuç olarak ta kurumlar insan kaynakları yönetimi ile ilgili modülleri de içerebilen yazılımlar satın almaya başlayabilmiştir. Kurumsal kaynak planlama sistemleri, bu tip yazılımlara örnek verilebilir. İnsan kaynaklarına ait bilgilerin bütünleşik bir sistemde yer alması kurum içerisindeki diğer bölümlerin de işine yarayabilmektedir. Bu durumda, bilgi teknolojileri açısından güvenlik endişelerinin daha da yüksek seviyede olabileceğini söyleyebiliriz. Çünkü bilgi sistemlerine erişebilen kurum çalışanlarının sayısının daha fazla olması söz konusu olacaktır.
Kurumsal kaynak planlama sistemi nedir?
Kurumsal kaynak planlama sistemleri, işletmenin tüm kaynaklarının birleştirilip verimli olarak kullanılması için tasarlanmış bilgi sistemlerine verilen genel addır. Bu sistemler, satın alma, müşteri hizmetleri, insan kaynakları gibi çok sayıda değişik bölümlere ait program modülleri içerebilirler. İnsan kaynaklarına ait bilgilerin bütünleşik bir sistemde yer alması kurum içerisindeki diğer bölümlerin de işine yarayabilmektedir.
İnsan kaynakları yönetiminde bilgi teknolojileri kullanımının dördüncü aşaması olan veritabanı yönetim sistemlerinin gelişimi ile birlikte yaşanan gelişmeler nelerdir?
Son dönemde ise insan kaynakları bölümleri ile ilgili olarak web tabanlı teknolojiler ortaya çıkmıştır. Bu altyapıyı barındıran bilgi sistemleri internet tarayıcıları vasıtasıyla kullanılabillir. Web tabanlı teknolojilerin kullanılmasının en önemli avantajı fiziksel olarak herhangi bir yerde bulunan bilgisayarlardan istenilen bilgilere ulaşılabilmesidir. Bu durumda, kullanıcı adı ve şifre girilen bir web arayüzü sayesinde belirli yetkiler dâhilinde çeşitli bilgiler görüntülenebilir ve raporlanabilir. Bu tip teknolojilere internet üzerinden erişilmesi sebebiyle güvenlik konusundaki kaygıların daha da fazla olması beklenebilir. Buna bağlı olarak ta gerekli güvenlik önlemlerinin alınması gerekmektedir.
Bilgi güvenliği nedir? Açıklayınız.
Bilgi güvenliği, kabaca bilgiye yetkisiz kişiler tarafından yapılacak erişimin ve zarar verecek eylemlerin engellenmesi şeklinde ifade edilebilir. Günümüzde, eldeki bilginin yapısı ve niteliği ne olursa olsun bilgi güvenliğinin etkin, sürekli ve
başarılı bir şekilde sağlanması büyük önem taşımaktadır.
Bilgi güvenliğinin temel unsurları nelerdir?
Bilgi güvenliği, temel olarak CIA üçgeni olarak adlandırılan yapının içerdiği 3 temel unsuru gerçekleştirmeyi hedefler. Bunlar; gizlilik (confidentiality), bütünlük (integrity) ve kullanılabilirlik (availability) olarak adlandırılır.
Bilgi güvenliği bağlamında gizlilik kavramı neyi ifade etmektedir? Açıklayınız.
Gizlilik kavramını mahremiyet (privacy) ile özdeşleştirmemiz mümkündür. Gizlilikle ilgili kavramlar temel olarak önemli bilgilerin yanlış kişilerin eline geçmesini engellemek amacını güder. Bilgiye erişim, ilgili konudaki yetkili kişiler ile sınırlı tutulmalıdır. Gizlilik kavramı açısından gerekli şartların sağlandığı çeşitli örnekler verebiliriz. İnternet bankacılığı kullanımı sırasında hesap numaralarının gizliliğinin korunması ve yetkisiz kişilerin eline geçmemesi bu konuda bir örnek olabilir. Bu amaca yönelik olarak veri şifreme (data encryption) gibi tekniklerden faydalanılabilmektedir. Bunun haricinde biyometrik kimlik doğrulama gibi teknikler gizliliğin korunması amacıyla kullanılabilmektedir. Biyometrik kimlik doğrulama, temel olarak kişilerin kimliklerinin çeşitli fiziksel özellikleri vasıtasıyla tespit edilmesidir. Bazı dizüstü bilgisayarlarda parmak izi tanıma sistemleri vasıtasıyla oturum açılabilmesi biyometrik kimlik doğrulamaya bir örnek olarak verilebilir.
Bilgi güvenliği bağlamında bütünlük kavramı neyi ifade etmektedir? Açıklayınız.
