Kurumsal Gizlilik Rehberi. 2 3

www.securitas.com.tr 2 Kurumsal Gizlilik Rehberi 3 Kurumsal Gizlilik Rehberi İçindekiler 1 1. Kurumsal Gizlilik (KG) ve Ticari İstihbarata Kar...
Author: Alp Baybaşin
9 downloads 0 Views 128KB Size
www.securitas.com.tr

2

Kurumsal Gizlilik Rehberi

3

Kurumsal Gizlilik Rehberi

İçindekiler

1 1. Kurumsal Gizlilik (KG) ve Ticari İstihbarata Karşı Koyma (TİKK) 2 2. Kurum Çalışanlarının Kurumsal Gizlilik için Kişisel Olarak Alabilecekleri Tedbirler 6 3. Kurumsal Gizlilik ve TİKK Tedbirleri 14 4. Posta Yoluyla Gönderilen Patlayıcı Maddelere Karşı Alınacak Önlemler 18 5. İşletmelerde Zararlı (Yıkıcı - Bölücü) Faaliyetlere Karşı Önlemler 20 6. İşletmelerde Gösteri ve Kargaşalara Karşı Önlemler 23 7. Elektronik Bilgi İşlem Merkezleri (EBİM) ile İlgili Alınacak Tedbirler 26 8. Veri Güvenliği

Önsöz

Toplumun daha güvenli bir ortamda yaşaması için hizmet veren Securitas, kurumsal ve kişisel güvenlik konularındaki bilgi birikim ve deneyimlerini barındıran bir dizi yayını kamuoyu ile paylaşarak, kişilerin ve kurumların yaşamlarında huzur, güven ve emniyet tesis etmeyi amaçlamaktadır. Dünya çapında hizmet verdiği ülkelerde, “Güvenlikte Bilgi Lideri” sloganı ile kamuoyuna seslenen Securitas, Türkiye’de de bu söylemi destekleyen faaliyetleri ile toplumsal hayata, uzman olduğu alanda değer kazandırmak çabası içerisindedir. Kurumsal Gizlilik Rehberi, bu amaçlar doğrultusunda yayımlanmıştır. Kurumsal gizlilik konusu, işletmelerin üretimlerinde veya sundukları hizmette verimli ve sektörde kalıcı olabilmeleri için hassasiyetle yaklaşmaları gereken bir husustur. Bir işletme, rekabet süreci içerisinde; muhtemel sanayi casusluğu, teknoloji hırsızlığı, yetişmiş uzman personel ve bilgi transferine karşı her türlü ticari istihbaratı önlemek için bir dizi tedbirler almalıdır. Her işletme, bu titizliği gösterdiği takdirde ülke güvenliğine de büyük oranda katkı sağlamış olacaktır.

1 Kurumsal Gizlilik (KG) ve Ticari İstihbarata Karşı Koyma (TİKK) İşletmeler arası rekabet sürecinde; muhtemel sanayi casusluğu, teknoloji hırsızlığı, yetişmiş uzman personel ve bilgi transferlerine karşı ticari istihbarata karşı koyma (TİKK) tedbirlerinin alınmasında kurumsal gizlilik önemli bir faktördür. İşletmelerin üretimlerinde ve/ veya sundukları hizmette verimli ve sektörde kalıcı olabilmeleri için bu konuya hassasiyet ile yaklaşmaları gerekmektedir. Her işletme, bu titizliği gösterdiği takdirde ülke güvenliğine de büyük oranda katkı sağlamış olacaktır. Konuyu; • Çalışanların Kurumsal Gizlilik için Kişisel Olarak Alabilecekleri Tedbirler • Kurumsal Gizlilik ve Ticari İstihbarata Karşı Koyma (TİKK) Tedbirleri olarak iki başlık altında ele almak mümkündür.

1

1.

Şirketin tüm personeli, görev gereği doğrudan veya dolaylı olarak kendisine verilmiş yazılı, şifahi bilgi ve belgelerin her türlü ortamda gizliliğinin korunmasından bireysel olarak sorumludur.

2.

Şirkete ait telefon rehberlerinde kayıtlı telefon numaraları ve diğer irtibat bilgileri, şirket dışından kişilere verilmemelidir. Yabancı personelle temas halinde olan şirket çalışanları yabancıların gerek iş, gerekse ikamet yerlerindeki durumları, temasları ve hareket tarzı konusunda gözlem yapmalı ve şüpheli durumları vakit geçirmeden şirket güvenlik yöneticisine ve/veya şirket yöneticilerine bildirmelidir.

3.

2

4.

Şirketin tüm personeli şirket dışında hiç kimseyle şirket güvenliğini ve gizliliğini sarsıcı nitelikte tartışma ve görüşme yapmamalı, bilgi ve belge vermemelidir. Şirketin kadrosu, kuruluşu, finansal verileri, müşteri ilişkileri-bağlantıları… vb konular hakkında açıklama yapılmamalıdır.

5.

Şirketin özel bilgilerini ortaya çıkarabilecek belge ve dokümanlar mesai sonrası, başka bir mekânda çalışmak gayesi ile şirket dışına çıkartılmamalıdır. Çalışmanın o gün bitirilmesi gerekiyor ise, ilgili yöneticiden izin alınarak şirket binasında çalışılması uygundur.

6.

Şirket çalışanları maaşlar, ek haklar ve ödenekler gibi mali konular hakkında şirket dışındaki kişilere bilgi vermekten kaçınmalıdırlar.

7.

Şirket çalışanları, kişisel sorunlarını, şirket içindeki anlaşmazlık ve şikâyetleri şirket dışına taşımamalıdırlar. Bu gibi konular, şirkete zarar vermek isteyen kişi ve kişiler tarafından (provokatörler) tehdit unsuru olarak kullanılabilir.

8.

Şirketin hedefleri, projeleri hakkında kimseye bilgi verilmemelidir.

9.

Çalışanlar şirket harici kurum, kuruluşlardan ve yabancılardan hediye, malzeme vb. şeyler kabul etmekten ve bu gibi promosyon/eşantiyon malzeme için söz, istek ve ikramlardan kaçınmalıdırlar.

10.

Çalışanlar, kurumsal olarak organize edilen kokteyl, yemek ve balo gibi sosyal toplantılarda alkol tüketimi konusunda dikkatli olmalıdırlar. Kişinin kendi öz

Çalışanların Kurumsal Gizlilik İçin Kişisel Olarak Alabilecekleri Tedbirler İşletmelerin, kurumsal gizlilik tedbirleri kapsamında ilk aşamada, tüm güvenlik unsurlarını içinde barındıran, planlama, uygulama, denetim ve geri besleme süreçlerinden sorumlu bir Güvenlik Yöneticisi atamaları gerekmektedir. İşletmelerde gizliliğin sağlanması ve rakip firmaların ticari istihbarat elde etme girişimlerine karşı TİKK tedbirlerinin alınmasında, güvenlik yöneticilerinin alacağı tedbirlerin yanında çalışanlara da görev ve sorumluluklar düşmektedir. Çalışanların bu konuda alacağı tedbirler ise şöyle sıralanabilir:

2

3

denetimini etkileyebilecek oranda alkol tüketmesi, bu durumdan yararlanmak isteyen ticari istihbaratçılar için kaçınılmaz bir fırsat yaratacaktır.

