Bilgi Güvenliği ile ilgili yazını tararken onca teknoloji, onca saldırı yöntemi arasında, psikoloji ve yalınlık ilkesiyle yeniden karşılaşmak benim için hoş bir sürpriz oldu. İnsan makine etkileşimi, kullanıcı arayüzlerinin kullanılabilirliği ve sistemlerin başarısı için yalınlık ilkesine bir yazılımcı olarak çok ilgi duymuş, çok kafa yormuştum. Sanat eserlerinde gözlemlediğim yalınlık da bende hep hayranlık uyandırır. Az sözcükle anlaşılır ve etkileyici bir yazı yazmak, az çizgiyle güzel bir resim yapmak çok güçtür, sanatsal yeteneğin yanında büyük ölçüde ustalık gerektirir.
Bilgi güvenliği alanında, 1974 yılında yazılmış bir makalede ortaya konan benzer bir tasarım ilkesinin 43 yıldır aynen geçerli olmasını beklemiyordum doğrusu. Jerome Saltzer ve Michael Schroeder’in “The Protection of Information in Computer Systems” başlıklı yazılarının son ilkesi, psikolojik kabul. Özetle, sistemlerin güvenlik mekanizmalarının doğru biçimde kullanılabilmesinin, arayüzün, kullanıcıların akıllarındaki güvenlik görüntüsüyle doğal biçimde eşleşmesine bağlı olduğunu bildiriyor.
Bilirsiniz, evlerine çok akıllı güvenlik sistemleri kuran birçok kişi, sistemin gelişkin işlevlerini, bir gece yarısı buzdolabına giderken yaşanan ve tüm evi, siteyi ve/ ya da mahalleyi ayağa kaldıran alarm olaylarını yaşadıktan sonra devre dışı bırakırlar. Sistem Yöneticiniz, kullanıcı parolası belirleme kurallarını güçleştirdikçe, parolaların daha kırılamaz, dolayısıyla da sistemin daha güvenli hale geldiğini düşünebilir. Ama, “kullanıcı parolası en az 12 karakter olmalı, içinde anlamlı bir sözlük geçmemeli, aynı karakter tekrarlanmamalı, vb” biçiminde ilerleyen kuralların sayısı ne kadar çoksa, kullanıcılar parola belirlerken o kadar bunalacaklardır. En az 20 başarısız denemeden sonra sisteme kabul ettirebildikleri parolalarını akıllarında tutamayacakları için büyük bir olasılıkla bilgisayarın yakınında bir yerde
duran kağıda yazacaklardır. Tasarladığınız sistem karmaşıklaştıkça, kullanışlılığı azalacaktır. Genellikle karmaşıklık güvenliğin düşmanıdır. Kullanıcılar kullanım zorluğundan kaçmak için işlerini öngörülmedik akışlar belirleyerek yapmaya çalışacaklar, büyük bir olasılıkla da buldukları bu yollar, sistemde yeni güvenlik açıklarına neden olacaktır.
Microsoft’ta çalışan Scott Culp’ın, “Güvenliğin 10 Değişmez Kuralı” (İng. “10 Immutable Laws of Security”) başlıklı makalesine bilgi güvenliği yazınında sıkça rastlanır. İki numaralı kural “Güvenlik yalnızca güvenli yol gerçekten kolay uygulanabilir bir yolsa çalışır” diyor.
ISO/IEC 27001, bilgi güvenliği ile ilgili en çok bilinen uluslararası standarttır. Bu standart, bizlere siber güvenlik teknolojilerini tanımlamak yerine bilgi güvenliğini bir sistem yaklaşımı ile sağlama ilkelerini belirler. Standart, sosyal mühendislik tehlikeleri ile ilgili olarak zayıf bulunur ama bilişim sistemlerinin yanı sıra fiziksel çevre güvenliği, iş sürekliliğinin sağlanması ve insan kaynakları gibi konulara değinir. Özellikle insan kaynakları önemlidir, çünkü teknoloji tek başına bütün güvenlik sorunlarını önlemeye yetmiyor. En gelişkin teknolojik araçlarla korunan bir bilgisayar ağınız olabilir ama kurumdan mutsuz ayrılan eski çalışanlar hâlâ kullanıcı kodu ve parolalarını kullanabiliyorlarsa ağınız tehditlere açık demektir.
“İki kişinin bildiği, artık sır değildir” sözü doğru olsa da, insanların paylaşmak istemediği bilgileri, sistemlerinin zafiyetlerinden yararlanarak çalmak, ifşa etmek, işlerini yapamaz hale getirecek biçimde sistemlerini bozmak hem suç hem de ahlâksızlıktır. Gerek siber saldırıyı yapan insanlar, gerekse de saldırılardan zarar gören kurbanları düşündüğümüzde, bilgi güvenliği aslında doğrudan insanla ilgilidir. Kimi ciddi saldırı olaylarında, saldırganların bir güvenlik açığı bulmak için çalışması gerekmemiştir bile. İçeride çalışan bir insanı avlamak ya da kandırmak yeterli olmuştur. Yine de, genellikle bilgi güvenliğinde daha çok teknik önlemler üzerinde yoğunlaşılır.
Güvenlik politikaları, Bilgi Güvenliği Yönetim Sistemlerinin ve 27001 standardının en önemli öğeleridir. Amaç, teknolojinin doğru biçimde kullanılabilmesi, güvenlik zincirinin en zayıf halkası olan insan faktörünün göz ardı edilmesini engellemektir. Ne var ki, bu politikaların doğru biçimde oluşturulması, psikolojik kabul ve yalınlık ilkeleriyle birlikte, sağduyu, deneyim, yapabilme bilgisi, başka bir deyişle ustalık gerektirir.