Bütünlük kavramı, bilgilerin eksiksiz, tutarlı ve doğru olması anlamını taşımaktadır. Bütünlüğün bozulmasına izin vermemek için yedekleme gibi bir takım yöntemler kullanılmalıdır. Bunun yanısıra bilgilerin bütünlüğünün doğrulanması için de bir takım yöntemler mevcuttur. Bilgisayar ağları üzerinden yapılan veri aktarımları sonrasında hedefe ulaşan verilerin bütünlüğünün doğrulanmasını buna örnek olarak verebiliriz.
Bilgi güvenliği bağlamında kullanılabilirlik kavramı neyi ifade etmektedir? Açıklayınız.
Kullanılabilirlik kavramı, bilgilerin ihtiyaç duyulduğunda yetkisi olan kişiler tarafından erişilebilir olmasıdır. Kullanılabilirliğin daha iyi anlaşılması için şöyle bir örnek verebiliriz. İnternet sitelerindeki bilgilere erişim kimi zaman çeşitli sebeplerden dolayı kesintiye uğrayabilmektedir. Bu durumda, bu bilgiler yetkili kullanıcılar tarafından kullanılabilir olmamaktadırlar.
Belge güvenliği nedir? Açıklayınız.
Belge, bilginin çeşitli şekillerde kayıt altına alınmış halidir. Dolayısıyla, bilgi güvenliği için yapılan tanımlar genel olarak belge güvenliğini de kapsamaktadır. Belge güvenliği, önemli belgelerin depolanması, yedeklenmesi ve bu belgelere yetkisiz kişilerin erişiminin engellenmesi şeklindeki işlemler topluluğu olarak tanımlanabilir.
Belge güvenliği açısından Türkiye’de kamu kurum ve kuruluşlarında kullanılan gizlilik seviyeleri nelerdir?
Belge güvenliği açısından Türkiye’de kamu kurum ve kuruluşlarında temelde 4 adet gizlilik seviyeleri ön görülmektedir. Bu gizlilik seviyeleri “Çok Gizli”, ”Gizli”, ”Özel” ve ”Hizmete Özel” olarak adlandırılmaktadır.
Belge güvenliği açısından Türkiye’de kamu kurum ve kuruluşlarında kullanılan gizlilik seviyelerinin kullanım amaçları nelerdir?
Türkiye’de kamu kurum ve kuruluşlarında kullanılan gizlilik seviyeleri; “Çok Gizli”, ”Gizli”, ”Özel” ve ”Hizmete Özel” olarak adlandırılmaktadır. Bu gizlilik seviyelerinin amaçları ile ilgili tanımlar kanunlarla belirtilebilmekte ve belgelere atanan gizlilik seviyelerine göre erişim yetkileri tanımlanabilmektedir. “Çok Gizli” gizlilik seviyesi, genel olarak sadece bilmesi gerekenlerin ulaşabilmesi istenen ve izinsiz açıklandığı takdirde devletin güvenliğine büyük zararlar verecek belgeler için kullanılır. ”Gizli” gizlilik seviyesi, genel olarak sadece bilmesi gerekenlerin ulaşabilmesi gereken, izinsiz açıklandığı takdirde devletin güvenliğine ciddi şekilde zarar verecek veya birtakım nedenlerle kanunların açıklanmasını yasakladığı bilgileri içeren belgeler için kullanılır. “Özel” gizlilik seviyesi, izinsiz açıklandığı takdirde devletin menfaatlerine zarar verecek belgeler için kullanılır. “Hizmete Özel” gizlilik seviyesi ise içerdiği bilgi itibariyle çok gizli, gizli ve özel gizlilik dereceleri ile korunması gerekmeyen ancak bilmesi gerekenlerden başkası tarafından bilinmesi istenmeyen belgeler için kullanılır.
Elektronik belgeler ile basılı belgeler arasındaki güvenlik kavramı farkı nedir?
Elektronik belgeler açısından güvenlik kavramı elbette basılı belgelere göre farklı bir şekilde ele alınmalıdır. Örneğin, elektronik belgelerin bilgi sistemi içerisinde uygulama alanlarına göre faturalar, sağlık kayıtları gibi farklı mantıksal bölümler içerisinde tutulduğunu varsayalım. Her bir mantıksal bölüm için verilecek erişim yetkilendirmeleri farklı olabilir. Bu sayede, sadece yetkilendirilmiş kişilerin belgelere erişimi söz konusu olur ve güvenlik sağlanmış olur. Benzer şekilde değişik mantıksal bölümler için farklı kişilere okuma veya değişiklik yapabilme gibi yetkilendirmeler yapılması da belge güvenliği kapsamında düşünülebilir.
İşe alınma süreçlerinde aday personel için bilgi ve belge güvenliğine yönelik olarak sağlanabilecek koşullar nelerdir?
İşe alınma süreçlerinde aday personel için bilgi ve belge güvenliğine yönelik olarak aşağıdaki koşulların sağlanmasına dikkat edilebilir.