4

11.

Şirket dışındaki kimselerin bilmesi sakıncalı olan, “şirket sırrı” olarak nitelendirilebilecek bilgiler yabancılar tarafından öğrenilmek istendiğinde veya böyle bir durum sezildiğinde, durum şirket özel güvenlik birimine ve şirket yöneticilerine en kısa sürede bildirilmelidir.

12.

Yeni bir proje, buluş, icat, marka… vb üretim alanlarında faaliyet gösteren şirket çalışanları, çalıştıkları bölümlere, yakınlık derecesi ne olursa olsun (arkadaş, akraba, o bölüme giriş izni olmayan diğer şirket çalışanları) hiç kimseyi kabul etmemeli ve çalışanlar konu hakkında bilgi vermemelidirler.

13.

Telefon kullanıldığı zaman, gizli konuların görüşülmesinde varsa emniyetli telefonların kullanılması sağlanmalıdır. Kalabalıkta veya yabancıların yanında gizlilik derecesi olan konular görüşülmemelidir.

14.

Çalışanlar ziyaretçilerini çalışma ofisleri yerine şirketin tahsis ettiği ziyaretçi salonlarında kabul etmelidirler. Şirket içinde ziyaretçi salonu bulunmuyorsa, ziyaretçi kabulleri için ayrı bir masa ya da bölüm kullanılmalıdır. Personelin çalıştığı masa ya da makamda yapılması gereken ziyaretçi kabullerinde ise oda içerisindeki önemli evraklar göz önünden kaldırılmalıdır.

15.

Şirket dışından kimselerle birlikte düzenlenen her türlü sosyal aktivitede şüphe çekici herhangi bir davranışa karşı güvenlik yöneticisi ve/veya şirket yöneticileri bilgilendirilmelidir.

16.

Çalışanlar, iş ortamında şahit oldukları ve şirketi zor duruma düşüreceğini düşündükleri, şüpheli durumları güvenlik yöneticisi ve/veya şirket yöneticilerine bildirmelidirler.

17.

Mesai bitimlerinde önemli evrak ve dokümanlar açıkta bırakılmamalı, işi biten evraklar dosyalanmalı, diğerleri ise çekmeceye ya da dolaba kaldırılmalıdır.

18.

Gizlilik derecesinde önem taşıyan müsvedde evrak ve kâğıtlar ile çalışma sonuçları çöp sepetlerine atılmamalı, çalışan personel tarafından kâğıt kırpma makinesinden geçirilerek imha edilmelidir. Eğer bir kırpma makinesi yoksa birleştirilemeyecek kadar küçük parçalara ayrıldıktan sonra diğer çöplerle karıştırılarak atılmalıdır.

Tarihte, birçok önemli plan ve projenin çöplerdeki müsveddelerden toplanarak çalındığı unutulmamalıdır. 19.

Çalışan personel tarafından günlük mesai bitiminde ofisin pencereleri kapatılmalı, perdeler çekilmeli, çalışan büro aletleri, özellikle bilgisayarlar kapatılmalı, disketler kilitli yerlerde muhafaza edilmeli, kapılar kilitlenerek anahtarları güvenlik yöneticisinin belirlediği bir güvenlik odasında, varsa bir prosedüre bağlı olarak işletilen anahtar dolabında bulundurulmalıdır. Anahtar hareketleri ise (teslim etme-alma) kayıt altına alınmalıdır.

20.

Mesai başlangıçlarında aynı usulle çalışma yerleri açılmalı, çalışma yerine girildiğinde herhangi bir uygunsuz durum varsa özel güvenlik birimlerine ve işletme yöneticilerine bilgi verilmelidir.

5

3 Kurumsal Gizlilik ve Ticari İstihbarata Karşı Koyma (TİKK) Faaliyetleri Gizlilik prensibi olmayan veya uygulanmayan işletmelerin, çalışma alanlarında birçok sorun ile karşılaştıkları bilinen bir gerçektir. Örneğin, yeni bir ürünü veya hizmeti piyasaya sunacak ya da yeni bir projeyi tanıtacak ve uygulamaya başlayacak olan firmaların, kurumsal gizlilik ilkelerini uygulamadıkları için, telafisi çok zor maddi ve manevi kayıplara uğradığı görülmektedir. Bu nedenle işletmelerin, ticari gizlilik ilkelerini tüm birimlerinde tam olarak uygulamaları ve bunun yanında aynı iş kolunda faaliyet gösteren rakip firmaların ticari istihbarat elde etme girişimlerine karşı önlem almaları gerekmektedir. İşletmelerde özel güvenlik birimlerinin aldıkları fiziki güvenlik tedbirlerinin yanı sıra aşağıda belirtilen hususlara dikkat etmeleri tavsiye edilmektedir:

6

3A.

İşletmelerde Personel ile İlgili Alınacak Önlemler

1.

Personel alımı sürecinde, açılan pozisyona aday kişiler ile ilgili (özellikle kritik pozisyonlarda çalışacak olanlar) detaylı araştırma yapılmalıdır. Bu araştırmaların yanı sıra işe alınacak personelin özgeçmişinde belirttiği işyerleri ile ilgili referans görüşmeleri yapılarak kişi hakkında bilgi edinilmeye çalışılmalıdır.

2.

İşletmede kurumsal gizliliğin sağlanmasında temel kurallardan biri; kurumsal firmalarda belirlenen “davranış kuralları”nın şirket çalışanlarına, oryantasyon veya tazeleme eğitimleri gibi yöntemlerle aktarılarak, işletmenin hassasiyetleri, çalışanlardan kurumsal gizlilik alanında beklenen davranış/tutum tarzlarının açıkça ifade edilmesidir.

3.

Ziyaretçilerin ofislere girişleri için özel kurallar uygulanmalı, görüşmeler belirlenen saat aralıklarında ve tahsis edilecek ziyaretçi salonlarında ya da bu işe ayrılmış masa ve bölümlerde yapılmalıdır.

4.

Şirket harici personelin giriş ve çıkışları kayıt altına alınmalı, uzun süreli giriş ve çıkışlar için özel kart sistemi uygulanmalıdır.

5.

