OECD, üye devletlerin kendi ülkelerindeki sivil toplum kuruluşları ve iş çevreleriyle birlikte hareket ederek, küreselleşen dünyada sosyal, yönetimsel ve çevresel faktörlerin ekonomiye olan etkisi üzerinde beraber düşündükleri global bir forum.

Bu kapsamda zaman içinde doğabilecek her türlü fırsatın da ele alındığı ve birlikte aksiyon almak için kafa yorulduğu, fikir üretildiği ve harekete geçildiği etkin bir örgüt olarak öne çıkıyor.

WPISP [1] ise, ICCP [2] çatısı altında faaliyet gösteren ve OECD Bilim, Teknoloji ve Endüstri sekretaryasıyla desteklenen bir alt forum. WPISP'nin konsey altındaki şematik yeri için Şekil 1. Konsey ve WPISP şeması incelenebilir.

Şekil 1. Konsey ve WPISP şeması

WPISP'nin başlıca görevleri ve ilgi alanlarına bakacak olursak;

• Günümüz toplumlarının haberleşme ağı olan İnternete güven duygusunun temini ve sürdürülebilmesi için politikalar üretmek,

• Bilgi güvenliği ve mahremiyetini, dijital dünyanın merkezinde konumlamak ve en temel öğesi olarak adreslemek

• Hükümet görevlileri, iş çevreleri ve sivil toplum örgütlerinden uzmanların katılımıyla aktif ve paylaşımcı bir sosyal ağ platformu oluşturmak olarak sıralanabilir.

Böylece WPISP, dünyadaki son trendlerin takip edildiği, deneyimlerin paylaşıldığı ve test edildiği, teknoloji ile bilgi güvenliği ve mahremiyetinin etki analizinin yapıldığı ve netice olarak bu konularla ilgili yol gösteren politikaların üretildiği bir platform olarak hizmet vermektedir.

WPISP bu hedeflerine ulaşmak için bazı temel değerlerle hareket etmektedir. Bunlar, global ve çok kültürlü bir platformun başarısı için gerekli olan iletişim ve eşitlik gibi bazı temel değerleri referans alır. Detay olarak irdelemek gerekirse WPISP;

• Ulusal politikaların üretilebilmesi için altyapı oluşturur ve fikir desteği verir.

• Dengelidir ve pragmatiktir, ilkelere göre davranır. Kültürel, sosyal ve hukuki farklılıklara saygı duyar.

• OECD'nin üyesi olmayan ülkeleriyle olan ilişkilerini de kullanarak çok geniş kitlelerden fikir alış verişi yapma imkanına sahiptir.

• Diğer uluslararası ve yerel organizasyonlarca tanınmasının avantajını kullanır.

Bu avantajları ve çalışma disipliniyle WPISP, OECD genel merkezinde senede iki kere toplanır. Bunun dışında düzenli olarak konferanslar ve paneller de düzenlemektedir. İş dünyasından, sivil toplum kuruluşlarından ve diğer uluslararası organizasyonlardan katılımcılarıyla çok sesli bir çalışma ortamına sahiptir ve bu sayede bilgi güvenliği ve mahremiyeti alanında yön gösterici bir rol oynayabilmektedir.

"Güvenlik; bireylerin, kurumların ve hükümetlerin bilişim teknolojileri ve İnternet kullanımlarının ayrılmaz bir parçası olmak zorundadır" [3]

OECD'nin bilgi ve teknoloji güvenliğinin günlük yaşama adaptasyonunda referans aldığı bakış açısı yukarıdaki gibidir. Günlük yaşamın her alanında bireylerin yada kurumların, bilişim teknolojilerine dokunduğu her anda güvenlik ve mahremiyetin akılda tutulması gerekir.

Bilgi güvenliği konusuna bu kadar önem veren OECD'nin, konuya yaklaşımını açıklayan diğer başlıklara değinirsek; [4]

• Güvenlik, bireylerin ve kurumların e-iş ve e-devlet uygulamalarına güvenmesini sağlayacak en temel anahtardır.

• Güvenlik, dijital toplumun yumuşak karnıdır.

• Güvenlik, uluslararası politikalarda uzlaşıya ihtiyaç duyar.

OECD ve WPISP güvenlik kaygılarını; elektronik iş ve ticaret ile e-devlet uygulamalarının karşılaşabileceği ve büyümesini engelleyeceği en kritik unsurlardan olduğunu kabul eder. Bununla birlikte dijital toplumun oluşturabilmesi ve kullanımının artması için de İnternet güvenliğine ihtiyaç duyulmaktadır. Bilişim sistemlerinin sınırları ise, alışılagelen devlet ve hükümütlerin çizgilerinden bağımsız ve bütün dünyayı deyim yerindeyse küçük bir "köy" haline getirdiği için tüm toplumları birden ilgilendirir. Çünkü sistemlerin güvenliği ancak en zayıf halkanınki kadardır. Bu nedenle ilgili politikaların üretilmesi ve hükümetlerce kabul edilmesi son derece önem arzetmektedir.

Şekil 2. OECD, Daha iyi hayatlar için daha iyi politikalar

Rehber İlkeler

WPISP, OECD üyesi ülkelerle birlikte bilgi güvenliği alanında rehber politikalar üretmek için belirli ilkeleri referans alır ve ihtiyaç duyulan düzenlemeler buna göre yapılır.