• Kurumun bilgi güvenliği ile ilgili politikaları doğrultusunda yeni işe alınacak personelin üzerine düşen sorumluluklar belgelenmiş olmalıdır.
• Yeni işe alınacak personelin belgelenmiş olan bu sorumlulukları algıladığından emin olunmalıdır.
• Yeni işe alınacak olan personelin, gizlilik ve açığa çıkarmama anlaşmalarını imzalaması işe alınma şartının bir parçası olarak istenmelidir.
• Gizlilik ve açığa çıkarmama anlaşmaları, işe alınan personelin ve kuruluşun bilgi güvenliği sorumluluklarını kapsıyor olmalıdır.
Bilgi güvenliğine yönelik saldırıların amacı nedir?
Bilgi güvenliğine yönelik saldırıların amacı çoğunlukla işleyen sistemleri bir şekilde kesintiye uğratmak veya sistemlerin işleyişini tamamen durdurmaktır. İnternet sitesinin hizmet vermesini engellemek, internet sitesini başka sayfalara yönlendirmek, internet sitesinin içerdiği dosya ve bilgilere zarar vermek gibi eylemleri bilgi güvenliğine yönelik saldırılara örnek verebiliriz.
Bilgisayar korsanları amaçlarına göre nasıl sınıflandırılabilir?
Bilgisayar korsanları, her ne kadar bilgi güvenliğini tehdit etme özellikleri ortak noktaları olsa da amaçlarına göre farklı gruplara ayrılırlar. Bilgisayar korsanlarını dahafazla sayıda grup ile ifade etmek mümkün olmakla beraber bu bölümde 3 temel bilgisayar korsanı grubu üzerinde duracağız. Bu gruplar, beyaz şapkalı, kara şapkalı ve gri şapkalı bilgisayar korsanlarıdır.
Beyaz şapkalı bilgisayar korsanlarının amaçları nelerdir?
Bu gruptaki bilgisayar korsanları aynı zamanda etik bilgisayar korsanları olarak ta bilinirler. Amaçları sadece bilgi sistemlerinin açıklarını tespit etmektir ve bilgi sistemlerinin içerdiği bilgilere zarar verme eğiliminde değillerdir. Hatta kimi zaman şirketlerin bilgi sistemlerinin güvenlik düzeyini test etmek amacıyla bu türdeki bilgisayar korsanları ile çalışmaları söz konusu olabilmektedir. Bu sayede bilgi sistemlerinin açıklarını kapatabilmektedirler.
Kara şapkalı bilgisayar korsanlarının amaçları nelerdir?
Bu gruptaki bilgisayar korsanları bilgi sistemlerine yetkisiz giriş yaparak sistemlerin işleyişine ve içerdiği bilgilere zarar vermek amacını güderler. Daha önce de bahsedilen Kevin Mitnick isimli Amerika’lı bilgisayar korsanı bu anlamda dünyadaki en önemli örneklerden birisidir. Ancak Kevin Mitnick günümüzde bilgi güvenliği danışmanlığı yapmaktadır. Dolayısıyla şu an için daha çok beyaz şapkalı bir bilgisayar korsanı olduğunu söyleyebiliriz.
Gri şapkalı bilgisayar korsanlarının amaçları nelerdir?
Bu gruptaki bilgisayar korsanları kara şapkalı bilgisayar korsanları ile beyaz şapkalı bilgisayar korsanlarının karışımı niteliğindedir. Genel olarak kötü amaçlı olmasalar da bilgi sistemlerindeki güvenlik açıklarını bazen kendi çıkarları için kullanabilirler.
Bilişim suçlarını işleyen insan gruplarının suç işlerken kullandıkları kötü amaçlı yazılımlar nelerdir?
Bilişim suçlarını işleyen insan gruplarının suç işlerken kullandıkları kötü amaçlı yazılımlar virüs, truva atı, solucan, tuş kaydedici, casus yazılım gibi alt başlıklar altında toplanmaktadır. Kötü amaçlı yazılımlar, İngilizce “malicious software” veya kısaca “malware” olarak adlandırılan ve bilgi sistemlerine zarar verebilen yazılımlardır. Bu tür yazılımlar, e-posta eklerindeki dosyalar ve sosyal medyadaki bağlantı linkleri gibi çeşitli yolları kullanarak yayılırlar.
Virüs nedir?
Virüs, bilgisayara kullanıcıların bilgisi olmadan yüklenen ve kullanıcının isteği dışında işlemler yapan bir programdır. Virüslerin kendi kendine kopyalayarak çoğalması da söz konusu olabilmektedir. Virüsler genelde “exe” veya “bat” gibi dosya uzantılarına sahiptirler. Virüsler, bilgisayarlara bulaşıp yerleşme şekillerine göre temel olarak dosya virüsleri, önyükleme sektörü virüsleri, makro virüsler, ağ virüsleri gibi değişik gruplara ayrılabilmektedirler.
Truva atı nedir?