Çalışanların ve şirket dışından gelen ziyaretçilerin rahatça ayırt edilebilmeleri için, şirkete ait güvenlik tanıtım kartlarının ve ziyaretçi kartlarının görünür bir şekilde kullanılması sağlanmalıdır. Ziyareti sona erenlerin, ziyaretçi kartlarını çıkışta güvenlik / resepsiyona bırakmaları, şirketten ayrılan personelin ise, şirket kartını ilişik kesme safhasında iade edip etmediği kontrol edilmelidir.

6.

Şirketten emeklilik, istifa vb. nedenlerle ayrılan personel ile ilgili bilgiler şirket içerisinde ayrıca, bankalara, işbirliği yapılan firmalara ve şirketin alt kuruluşlarına mutlaka duyurulmalıdır.

7.

Özellikle, geniş alan üzerine kurulu tesislere sahip işletmelerde, tesis içerisine girmesi gereken ziyaretçiler yalnız bırakılmamalı, ziyaret ve çalışmalar, mutlaka bir şirket personelinin nezaret ve kontrolünde olmalıdır.

8.

Bilhassa tatil günleri ve mesai harici saatlerde şirket personeli olmayan kişilerin şirket saha ve ofislerine girişleri kısıtlanmalıdır. Bu tür faaliyetler güvenlik yöneticisinin izni ve asgari bir şirket çalışanının refakatinde yapılmalıdır. 7

8

9.

Hangi sebeple olursa olsun, şüphe uyandıran kişi ve kişiler çalışanlar tarafından şirketin özel güvenlik yetkililerine bildirilmelidir.

10.

Şirket çalışanlarına belirli periyotlarda şirket içi çalışma kuralları ve şirkette uyulması gereken gizlilik prensipleri ile ticari istihbarata karşı koyma konularında eğitim ve seminerler verilmeli ve yetkili yöneticiler tarafından bu konularda denetimler yapılmalıdır.

11.

Yurt içi ve yurt dışı seyahatler ile bilgiler, işyeri ve ikamet adresleri özel güvenlik birimine bildirilmelidir.

12.

Şirket içerisinde kritik pozisyonlarda çalışan personeli ve önemli kişileri tanıma amacı güttüğü sanılan şirket dışından kimselere, personelin çalışma yerleri, nitelik ve yetenekleri, eğitim ve planları ile ilgili bilgiler verilmemelidir.

13.

Şirketin kadrosu, kuruluşu ve bağlantıları hakkında şirket dışındaki kişilere bilgi verilmemelidir.

14.

Personelin ekonomik durumları, maaş ve ödenekleri ile ilgili bilgiler verilmemelidir.

15.

Şirketin ekonomik gaye ile ulaşmak istediği amaçları, finansal bilgileri plan ve düşünceleri hakkında bilgi verilmemelidir.

16.

Zorunlu olmadıkça yönetim sistemleri tartışılmamalıdır.

17.

Görevi gereği yabancılarla sürekli ilişki içerisinde bulunacak personel özel olarak seçilmeli ve bu personele şirketin TİKK konusundaki kuralları açıkça anlatılmalıdır.

18.

Gizlilik derecesi olan bilgileri içeren her türlü haberleşme sürecinde, kullanılan araç-gereçler ve bilgilerin yer aldığı e-mail, faks kâğıdı… vb materyaller ile ilgili temkinli olunmalı ve bu materyaller titizlikle saklanmalıdır. Faksla haberleşme yapılırken gizlilik ihtiva eden işler için varsa emniyetli faks cihazı kullanılmalıdır.

Şirket çalışanları dışında, uzman, araştırmacı, kursiyer veya stajyer olarak orta ve uzun vadede şirket içerisinde bulunacak kişiler için de bazı TİKK kuralları uygulanmalıdır. Bu kurallar ise şöyledir: 1.

Bu tarz pozisyonlarda bulunan çalışanlar, mümkün olduğu kadar göz önünde ve toplu olarak bulundurulmalıdırlar.

2.

Görevi nedeniyle iletişimde bulunması gerekli kişiler haricindeki şirket çalışanlarıyla görüşmeleri sınırlandırılmalı, işin içeriğine göre, gerekli görüldüğü hallerde, yemekhane, çalışma ofisleri… vb alanları diğer personel ile ayrı tutulmalıdır.

3.

Söz konusu kişiler için, gerekli görüldüğü takdirde bir çalışma alanı belirlenmeli, görev sahaları dışındaki alanlara giriş-çıkışları kontrollü ya da kısıtlı olmalıdır.

4.

Şirkete özel görüşme ve gezi için gelen yabancı konuklar ziyaret mahalleri ve gezi güzergâhlarının dışına çıkartılmamalıdır.

5.

Mesai bitiminde çalışma odaları kilitlenmeli, oda anahtarları özel güvenlik birimindeki kilitli dolaplarda muhafaza edilmeli; özel güvenlik biriminin bulunmaması halinde uygun görülen bir yöntemle koruma altına alınmalıdır. Mesai haricinde ve başlangıcında odaların yetkisiz kişilerce açılması önlenmelidir.

3B.

Evrak, Doküman ve Malzemeler ile İlgili Alınacak Tedbirler

1.

Önemli evrak ve dokümanlar açıkta bırakılmamalı, işi biten evraklar dosyalanmalı, diğerleri ise bir çekmeceye ya da dolaba kaldırılarak muhafaza edilmelidir. Gizlilik derecesi yüksek belge ve dokümanlar ise kilit altında ya da tercihen kasada saklanmalıdır.

2.

Yetkisi olmayan personelin evrak ve dokümanları almasına, incelemesine ve çoğaltmasına izin verilmemelidir.

3.

Mesai bitimine yakın ofislerdeki çöp sepetleri toplatılmalı, sepetler içerisinde gizlilik ihtiva eden müsvedde evrak varsa kırpma makinesinde imha edilmelidir. 9

3C. 4.

5.

Kurye tarafından taşınan özel evrakların, yolculuk esnasında torba veya çantanın özel bir korumaya tabi tutulduğu imajı verilmemelidir.

6.

Seyahat esnasında tanışılan şahıslara kurye hizmeti yapıldığından bahsedilmemelidir.

7.

Önemli evrakların bulunduğu çantalar ve şirkete ait bilgisayarlar seyahat sırasında, seyahat edilen aracın bagajına verilmemelidir.

8.

Kuryeler zorunlu olmadıkça gece yolculuğu yapmamalıdırlar.

9.

Aracın arıza yapması ve mola vermesi durumlarında kurye, araç dışına çıkarken çantayı yanında bulundurmalı ve çantayı araç içinde bırakmamalıdır.

10.

Malzeme-eşya yüklemeleri ve boşaltmaları mutlaka bir yetkili nezaretinde yaptırılmalı, bu esnada bölgeye, işi olmayan kişiler yaklaştırılmamalıdır.

11.

Şirkete ait malzeme ve eşya açıkta bırakılmamalı, düzenli tasnif edilmiş depolarda muhafaza edilmelidir.