9 kategoriye ayrılan ancak birbirini tamamlar nitelikteki prensiplere bir göz atalım;

1.) Bilinç

Kullanıcılar bilgi sistemleri ve ağları güvenliğinin önemi ve etkileri konusunda bilinçli olmalıdır. Dijital topluma doğru hızla evrilen yeni yaşam tarzında, bilişim teknolojilerinin güvenlik açıkları kullanılarak tüzel ve gerçek kişilerin hayatının nasıl etkilenebileceğinin farkında olunmalıdır.

2.) Sorumluluk

Bilgi sistem ve ağlarının güvenliğinden tüm kullanıcılar sorumludur. Her birey kendi üzerine düşen görevi hem kendi hem de diğer bütün kullanıcıları düşünerek dikkatle yerine getirmelidir.

3.) Tepki

Kullanıcılar güvenlik tehditlerini önlemek, saptamak ve aynı organizasyon içindeki diğer kullanıcılarla birlikte olaya tepki vermek durumundadır. Bunu da ivedilikle ve sistem yöneticileriyle işbirliği içinde gerçekleştirmelidir.

4.) Etik

Kullanıcılar birbirilerinin yasal çıkarlarına ve haklarına saygı göstermelidir. Bilgi güvenliğini tehdit eden herhangi bir olaya tepkisiz kalındığı anda, o tehditin bir diğer kullanıcıya da çok kısa sürede ulaşabileceği ve zarar verebileceği bilincinde olmalıdırlar.

5.) Demokrasi

Bilgi sistem ve ağlarının güvenliği, demokratik toplumun temel değerleriyle örtüşmelidir. Serbest bilgi alış verişi, ifade özgürlüğü ve şeffaflık gibi değerlerin bilgi güvenliğinin tesisinde de aynı öneme haiz olduğunu her kullanıcı bilmelidir.

6.) Risk

Kullanıcılar risk değerlendirmesi yapabilmelidir. Bilgi sistemlerinin varlığına yönelik herhangi bir tehditin etki düzeyi analiz edilebilmeli, kullanıcılar risk seviyesini algılayabilmelidir.

7.) Güvenlik tasarımı ve uygulama

Kullanıcılar, bilgi sistem ve ağlarının çok önemli bir unsurunun güvenlik olduğunun farkında olmalıdır. Bu nedenle güvenlik tasarımı, bilgi güvenliği sistemleri kurulumundan uygulamasına kadar teknik ve teknik olmayan her fazda önde tutulmalıdır.

8.) Güvenlik Yönetimi

Güvenlik yönetimi ve politikaları, kullanıcıların bilgi ve faaliyet düzeyleri göz önünde tutularak oluşturulmalıdır. Katılım seviyesi, kullanıcı rolü, risk ve sistem gereksinimlerine bağlı güvenlik yönetim gereksinimleri tutarlı şekilde oluşturulmalıdır. Sistem bakım, onarım, faaliyet ve tehdit unsurları güvenlik yönetim yaklaşımında ve politikaların belirlenmesinde dikkatle ele alınmalıdır.

9.) Yeniden değerlendirme

Kullanıcılar, bilgi sistem ağları ve güvenliğini tekrar tekrar ele almalıdır. Belirli periyotlarla, yeni saldırı tehditleri ve gelişen teknolojiyle birlikte esnek bir şekilde prosedürler değiştirilebilmelidir.

OECD'nin güvenlik yönergelerinde benimsediği ilkeleri özetlemiş olduk. Peki bu ilkeler neticesinde kullanıcıların kazanması beklenen davranış şekli ve bilgi güvenliğine bakış açısı nasıl olmalıdır?

Bu rehber ilkelerin amaçlarına değinecek olursak;

• Bilgi sistemlerini kullanan tüm kullanıcıların belirli bir güvenlik kültürünü kazanmaları,

• Bilgi sistemlerinin maruz kaldığı riskler ve bu risklere karşı alınabilecek önlemlerin ve prosedürlerin gerekliliği,

• Bilgi sistemleri kullanıcılarının kendileri ve sistemlerini güvende hissetmeleri

• Bilgi güvenliği politikalarının oluşturulmasında tüm üyelerin katkıda bulunması ve bilgi paylaşımın teşvik edilmesi,

• Oluşturalacak politikaların tüm kullanıcılar tarafından sahiplenmesi,

• Bilgi güvenliğinin tüm bilgi sistemleri kullanıcılarının önem verdiği ve her zaman gündemde tuttukları bir başlık olmasını sağlamak

olarak sıralanabilir.

OECD ve alt forumu olan WPISP'nin güvenlik yaklaşımı bu şekilde özetlenebilir. Hızla büyüyen ve sınırları tahminlerin çok ötesine geçen dijital dünyada, bireylerin bu yeni yaşam formatına alışması ve kendini güvende hissetmesi olmazsa olmazlardandır.

Bilgi güvenliği ve mahremiyetinin temeli işte bu politikaların üretilmesiyle inşa edilebilir. Bütün devletlerin katılımları ve desteklemesiyle yürürlüğe konulan ve teknik ihtiyaçları gözeterek oluşturulan altyapıların da sağlanmasıyla hayata geçirilebilir. İşte bu şekilde bireyler ve kurumlar dijital çağa hazırlanacak ve kendilerini güvende hissederek bu yeni yaşam formatını benimseyeceklerdir.

Referanslar

[1]:Working Party of Information Security and Privacy

[2]:Committe for Information, Computer and Communications Policy

[3]:Committe The OECD "Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security" (2002)

[4]:Committe The OECD "Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security" (2002)

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.