Truva atı, İngilizce “trojan horse” olarak adlandırılan bu kötü amaçlı yazılımlar bilgisayarların yetkisiz kişilerce uzaktan kullanılabilmesine imkân sağlayan programlardır. Bu tip programlar, mitolojideki Truva savaşındaki hediye görünümlü Truva atının kenti ele geçirmek isteyen askerlere kentin kapılarını açması gibi bir rolü bilgisayar ortamında oynamaktadırlar. Kullanıcıların Truva atını içeren yazılımı çalıştırmasıyla birlikte bilgisayar korsanları bilgisayardaki bir takım kaynaklara erişebilirler.
Solucan nedir?
Solucan, İngilizce “worm” olarak adlandırılan bu kötü amaçlı yazılımlar kendilerini başka bilgisayarlara yayılmak için çoğaltan programlardır. Bu tip programlar, içerisinde yayıldıkları bilgisayar ağlarını yavaşlatırlar. Solucan bir kez sisteme girdikten sonra kendi başına ilerleyebilir. Öreğin, içerisine girdiği bilgisayardaki e-posta adreslerini elde ederek başka kişilere kendi kopyalarını gönderebilir. Ağ kaynaklarının yüksek oranda kullanılmasından dolayı ilgili ağların kilitlenmesine, e-posta sunucularının aşırı yüklenmesine veya internet sayfalarına erişim hızının düşmesine neden olabilmektedirler.
Tuş kaydedici nedir?
Tuş kaydedici, İngilizce “keylogger” olarak adlandırılan bu kötü amaçlı yazılımlar bilgisayar veya başka elektronik cihazlarda yazılan her şeyi kaydeden ve başkalarının bu bilgileri toplamasına izin veren programlardır. Genellikle bilgisayar kullanıcılarının girdiği kullanıcı adı ve şifre gibi bilgileri izinsiz şekilde elde etmeyi amaçlarlar.
Casus yazılım nedir?
Casus yazılım, İngilizce “spyware” olarak adlandırılan bu kötü amaçlı yazılımlar bulundukları bilgisayardaki kişisel bilgileri veya internet aktivitelerini bilgisayar korsanlarına gönderen programlardır. Hedef bilgisayara bir kez bulaştıktan sonra çeşitli yollarla daha fazla yayılmaya ihtiyaç duymazlar. Casus yazılımın amacı girilen sistem içerisinde gizli kalarak istenen bilgileri toplamaktır. Bu bilginin kredi kartı numarası gibi önemli bir bilgi olması dahi söz konusu olabilir.
İnsan kaynakları yönetiminde geçmişten günümüze bilgi teknolojileri kullanımının aşamaları nelerdir?
İnsan kaynakları yönetiminde geçmişten günümüze bilgi teknolojileri kullanımını 4 temel aşamada ele almaktayız. Bu aşamalar basılı belge esaslı sistemler, kişisel bilgisayarların ilk sürümlerinin kullanımı, veritabanı yönetim sistemlerinin gelişimi ve web tabanlı teknolojilerin ortaya çıkışıdır.
İnsan kaynaklarında bilgi teknolojilerinin kullanımının altında yatan temel gereksinim nedir?
İnsan kaynaklarında bilgi teknolojilerinin kullanımı, bu konudaki bilgi ve belge güvenliği gereksinimleri ile doğrudan bağlantılıdır. Bilgi güvenliği, kabaca bilgiye yetkisiz kişiler tarafından yapılacak erişimin ve zarar verecek eylemlerin engellenmesi şeklinde ifade edilebilir. Belge ise bilginin çeşitli şekillerde kayıt altına alınmış halidir. Bu sebeple, bilgi güvenliği için yapılan açıklamalar genel itibariyle belge güvenliği kavramını da kapsamaktadır.
Bilgi güvenliğinin gerçekleştirmeyi hedeflediği temel unsurlar nelerdir?
Bilgi güvenliği, gizlilik, bütünlük ve kullanılabilirlik olarak adlandırılan 3 temel unsuru gerçekleştirmeyi hedefler.
İnsan kaynakları yönetiminde bilgi teknolojileri kullanımını ilk aşaması olan basılı belge esaslı sistemler nasıl çalışmaktadır?
Bilgi teknolojilerinin yeni gelişmeye başladığı dönemlerde insan kaynakları yönetimi ve bilgi sistemleri çok fazla entegre durumda değildi. Belirli veriler İngilizce “mainframe” olarak adlandırılan bir ana bilgisayar ortamında saklanabilmekle ve çok temel düzeyde raporlama yapmak mümkün olabilmekteydi. Sonuç olarak teslim edilen raporun basılı bir belge olması söz konusudur ve bilgisayar tek başına bu belgenin iletilmesini sağlayamamaktadır. Bu durumda, bilgi güvenliği açısından ortaya çıkabilecek çekinceler çok fazla değildir. Ana bilgisayarın olduğu bölüme erişebilen ve elde edilen raporu ileten personelin yetkili kişiler olması bu anlamda büyük oranda yeterli olacaktır.