12.

Giriş ve çıkış yapan araçlar mutlaka kontrol edilmeli, üzerlerindeki malzemenin fatura içeriğine göre kontrol ve sayımı yapılmalı; fatura harici mal bulunduran araçlar özel güvenlik birimine bildirilmelidir.

13.

Software ortamında bulunan bilgi ve belgeler ise şifreli oluşturulmalı ve kullanılan bilgisayarlarda da muhakkak açılış şifresi bulundurulmalıdır. Bu şifreler kullanıcılar tarafından belirli periyotlarda değiştirilmelidir.

14.

10

Bir yerden bir yere nakledilecek evrak veya doküman dosya ve klasörler açıkta taşınmamalı; zarflandıktan sonra bir torba veya çanta içinde taşınmalıdır. Kıymetli evrak ve dokümanlar mümkünse çift zarf içine konulmalı, genel ulaşım araçlarıyla bagaj şeklinde gönderilmemeli, şirkete ait güvenilir ve gizlilik kurallarına hâkim özel kuryelerle gönderilmelidir.

CD, flashdisk gibi taşınabilir bellekler iyi muhafaza edilmeli, ihtiva ettiği bilgilere göre kilit altında tutulmalıdır.

Organizasyonlarda Alınacak Tedbirler

Kurum içi organizasyonlar sırasında alınacak fiziki tedbirlerin yanı sıra dikkat edilmesi gereken bazı hususlar bulunmaktadır. Organizasyonlarda alınacak tedbirlerin amacı; genel kurul, toplantı, brifing, seminer, konferans gibi müşterek çalışma veya faaliyetlerde ele alınan konuların, ortaya çıkartılan bilgi, karar ve dokümanların, toplantı esnasında yapılacak konuşmalardan elde edilecek tedbir veya düzenlenecek rapor / sonuç gibi değerlendirmelerin gizliliğini ve emniyetini sağlamaktır. Bu tür faaliyetlerde aşağıdaki önlemlerin alınması şirketlerin maruz kalabileceği riskleri büyük ölçüde azaltacaktır: 3C1.

Toplantı Yeri Seçilirken Dikkat Edilecek Hususlar

a.

Toplantı yeri dışarıdan gözetleme ve müdahaleye müsait olmamalıdır.

b.

Mücavir çalışma yerlerinden duvarlarla ayrılmış olmalıdır.

c.

Dışarıdaki seslerden rahatsız, olunacak geçiş yolu ve koridor gibi alanlar üzerinde bulunmamalıdır.

3C2.

Toplantı Yerinin Emniyeti

a.

Düzenlenecek olan toplantı kapsamı, katılımcı seviyesine göre izlenecek güvenlik politikası ve kullanılacak güvenlik ekipmanları (X-Ray, Kapı Tipi Metal Arama Detektörü vb.) belirlenmelidir. Toplantı mahallinde Genel Kolluk birimleri var ise, alınan önlemler koordine edilmelidir.

b.

Toplantı yapılacak yerin güvenlik tedbirlerinin alınması için toplantı yapılacak yer ve saat ile toplantıya katılacak olanlar özel güvenlik yetkililerine, toplantı organizatörlerine ve varsa toplantı girişlerinde yönlendirme yapacak sekreter, host/hosteslere bildirilmelidir.

c.

Toplantı salonuna, sadece toplantıya katılacak olanların girmesine müsaade edilmelidir. Katılımcılar, toplantı salonuna, katılımcı listesi ya da davetiye kontrolü ile alınmalıdır.

d.

Protokolün ya da üst düzey yöneticilerin katılacağı toplantı organizasyonlarından önce, toplantı salonu güvenlik bilgisi olan kişiler tarafından teknik kontrolden geçirilmeli, sabotaja ve gizlilik ihlaline sebep olabilecek her türlü etken ortadan kaldırılmalıdır. 11

e.

Toplantı sırasında davetsiz kişilerin toplantı salonuna girmeleri engellenmeli ve bunun için toplantıda görevlendirilen sekreterin, host/hosteslerin toplantı salonunu gözlemlemeleri sağlanmalıdır.

f.

Toplantıda tutulan müsveddeler çöpe atılmamalı, kırpma makinesi ile imha edilmelidir. Toplantı sonuç raporları ve dokümanlar ise yalnızca yetkili kişilere teslim edilmelidir.

f.

Salonun temizliği ve düzeni varsa güvenlik görevlilerinin, yoksa host/hostes, sekreterin nezaretinde, toplantı öncesinde yaptırılmalıdır. Protokolün veya üst düzey yöneticilerin katılacağı toplantılarda gerekli olan her türlü araç ve gereç, toplantı öncesi teknik kontrolden geçirilerek salona konulmalıdır.

g.

Toplantı sonunda salon dikkatli bir şekilde gözden geçirilmeli, unutulan evrak ve dokümanlar sahiplerine iade edilmeli ya da yetkililere verilmelidir.

g.

12

h.

Toplantı sorumlusu, güvenlik görevlisi ve teknik kontrol sorumlusu ile sürekli olarak koordinasyonda bulunmalı ve ihtiyaç duyulan ilave tedbirleri aldırmalıdır.

i.

Toplantı aralarında katılımcılar dışındaki kişilerin salona girmeleri önlenmelidir. Herhangi bir gizlilik suiistimalini önlemek için toplantı aralarında kullanılan pano, kroki, harita, şema… vb dokümanların üzerleri örtülmelidir.

3C3.

Toplantılarda Evrak ve Dokümaların Gizliliği ve Emniyeti

a.

Görüşülecek konuların önem ve gizlilik dereceleri açık, kesin ve net olarak belirtilmelidir.

b.

Mümkünse, davetlilerin yanlarında getirecekleri bilgi ve dokümanlar önceden bildirilmelidir.

c.

Toplantı gündemi gönderilecek kişiye, hangi oturumlarda ve hangi konularla ilgili bulunacağı bildirilmelidir.

d.

Toplantılarda, farklı önem derecelerinde konular görüşülecek ise katılımcıların yetkili oldukları derecedeki oturumlara katılabilmeleri için konular ve program ayrıştırılmalı ve önem derecesi düşük konulardan itibaren görüşmelere başlanmalıdır. Görüşme konusu biten katılımcıların toplantı salonundan çıkışları kontrol edilmeli, önem derecesi yüksek konuların görüşülmesi sürecinde, konu ile ilgili asgari personelin toplantı yerinde kalması sağlanmalıdır.

e.

Oturumlara katılacak olanlar önceden tespit edilmeli ve katılacak olanların güvenliğinden emin olunmalıdır. 13

4A.

Posta İletilerinde Şüphe Belirtileri

Posta ile gönderilen bomba ve patlayıcı maddeler genellikle hedefine ulaşıncaya kadar taşınmaya, elden ele geçmeye ve ulaşım şartlarına dayanıklı olarak yapılmış, özenle hazırlanmış paketlerdir. Bu nedenle bombalı paketlerin kolayca ayırt edilebilmesi mümkün olmamakla birlikte, dikkatli bir gözlem ve yakalanabilecek ipuçları ile paketin şüpheli olup olmadığı tespit edilebilir. Bu konuda dikkat edilmesi gereken hususlar şöyledir:

4 Posta Yoluyla Gönderilen Patlayıcı Maddelere Karşı Alınacak Önlemler Posta yoluyla gönderilen patlayıcılar, kişi ya da kuruluşlara zarar vermek ve bu zararın başka hedef kitlelerce duyulmasını sağlayarak, panik, korku vb. duygusal etkiler yaratmak amacıyla organize edilmektedir. Özellikle işletmeler nezdinde yapılan bu tarz sabotaj girişimlerinde, sansasyon yaratmak, o işletmede çalışan diğer yöneticileri ve çalışanları paniğe sürükleyerek iş yapamaz duruma düşmelerini sağlamak ve maddi - manevi zarar vermek amaçlanmaktadır. Konuya bu açıdan bakıldığında işletmelerin, özellikle, yöneticiler başta olmak üzere, önemli ve stratejik pozisyonda görev alan çalışanlara yönelik sabotaj için kullanılabilecek en zayıf noktaların başında, posta iletileri (mektup, paket ya da koliler) gelmektedir. İşletmeler için posta iletileri bir risk faktörüdür. Yöneticiler, yöneticilere yakın çalışan kadrolar, sekretarya ve posta iletileri teslimatı sürecinde görev alan çalışanlar bu konunun bilincinde hareket etmelidirler. Posta iletileri ile ilgili alınacak tedbirler ile ilgili aşağıdaki hususlar dikkate alınmalıdır:

14

1.

Zarfın veya kolinin üzerindeki posta damgası, gönderenin adresi normal dışı bir yerden geldiği izlenimi veriyorsa,

2.

Üzerindeki pul miktarı fazla ve damga ile uyumsuzluk varsa,

3.

Zarf ve koli üzerindeki el yazısı yabancı birine ait ise, şüpheli görünüyorsa ve fazla miktarda hata varsa,

4.

Paket bir yana yatkın ve dengesiz ise, üzerinde bıçak, jilet vb. kesici alet izleri varsa,

5.

Zarf ya da zarfı/koliyi bağlayan bant, ip vb. materyallerin üzerinde yağ lekeleri bulunuyorsa,

6.

Paket ve zarfın boyutları ile ağırlığı arasında dengesizlik varsa,

7.

Kitap gibi paketlerde kitap kalın ve iyi ciltlenmişse ya da kitabın açılmasında zorluk yaşanıyorsa,

8.

Zarf 5 mm’den kalın ve ağırlığı 50 gramdan fazlaysa,

9.

Zarfın üstünde, altında ya da yanlarında yay izlenimi veren esneklik varsa,

10.

Zarf ve paket üzerinde herhangi bir delik bulunuyorsa,

11.

Normal sayılamayacak kokular (özellikle badem veya badem ezmesi kokusu ya da bunu gizlemek için yoğun parfüm kokusu) varsa,

12.

Zarfın ya da kolinin içinden gevşek bir metal parçası gibi ses geliyorsa ya da zarftan ucu dışarı çıkmış tel parçası varsa,

13.

Zarfın içerisinde karton vb. katı bir cisim varsa,

bu tür paket, zarf veya koliler mutlaka risk taşıyan/şüpheli iletiler olarak değerlendirilmelidir.

15

4B.

Şüpheli Paket Türleri

1.

“Bond” model çantalar veya her türlü evrak çantası,

2.

Kitaplar,

3.

Kurye torbaları,

4.

Çikolata veya pasta paketleri,

5.

Valizler ve bavullar,

6.

Saksılı ve yapma çiçekler,

7.

Genellikle titiz arama yapılmadan alınan çocuk ve bayanların taşıdığı paketler,

8.

Her türlü hediye paketi,

9.

Dosyalar, zarflar ve torba zarflar

10.

Market torbaları,

11.

Dizüstü ve cep bilgisayarları,

12.

El fenerleri, cep telefonları,

13.

Deterjan kutuları,

14.

Termos gibi içecek taşıyıcıları,

15.

Hedeflenen işletmenin yapısına uygun olan,

5.

Şüpheli paket ile temasın sakıncalı olacağı düşünülen durumlarda mekânın paniğe meydan verilmeden, en kısa sürede boşaltılması sağlanmalıdır.

6.

Şüpheli paket, ıslak elle tutulmamalı veya ıslanmasına meydan verilmemelidir.

7.

Paket üzerine herhangi bir ağırlık konulmamalıdır.

8.

Paketin en az 10 metre çevresinde, herhangi bir frekansta çalışan, radyo, TV, telsiz ve cep telefonu kullanılmamalıdır.

9.

Zarf ve paket emin bir yere bırakıldıktan sonra, taşımayı yapan kişiler, pakete temas eden bölgeleri iyice yıkamalıdır. Mümkün ise şüpheli paketin taşınması esnasında eldiven kullanılmalıdır.

gönderilmesi ve alınması dikkat çekmeyecek, diğer paketler.

4C.

Şüpheli Posta İletilerine Karşı Alınacak Önlemler

Şirkete gelen posta iletisinin şüphe uyandırdığı durumlarda: 1.

Şüpheli zarf ve paketler kesinlikle açılmamalıdır.

2.

Söz konusu hallerde, güvenlik yetkililerine derhal haber verilmeli ve şüpheli paketin tarifi tam olarak yapılmalıdır.

3.

Paket, kapalı mekânda ise kapı ve pencereler açılmalıdır.

4.

Şüpheli paket izole edilmiş ve kimsenin giremeyeceği bir yere bırakılmalıdır.

16

17

5 İşletmelerde Zararlı (Yıkıcı - Bölücü) Faaliyetlere Karşı Alınacak Önlemler İşletmelerin büyük bir bölümünde, yüksek ya da orta düzeyde elektronik veya fiziki olarak güvenlik tedbirleri alınır. Oysaki İşletmenin uzun süreli yaşamını etkileyen, fikri sabotajlara, yani çalışanların işletmeye devamlarını etkileyebilecek, hatta onları birer sabote eden (kendi çalıştığı işletmeye zarar verebilecek bir eylemci) kişi durumuna getirebilecek, tehlikeli ve yıkıcı faaliyetler için de tedbirler alınmalıdır. İşletmelerde, yıkıcı bölücü faaliyetlere karşı aşağıdaki önlemler alınmalıdır:

18

1.

Personelin çalışma alanlarındaki davranışları ve ziyaretçi görüşmelerinde şüphe çeken davranışları gözlemlenerek gerekli tedbirler alınmalıdır.