İnsan kaynakları yönetiminde bilgi teknolojileri kullanımını ikinci aşaması olan kişisel bilgisayarların ilk sürümlerinin kullanımı ile birlikte yaşanan gelişmeler nelerdir?
Kişisel bilgisayarların ilk sürümlerinin ve yerel bilgisayar ağlarının kullanıldığı dönemde, bilgiler merkezi bir sunucu bilgisayar ortamında kayıt altında tutulabilmektediydi. Ancak aynı işyerindeki kişisel bilgisayarlar vasıtasıyla merkezi bilgisayara erişebilemesi ve merkezi bilgisayar üzerindeki kayıtların görüntülenebilmesi söz konusuydu. Bu durumda, bilgi teknolojileri açısından gizlilik konusunda endişeler ortaya çıkmaya başlamıştır. Çünkü sadece belirli yetkilere sahip personellerin insan kaynakları ile ilgili bilgilere ulaşması gerekmektedir. Kayıtları görüntüleyebilecek veya değiştirilebilecek çalışanların belirlenmesi gerekmektedir. Dolayısıyla, gizlilik açısından problemlerin yaşanmaması için belirli çalışanlara belirli yetkilendirme dereceleri oluşturulması ihtiyacı doğmaya başlamıştır.
İnsan kaynakları yönetiminde bilgi teknolojileri kullanımının üçüncü aşaması olan veritabanı yönetim sistemlerinin gelişimi ile birlikte yaşanan gelişmeler nelerdir?
Veritabanı, birbirleriyle ilişkili bilgilerin belirli bir düzene göre depolandığı alandır. Veritabanı yönetim sistemleri de veritabanlarını oluşturmak ve içerisindeki verileri işlemek için tasarlanmış yazılımlardır. Veritabanı yönetim sistemleri teknolojisinin gelişimi ile birlikte bilgiler daha bütünleşik halde saklanmaya başlanmıştır. Bilgi sistemleri açısından insan kaynakları bölümleri ile kurumlardaki diğer bölümler entegre olabilir duruma gelmiştir. Bu durumda, veritabanı yönetim sistemlerinden faydalanılarak farklı bölümlere ait bilgilerin bir araya getirildiği karmaşık raporların elde edilmesi mümkün olabilmektedir. Sonuç olarak ta kurumlar insan kaynakları yönetimi ile ilgili modülleri de içerebilen yazılımlar satın almaya başlayabilmiştir. Kurumsal kaynak planlama sistemleri, bu tip yazılımlara örnek verilebilir. İnsan kaynaklarına ait bilgilerin bütünleşik bir sistemde yer alması kurum içerisindeki diğer bölümlerin de işine yarayabilmektedir. Bu durumda, bilgi teknolojileri açısından güvenlik endişelerinin daha da yüksek seviyede olabileceğini söyleyebiliriz. Çünkü bilgi sistemlerine erişebilen kurum çalışanlarının sayısının daha fazla olması söz konusu olacaktır.
Kurumsal kaynak planlama sistemi nedir?
Kurumsal kaynak planlama sistemleri, işletmenin tüm kaynaklarının birleştirilip verimli olarak kullanılması için tasarlanmış bilgi sistemlerine verilen genel addır. Bu sistemler, satın alma, müşteri hizmetleri, insan kaynakları gibi çok sayıda değişik bölümlere ait program modülleri içerebilirler. İnsan kaynaklarına ait bilgilerin bütünleşik bir sistemde yer alması kurum içerisindeki diğer bölümlerin de işine yarayabilmektedir.
İnsan kaynakları yönetiminde bilgi teknolojileri kullanımının dördüncü aşaması olan veritabanı yönetim sistemlerinin gelişimi ile birlikte yaşanan gelişmeler nelerdir?
Son dönemde ise insan kaynakları bölümleri ile ilgili olarak web tabanlı teknolojiler ortaya çıkmıştır. Bu altyapıyı barındıran bilgi sistemleri internet tarayıcıları vasıtasıyla kullanılabillir. Web tabanlı teknolojilerin kullanılmasının en önemli avantajı fiziksel olarak herhangi bir yerde bulunan bilgisayarlardan istenilen bilgilere ulaşılabilmesidir. Bu durumda, kullanıcı adı ve şifre girilen bir web arayüzü sayesinde belirli yetkiler dâhilinde çeşitli bilgiler görüntülenebilir ve raporlanabilir. Bu tip teknolojilere internet üzerinden erişilmesi sebebiyle güvenlik konusundaki kaygıların daha da fazla olması beklenebilir. Buna bağlı olarak ta gerekli güvenlik önlemlerinin alınması gerekmektedir.
Bilgi güvenliği nedir? Açıklayınız.