2.

Özellikle şirket dışı kişilerle ilişki içerisinde çalışan birimlerde tarafsızlık ilkesinin uygulanmasına dikkat edilmeli, politik görüş ayrılığına dayalı hizmet anlayışı engellenmelidir.

3.

Personele işletmenin davranış kuralları ve talimatları ile ilgili bilgi verilmeli ve çalışanların haklarını bu düzenlemeler çerçevesinde değerlendirmeleri gerektiği hususu açıklanmalıdır.

4.

Departmanlar ve/veya personel arasında gruplaşmalar sezildiği anda gerekli incelemeler yapılarak nedenleri saptanmalı ve konu ile ilgili yetkiler kısa sürede bilgilendirilmeli ve çalışma ortamını kötü etkileyecek gruplaşmaların önüne geçilmelidir.

5.

İç iletişim ağı tesis ve idame ettirilmeli; çalışanlara yönelik periyodik anketler düzenlenerek sonuçları paylaşılmalıdır.

6.

Yönetim kademesindekiler personele eşit ve tarafsız davranmalı, buna uymayanlar izlenerek hakklarında gerekli işlem yapılmalıdır.

7.

İşletmenin, çalışanların ortak alanı/amacı olduğu, işletme çıkarlarının gözetilmesinin tüm çalışanların yararına olacağı bilinci oluşturulmalıdır.

19

6 İşletmelerde Gösteri ve Kargaşalara Karşı Alınacak Önlemler İşletmelerde nadiren de olsa; işçi - işveren anlaşmazlıkları ya da illegal örgütlerin kışkırtmaları vb. nedenlerle illegal / izinsiz toplantılar, gösteriler, yürüyüşler vb. kargaşa durumları ortaya çıkabilir. Böyle durumlar ortaya çıktığında güvenlik kuvvetlerinin işletmeye gelerek duruma müdahale etmesi beklenir. Güvenlik kuvvetlerinin olay yerine gelmesi, bazı koşullarda gecikebilir; bazen bu süreçte olaylar beklenenin ötesinde büyüyerek, kontrolden çıkar ve olayların önüne geçmek ve durdurmak mümkün olmayabilir. Oysa gösteri ve kargaşa belirtileri görüldüğünde ya da henüz başlarında iken, işletmeler, kendi bünyelerinde alacakları bazı basit tedbirler ile istenmeyen durumların önüne geçebilirler. Bu gibi durumların ortaya çıkmasını engellemek amacıyla aşağıda belirtilen önlemler dikkate alınmalıdır.

20

6A.

Gösteri ve Kargaşa Emarelerinin Belirlenmesi Halinde Alınacak Önlemler

1.

Gösteri ve kargaşa durumu tespit edildiğinde, varsa şirkete ait özel güvenlik yetkilileri, yoksa genel güvenlik kuvvetleriyle irtibat kurularak gerekli bilgi verilmelidir.

2.

Kimyevi ve patlayıcı maddelerle yanıcı ve yakıcı maddeler imkân ölçüsünde özel muhafaza altına alınmalıdır.

3.

Ofislerde çalışma halinde olan personel derhal dışarı çıkarılmalı, önemli evrakların bulunduğu arşivler kilitlenmeli ve dokümanlar özel emniyet altına alınmalıdır. Yangın söndürme ekipleri alarma geçirilmeli ve ekipler takviye edilerek, yangın söndürücü cihaz ve araçlar kullanıma hazır hale getirilmelidir.

4.

Olaylar başlamadan önce, koruma ve güvenlik planına göre görevi bulunan personelin dışında şirket içerisinde bulunan tüm kişiler derhal tesisleri terk etmelidir.

5.

Motorlu araçlar saha içerisinde emniyetli bir bölgeye çekilmelidir.

6.

Yağmaya müsait olabilecek yerlerin kapı ve pencereleri kilitlenerek emniyet altına alınmalıdır.

6B.

Bomba İhtimali ve Tehdidi Halinde Alınacak Önlemler

Göstericiler tarafından bırakılmış ve henüz patlamamış olan bombalara ve patlayıcı olmasından şüphe edilen maddelere karşı aşağıdaki önlemler alınmalıdır: 1.

Görülen bomba ve şüpheli maddenin etrafında mümkün olabildiği kadar geniş bir saha güvenlik için boş bırakılmalı ve personelin buraya yaklaşması önlenmelidir.

2.

Bomba imha uzmanı gönderilmesi için güvenlik kuvvetlerine zaman kaybetmeksizin haber verilmelidir.

3.

Bomba imha ekipleri gelinceye kadar, görülen bomba ve şüpheli maddeye temas edilmemelidir.

4.

Bomba tehdidi telefon ile ihbar edilmiş ise; ihbar ayrıntılı olarak kaydedilmeli; muhbirin sesi, davranışı ve geri plandaki ses ve gürültüler dikkatle tespit ve not edilmeli, hiçbir ayrıntı göz ardı edilmemelidir. Muhbir, telefonda 21

konuşturulmak suretiyle mümkün olduğu kadar oyalanarak başka bir telefon ile muhbirin numarasının tespiti için zaman kazanılmalıdır. Bomba ihbarı derhal güvenlik kuvvetlerine bildirilmelidir. 5.

Şüpheli durumlar ile ilgili tedbir alınırken panik yaratılmamalıdır. Tedbirler arasında yangın ihtimaline karşı da önlemler alınmalıdır.

6.

Tehlike mahallinde mümkünse kum torbaları yığılmalıdır.

7.

Olay yeri ve çevresinde şüpheli şahıs tespit edildiği takdirde bu kişiler takip ve kontrol altına alınmalı, güvenlik güçlerine zamanında bildirilmelidir.

7 Elektronik Bilgi İşlem Merkezleri (EBİM) ile İlgili Alnacak Tedbirler Günümüz işletmelerinde hızla yaygınlaşan elektronik bilgi işlem merkezlerinin (EBİM) gizliliği ve rakip firmalara karşı alınacak TİKK tedbirleri, şirketler bakımından çok büyük önem arz etmektedir. Bu tür sistem ve tesislerin korunması için “teknik koruma/güvenlik faktörleri” söz konusu olmakla birlikte, işletmelerin alacağı TİKK tedbirleri bu koruma sürecini pekiştirecektir İşletmelerde, EBİM ile ilgili alınacak tedbirler, aşağıda belirtilen hususlara dayalı olarak düzenlenmelidir:

22

23

7A.

İnsan Faktörü

1.

Şirketin çeşitli bölümlerinde, değişik önem, yetki ve sorumluluk derecesinde görevlendirilen bütün personel özenle seçilmeli, bölümler arası gizlilik ve güven gerektiren hususların etkili şekilde uygulanması sağlanmalıdır.

2.

7B.