Bilgi güvenliği, kabaca bilgiye yetkisiz kişiler tarafından yapılacak erişimin ve zarar verecek eylemlerin engellenmesi şeklinde ifade edilebilir. Günümüzde, eldeki bilginin yapısı ve niteliği ne olursa olsun bilgi güvenliğinin etkin, sürekli ve
başarılı bir şekilde sağlanması büyük önem taşımaktadır.
Bilgi güvenliğinin temel unsurları nelerdir?
Bilgi güvenliği, temel olarak CIA üçgeni olarak adlandırılan yapının içerdiği 3 temel unsuru gerçekleştirmeyi hedefler. Bunlar; gizlilik (confidentiality), bütünlük (integrity) ve kullanılabilirlik (availability) olarak adlandırılır.
Bilgi güvenliği bağlamında gizlilik kavramı neyi ifade etmektedir? Açıklayınız.
Gizlilik kavramını mahremiyet (privacy) ile özdeşleştirmemiz mümkündür. Gizlilikle ilgili kavramlar temel olarak önemli bilgilerin yanlış kişilerin eline geçmesini engellemek amacını güder. Bilgiye erişim, ilgili konudaki yetkili kişiler ile sınırlı tutulmalıdır. Gizlilik kavramı açısından gerekli şartların sağlandığı çeşitli örnekler verebiliriz. İnternet bankacılığı kullanımı sırasında hesap numaralarının gizliliğinin korunması ve yetkisiz kişilerin eline geçmemesi bu konuda bir örnek olabilir. Bu amaca yönelik olarak veri şifreme (data encryption) gibi tekniklerden faydalanılabilmektedir. Bunun haricinde biyometrik kimlik doğrulama gibi teknikler gizliliğin korunması amacıyla kullanılabilmektedir. Biyometrik kimlik doğrulama, temel olarak kişilerin kimliklerinin çeşitli fiziksel özellikleri vasıtasıyla tespit edilmesidir. Bazı dizüstü bilgisayarlarda parmak izi tanıma sistemleri vasıtasıyla oturum açılabilmesi biyometrik kimlik doğrulamaya bir örnek olarak verilebilir.
Bilgi güvenliği bağlamında bütünlük kavramı neyi ifade etmektedir? Açıklayınız.
Bütünlük kavramı, bilgilerin eksiksiz, tutarlı ve doğru olması anlamını taşımaktadır. Bütünlüğün bozulmasına izin vermemek için yedekleme gibi bir takım yöntemler kullanılmalıdır. Bunun yanısıra bilgilerin bütünlüğünün doğrulanması için de bir takım yöntemler mevcuttur. Bilgisayar ağları üzerinden yapılan veri aktarımları sonrasında hedefe ulaşan verilerin bütünlüğünün doğrulanmasını buna örnek olarak verebiliriz.
Bilgi güvenliği bağlamında kullanılabilirlik kavramı neyi ifade etmektedir? Açıklayınız.
Kullanılabilirlik kavramı, bilgilerin ihtiyaç duyulduğunda yetkisi olan kişiler tarafından erişilebilir olmasıdır. Kullanılabilirliğin daha iyi anlaşılması için şöyle bir örnek verebiliriz. İnternet sitelerindeki bilgilere erişim kimi zaman çeşitli sebeplerden dolayı kesintiye uğrayabilmektedir. Bu durumda, bu bilgiler yetkili kullanıcılar tarafından kullanılabilir olmamaktadırlar.
Belge güvenliği nedir? Açıklayınız.
Belge, bilginin çeşitli şekillerde kayıt altına alınmış halidir. Dolayısıyla, bilgi güvenliği için yapılan tanımlar genel olarak belge güvenliğini de kapsamaktadır. Belge güvenliği, önemli belgelerin depolanması, yedeklenmesi ve bu belgelere yetkisiz kişilerin erişiminin engellenmesi şeklindeki işlemler topluluğu olarak tanımlanabilir.
Belge güvenliği açısından Türkiye’de kamu kurum ve kuruluşlarında kullanılan gizlilik seviyeleri nelerdir?
Belge güvenliği açısından Türkiye’de kamu kurum ve kuruluşlarında temelde 4 adet gizlilik seviyeleri ön görülmektedir. Bu gizlilik seviyeleri “Çok Gizli”, ”Gizli”, ”Özel” ve ”Hizmete Özel” olarak adlandırılmaktadır.
Belge güvenliği açısından Türkiye’de kamu kurum ve kuruluşlarında kullanılan gizlilik seviyelerinin kullanım amaçları nelerdir?
Türkiye’de kamu kurum ve kuruluşlarında kullanılan gizlilik seviyeleri; “Çok Gizli”, ”Gizli”, ”Özel” ve ”Hizmete Özel” olarak adlandırılmaktadır. Bu gizlilik seviyelerinin amaçları ile ilgili tanımlar kanunlarla belirtilebilmekte ve belgelere atanan gizlilik seviyelerine göre erişim yetkileri tanımlanabilmektedir. “Çok Gizli” gizlilik seviyesi, genel olarak sadece bilmesi gerekenlerin ulaşabilmesi istenen ve izinsiz açıklandığı takdirde devletin güvenliğine büyük zararlar verecek belgeler için kullanılır. ”Gizli” gizlilik seviyesi, genel olarak sadece bilmesi gerekenlerin ulaşabilmesi gereken, izinsiz açıklandığı takdirde devletin güvenliğine ciddi şekilde zarar verecek veya birtakım nedenlerle kanunların açıklanmasını yasakladığı bilgileri içeren belgeler için kullanılır. “Özel” gizlilik seviyesi, izinsiz açıklandığı takdirde devletin menfaatlerine zarar verecek belgeler için kullanılır. “Hizmete Özel” gizlilik seviyesi ise içerdiği bilgi itibariyle çok gizli, gizli ve özel gizlilik dereceleri ile korunması gerekmeyen ancak bilmesi gerekenlerden başkası tarafından bilinmesi istenmeyen belgeler için kullanılır.
Elektronik belgeler ile basılı belgeler arasındaki güvenlik kavramı farkı nedir?
Elektronik belgeler açısından güvenlik kavramı elbette basılı belgelere göre farklı bir şekilde ele alınmalıdır. Örneğin, elektronik belgelerin bilgi sistemi içerisinde uygulama alanlarına göre faturalar, sağlık kayıtları gibi farklı mantıksal bölümler içerisinde tutulduğunu varsayalım. Her bir mantıksal bölüm için verilecek erişim yetkilendirmeleri farklı olabilir. Bu sayede, sadece yetkilendirilmiş kişilerin belgelere erişimi söz konusu olur ve güvenlik sağlanmış olur. Benzer şekilde değişik mantıksal bölümler için farklı kişilere okuma veya değişiklik yapabilme gibi yetkilendirmeler yapılması da belge güvenliği kapsamında düşünülebilir.
İşe alınma süreçlerinde aday personel için bilgi ve belge güvenliğine yönelik olarak sağlanabilecek koşullar nelerdir?
İşe alınma süreçlerinde aday personel için bilgi ve belge güvenliğine yönelik olarak aşağıdaki koşulların sağlanmasına dikkat edilebilir.
• Kurumun bilgi güvenliği ile ilgili politikaları doğrultusunda yeni işe alınacak personelin üzerine düşen sorumluluklar belgelenmiş olmalıdır.
• Yeni işe alınacak personelin belgelenmiş olan bu sorumlulukları algıladığından emin olunmalıdır.
• Yeni işe alınacak olan personelin, gizlilik ve açığa çıkarmama anlaşmalarını imzalaması işe alınma şartının bir parçası olarak istenmelidir.
• Gizlilik ve açığa çıkarmama anlaşmaları, işe alınan personelin ve kuruluşun bilgi güvenliği sorumluluklarını kapsıyor olmalıdır.
Bilgi güvenliğine yönelik saldırıların amacı nedir?
Bilgi güvenliğine yönelik saldırıların amacı çoğunlukla işleyen sistemleri bir şekilde kesintiye uğratmak veya sistemlerin işleyişini tamamen durdurmaktır. İnternet sitesinin hizmet vermesini engellemek, internet sitesini başka sayfalara yönlendirmek, internet sitesinin içerdiği dosya ve bilgilere zarar vermek gibi eylemleri bilgi güvenliğine yönelik saldırılara örnek verebiliriz.
Bilgisayar korsanları amaçlarına göre nasıl sınıflandırılabilir?
Bilgisayar korsanları, her ne kadar bilgi güvenliğini tehdit etme özellikleri ortak noktaları olsa da amaçlarına göre farklı gruplara ayrılırlar. Bilgisayar korsanlarını dahafazla sayıda grup ile ifade etmek mümkün olmakla beraber bu bölümde 3 temel bilgisayar korsanı grubu üzerinde duracağız. Bu gruplar, beyaz şapkalı, kara şapkalı ve gri şapkalı bilgisayar korsanlarıdır.
Beyaz şapkalı bilgisayar korsanlarının amaçları nelerdir?
Bu gruptaki bilgisayar korsanları aynı zamanda etik bilgisayar korsanları olarak ta bilinirler. Amaçları sadece bilgi sistemlerinin açıklarını tespit etmektir ve bilgi sistemlerinin içerdiği bilgilere zarar verme eğiliminde değillerdir. Hatta kimi zaman şirketlerin bilgi sistemlerinin güvenlik düzeyini test etmek amacıyla bu türdeki bilgisayar korsanları ile çalışmaları söz konusu olabilmektedir. Bu sayede bilgi sistemlerinin açıklarını kapatabilmektedirler.
Kara şapkalı bilgisayar korsanlarının amaçları nelerdir?