Yetkiler, belirli görevlerin gerekli kıldığı sınırlar içerisinde verilmelidir. Yetkisiz kişilerin şirket içindeki hayati önem taşıyan bilgi ve dokümanlara ulaşmasına izin verilmemelidir.

Teknik ve Elektronik Faktörler

1.

Elektronik Bilgi İşlem Merkezleri (EBİM) çevresi metalden arındırılmalıdır.

2.

Tesiste güç ve seriyal hat filtreleri kullanılmalı, çıkış devreleri izole edilmelidir.

3.

Güvenlik bölgeleri içerisindeki hatlarda topraklandırma yapılmalıdır.

4.

Gereksiz elektrik devreleri bulundurulmamalıdır.

5.

Üniteler arasında irtibatlar muhabere güvenlik sistemlerine uygun olmalıdır.

6.

Her ünitenin kendi ihtiyacını karşılayacak şekilde planlanmış bir giriş sistemi bulunmalı, tek tip bir kontrolle yetinilmemelidir.

7.

Kontrol sisteminde, hafıza ve diğer cihazlarda yetki dışı ulaşmayı mümkün kılabilecek hususlar olmamalıdır.

8.

İşlem safhasında talimatların zorunluluklarını yapacak en az iki koruma sistemi bulunmalı ve sistem koruma durumunda yetkisiz bilgilerin alınmasına, yazılmasına, bozmaya ve etkilemeye meydan vermeyecek şekilde ayarlanmalıdır.

9.

Bir kullanıcıya ait gizlilik derecesi taşıyan bilginin başkası tarafından kullanılması kesinlikle engellenmelidir.

10.

Taşınabilir manyetik hafızaların tekrar kullanılmaları için silme işlemleri, güvenlik esasları dikkate alınarak yapılmalıdır.

24

11.

7C.

Gizlilik derecesi olan bilgisayar materyallerinin tasnifinden imhasına kadar her türlü işlem, koruyucu güvenlik önlemleri ve gizlilik altında yapılmalıdır.

Fiziki Faktörler

1.

EBİM etrafında, kontrollü, boş bir güvenlik alanı bulundurulmalıdır.

2.

EBİM binası bütün güvenlik ihtiyaç ve tedbirlerini ihtiva edecek şekilde iç ve dış izolasyona sahip olmalıdır.

3.

EBİM’e giriş ve çıkışlar uygun tarzda kontrol altına alınmalıdır.

4.

Yangın ve sabotajlara karşı gerekli olan bütün koruyucu tedbirler alınmalıdır.

25

Veri güvenliği hususunda iki ana problem söz konusudur. Bunlar: 1.

Verilerin Herhangi Bir Nedenle Kaybedilmesi Bilgisayar sistemleri üzerinde bulunan her tür veri doğru şekilde yedeklenmediği sürece her an kaybedilebilir durumdadır. Verilerin kaybedilmesi beraberinde zaman ve maddi kayıp getirebilir. Bu nedenle, şirket çalışanları, kendilerine tavsiye edilen şekilde, dokümanların önem derecesine göre periyodik olarak yedeklerini alarak bu konudaki riski en aza indirmelidir.

8

2.

Bilgisayar sistemleri üzerinde bulunan her tür verinin üçüncü şahısların eline geçmesi şirket için hayati öneme sahip bilgilerin başkalarının eline geçmesi anlamına gelmektedir. Şirketin iş akışı içerisinde tüm çalışanların kendilerine verilmiş önemli görevleri ve dolayısı ile şirket için önemli olan birçok veriye erişimi vardır. Bu nedenle, çalışanların bu verileri üçüncü şahıslarla paylaşmaması ve bunun için gerekli önlemleri almaları gerekmektedir. Örneğin, bir ihale için yapılan hazırlıkların, maliyet analizlerinin, hatta verilecek teklifin üçüncü şahısların eline geçmesinin, şirket için doğuracağı zararlar aşikârdır.

Veri Güvenliği Veri güvenliği konusunda algılanması gereken ilk husus, personelin bilgisayarındaki verilerin neden önemli olduğu, neden korunması gerektiği, verilerin kaybedilmesi ya da üçüncü şahısların eline geçmesi durumunda maddi ve geri dönüşü olmayan zararların ortaya çıkabileceğinin anlaşılmasıdır. İşletmelerde bulunan bilgi işlem departmanları ağ üzerindeki veritabanı ve sistemlerin güvenliği için günün gereksinimleri doğrultusunda çeşitli önlemler alarak bu verileri güvende tutmak için öngörülebilir tüm riskleri ortadan kaldırmaya çalışsalar da, bu sistemlere erişimi olan ya da bilgisayarı üzerinde şirket verileri bulunan tüm personelin bu konuda üzerine düşen sorumlulukları bulunmaktadır.

Verilerin Üçüncü Şahısların Eline Geçmesi

8A. 8A1.

Veri Güvenliği için Kullanıcıların Almaları Gereken Önlemler Verilerin Yedeklenmesi (Back - up) Kullanıcıların bilgisayarlarında bulunan verileri belirli periyotlarda yedeklemeleri yani back-up almaları veri güvenliğinin birinci adımını oluşturur. Back-up işlemi için en doğru seçenek, işletmenizde bulunan bilgi işlem departmanının tavsiye ettiği yöntem ve/ veya yöntemleri kullanmaktır. Bu hususta en güvenli ve sık kullanılan yöntem, işletmenin kullandığı server üzerinde, çalışanlara ait yedekleme alanlarının açılmasıdır. Bilgi işlem departmanları çalışanlar için bu yedekleme alanlarını açar, bu alanı bir ağ sürücüsü” olarak kullanıcıların bilgisayarına bağlar. Kullanıcılar ise, bilgisayarlarındaki bu ağ sürücüsünü bir sabit disk olarak görür ve yedeklemelerini bu diskin içerisine kopyalar. Bu yedekleme alanı genellikle kullanıcıların sadece kaybetmemeleri gereken şirket için önemli olan dokümanlarını yedeklemeleri için kullanımına sunulur.

26

27

Server üzerinde gereksiz yere disk alanı tüketerek diğer kullanıcıların yedekleme yapmasını engelleyecek şekilde müzik, video, resim vb. verilerin bu alana yedeklenmemesi gerekir. Her kullanıcı yedekleme alanına bir kullanıcı adı ve şifre ile giriş yapar. Bu yedekleme alanındaki veriler sadece o kullanıcının bilgisayarından veya bilgi işlem departmanı tarafından sunucu üzerinden erişilebilir durumdadır. Bilgi işlem departmanlarının bu şekilde yedeklemeyi önermesinin iki temel sebebi vardır: Birincisi harici diskler, flashdisk (pendrive) tabir edilen cihazlar üzerinde veya CD - DVD gibi optik medya üzerine alınacak yedekler her zaman kaybetme veya çalınma gibi riskleri barındırır. Bu durumda alınan yedekler bir güvenlik önlemi olmaktan öte yeni bir güvenlik riski doğurmaktadır.

2.

Dosya isimleri verilirken mümkün olduğunca Türkçe karakterler (ö,ç, ş, ğ, ı. ü) kullanmaktan kaçınılmalıdır.

3.

Dosyalar klasörlerde biriktirilirken çok fazla alt klasör oluşturulmasından kaçınılmalıdır. Bu tarz dosyaları başka bir yere kopyalarken, çok uzun ağ adları oluşacağından kopyalama başarısızlıkla sonuçlanabilir.

4.

Dosyalarını bir yerden başka bir yere aktarılması esnasında “kes ve yapıştır” komutları yerine, kopyala ve yapıştır komutlarını kullanılmalıdır. Kopyalama yapılan dosyanın hazır ve çalışır durumda olduğundan emin olmak için klasör ve dosyalar açılarak kontrol edilmelidir.

8A3.

Parolalar ve Parola Seçimi “Bir zincir ancak en zayıf halkası kadar güçlüdür” ilkesi veri güvenliği söz konusu olduğunda çok geçerli bir ilkedir. Veri güvenliği açısından “en zayıf halka” verilere erişimi olan “kullanıcılar”dır. Veri güvenliğine ilişkin kullanıcılar ile ilgili alınacak tedbirlerden biri de parola seçimine dayanmaktadır. Bu sebeple parolaların uygun şekilde oluşturulması ve gizliliğinin korunması büyük önem arz eder. Parolaların oluşturulması ve gizliliğinin korunması ile ilgili en önemli kriterler ise şöyledir:

İkinci sebep ise harici diskler vb. diğer yedekleme metotlarında, üzerine yedek alınan ortamın bozulması, yıpranması gibi durumlarda veri geri gelmeyecek şekilde kaybolma riski taşımaktadır. Bu yedekleme alanlarının getirdiği bir diğer özelik ise, verilerin üçüncü şahısların eline geçme riskini en aza indirmesidir. Çünkü server üzerinde açılan sabit diskler yalnızca ofislerdeki bağlantılar üzerinden çalışabilmektedir. Ayrıca ofis içerisinde çalışan kullanıcıların bilgisayarları yüksek güvenlik önlemleri ile (güvenlik duvarı, içerik filtreleme vb.) korunmaktadır. 8A2.

Yedeklemelerde Dosyalama ve Klasörleme Sistemi Yedeklemelerde veya verilerin herhangi bir bilgisayar üzerinde bulundurulmasında dikkat edilmesi gereken bir diğer husus Microsoft işletim sistemlerinin (Windows XP veya Vista vb.) kullandığı dosya sistemlerinin tasarımı sebebiyle dosya isimlerinin verilmesinde ve klasörlemede uyulması gereken kurallardır. Bu kurallara uyulmadığında veri kaybı yaşanmasının ötesinde kaybedilmiş verilerin geri alınması için uygulanabilecek yöntemlerin de önü tıkanmaktadır. Bu konuda dikkat edilmesi gerekenler şu şekilde sıralanabilir:

1.

28

Yedekleme sırasında oluşturulan dosya isimleri çok uzun olmamalıdır. İdeal olan 8 karakterin altında dosya isimleri kullanmaktır.

i.

Parolalar tahmin edilebilir veya kolayca öğrenilebilir kişisel bilgilerden oluşmamalıdır. Kullanıcılar, oluşturdukları parolalarda ad, soyad, yakınlarının adları, doğum tarihi ve doğum yeri gibi kişisel bilgileri kullanmamalıdırlar.

ii.

Parolalar mümkün olduğu kadar çok sayıda karakterden oluşmalıdır. Parola kombinasyonlarını deneyerek bilgisayardaki verilere ulaşmak isteyen üçüncü şahıslar, karakter sayısı çok olan parolaları tahmin etmekte güçlük çekecektir. Bu nedenle tavsiye edilen, parolada en az 8 karakter kullanılmasıdır.

iii.

Parolalarda harf, rakam ve hatta noktalama işaretleri bir arada kullanılmalıdır. Parolalarda kullanılan harf, rakam ve noktalama işaretlerinin çeşitliliği ne kadar artarsa ortaya çıkacak farklı parola kombinasyonları o kadar fazla olur. Bu nedenle tavsiye edilen, parolada harflerin yanı sıra en az bir rakam ve en az bir noktalama işareti kullanılmalıdır. 29

iv.

Parolalarda büyük ve küçük harfler kullanılmalıdır. Tavsiye edilen, parolada en az bir harfin büyük harf şeklinde kullanılmasıdır.

v.

Parolalar, şirket çalışanları dahil olmak üzere kimse ile paylaşılmamalıdır. Parolaların başka çalışanlarla ortak kullanılması halinde ortaya çıkacak her türlü sorunda sorumlu olan kişi parolanın esas sahibi olan çalışandır. Bu nedenle parolalar kişiye özel oluşturulmalı ve kimse ile paylaşılmamalıdır.

vi.

Parolalar periyodik olarak değiştirilmelidir. Kullanıcılar parolalarını mümkün olan en güçlü şekilde oluşturmuş olsalar da sistemli bir saldırıda, uzunca bir süre deneme-yanılma metodu ile parolaların ele geçirilmesi mümkündür. Bu nedenle tavsiye edilen, parolalar en az ayda bir kere değiştirilmesidir.

8A4. Doğru Şekilde İmha Edilmemiş Dokümanlar ve Veri Depolama Araçları

“Trashing” terimi çöplerden bilgi edinme metodu olarak bilinir ve kurum bilgilerinin üçüncü şahısların eline geçmesinin önlenmesinde doğru imha metotlarının kullanılması büyük önem arz etmektedir. Bilgi içeren her tür ortamın atılmadan önce doğru şekilde imha edilmesi gerekir. Bu ortamlar, kağıt üzerindeki veriler olabileceği gibi, kullanılmayan-arızalı bilgisayarlar, CD - DVD, flashdiskler vb. her türlü veri depolama ortamı olabilir. Üzerinde şirket bilgileri bulunan CD - DVD vb. ortamları atmadan önce, en azından birkaç parçaya ayırmak gerekmektedir. Flashdiskler ve harici harddiskler özellikle bu konuda önemli güvenlik riskleri oluşturmaktadır. Bu tip harici depolama cihazları üzerlerindeki dosyalar Windows üzerinde silinse hatta bu cihazlar biçimlendirilse (format) bile üzerlerindeki bilgilere halen birçok metot ile ulaşmak mümkündür. Bu nedenle üzerine şirket bilgilerinin kaydedildiği/kopyalandığı bu tip cihazların atılmaması veya başka kullanıcılara verilmemesi gerekmektedir. 30