Bu gruptaki bilgisayar korsanları bilgi sistemlerine yetkisiz giriş yaparak sistemlerin işleyişine ve içerdiği bilgilere zarar vermek amacını güderler. Daha önce de bahsedilen Kevin Mitnick isimli Amerika’lı bilgisayar korsanı bu anlamda dünyadaki en önemli örneklerden birisidir. Ancak Kevin Mitnick günümüzde bilgi güvenliği danışmanlığı yapmaktadır. Dolayısıyla şu an için daha çok beyaz şapkalı bir bilgisayar korsanı olduğunu söyleyebiliriz.
Gri şapkalı bilgisayar korsanlarının amaçları nelerdir?
Bu gruptaki bilgisayar korsanları kara şapkalı bilgisayar korsanları ile beyaz şapkalı bilgisayar korsanlarının karışımı niteliğindedir. Genel olarak kötü amaçlı olmasalar da bilgi sistemlerindeki güvenlik açıklarını bazen kendi çıkarları için kullanabilirler.
Bilişim suçlarını işleyen insan gruplarının suç işlerken kullandıkları kötü amaçlı yazılımlar nelerdir?
Bilişim suçlarını işleyen insan gruplarının suç işlerken kullandıkları kötü amaçlı yazılımlar virüs, truva atı, solucan, tuş kaydedici, casus yazılım gibi alt başlıklar altında toplanmaktadır. Kötü amaçlı yazılımlar, İngilizce “malicious software” veya kısaca “malware” olarak adlandırılan ve bilgi sistemlerine zarar verebilen yazılımlardır. Bu tür yazılımlar, e-posta eklerindeki dosyalar ve sosyal medyadaki bağlantı linkleri gibi çeşitli yolları kullanarak yayılırlar.
Virüs nedir?
Virüs, bilgisayara kullanıcıların bilgisi olmadan yüklenen ve kullanıcının isteği dışında işlemler yapan bir programdır. Virüslerin kendi kendine kopyalayarak çoğalması da söz konusu olabilmektedir. Virüsler genelde “exe” veya “bat” gibi dosya uzantılarına sahiptirler. Virüsler, bilgisayarlara bulaşıp yerleşme şekillerine göre temel olarak dosya virüsleri, önyükleme sektörü virüsleri, makro virüsler, ağ virüsleri gibi değişik gruplara ayrılabilmektedirler.
Truva atı nedir?
Truva atı, İngilizce “trojan horse” olarak adlandırılan bu kötü amaçlı yazılımlar bilgisayarların yetkisiz kişilerce uzaktan kullanılabilmesine imkân sağlayan programlardır. Bu tip programlar, mitolojideki Truva savaşındaki hediye görünümlü Truva atının kenti ele geçirmek isteyen askerlere kentin kapılarını açması gibi bir rolü bilgisayar ortamında oynamaktadırlar. Kullanıcıların Truva atını içeren yazılımı çalıştırmasıyla birlikte bilgisayar korsanları bilgisayardaki bir takım kaynaklara erişebilirler.
Solucan nedir?
Solucan, İngilizce “worm” olarak adlandırılan bu kötü amaçlı yazılımlar kendilerini başka bilgisayarlara yayılmak için çoğaltan programlardır. Bu tip programlar, içerisinde yayıldıkları bilgisayar ağlarını yavaşlatırlar. Solucan bir kez sisteme girdikten sonra kendi başına ilerleyebilir. Öreğin, içerisine girdiği bilgisayardaki e-posta adreslerini elde ederek başka kişilere kendi kopyalarını gönderebilir. Ağ kaynaklarının yüksek oranda kullanılmasından dolayı ilgili ağların kilitlenmesine, e-posta sunucularının aşırı yüklenmesine veya internet sayfalarına erişim hızının düşmesine neden olabilmektedirler.
Tuş kaydedici nedir?
Tuş kaydedici, İngilizce “keylogger” olarak adlandırılan bu kötü amaçlı yazılımlar bilgisayar veya başka elektronik cihazlarda yazılan her şeyi kaydeden ve başkalarının bu bilgileri toplamasına izin veren programlardır. Genellikle bilgisayar kullanıcılarının girdiği kullanıcı adı ve şifre gibi bilgileri izinsiz şekilde elde etmeyi amaçlarlar.
Casus yazılım nedir?
Casus yazılım, İngilizce “spyware” olarak adlandırılan bu kötü amaçlı yazılımlar bulundukları bilgisayardaki kişisel bilgileri veya internet aktivitelerini bilgisayar korsanlarına gönderen programlardır. Hedef bilgisayara bir kez bulaştıktan sonra çeşitli yollarla daha fazla yayılmaya ihtiyaç duymazlar. Casus yazılımın amacı girilen sistem içerisinde gizli kalarak istenen bilgileri toplamaktır. Bu bilginin kredi kartı numarası gibi önemli bir bilgi olması dahi söz konusu olabilir.