Menü Kapat

Bilgi Güvenliği

Hakan Eker 0 yorum

Muhtemelen hemen hemen herkes bilgi teknolojilerine yönelik siber saldırılar konusunda TV den sosyal medyadan çeşitli haberleri izlemiştir. Hatta bazılarımızın Instagram, Facebook hesapları veya kişisel web sayfalarının çalınmış veya arkadaşlarının sosyal medya hesaplarının çalındığını görmüşlerdir. Bu kapsamda günümüzde gerek şirketler gerekse kişiler için önemli konulardan bir tanesinin de kullanmakta olduğumuz sistemlerin ve bu sistemler üzerinde tutulan verinin güvenliğidir diyebiliriz.

Günümüzde işletmelerin bilgi teknolojileri kullanımının artması ile birlikte üretilen verinin büyüklüğü ve iş süreçlerinde kullanımı da atmıştır. Bilgi teknolojileri kullanımının artması ile birlikte verinin veya data’nın işletmelerde değerli bir varlık haline gelmesi nedeniyle bilişim güvenliği çalışanlarının durdurmak zorunda olduğu kötü amaçlı saldırılarında arttığını görmekteyiz.

Şirketler bilgi varlıklarını kötü amaçlı saldırılardan korunmak amacıyla işletme büyüklüklerine uygun bir “Bilgi Sistemleri Güvenlik Yönetişimi” sitemi kurmalıdırlar. Bilgi güvenliği genel olarak Teknoloji, Süreç ve İnsanı dikkate alarak kurulan bir sistemdir diyebiliriz. Bilgi güvenliği, üretilen her türlü bilginin bütünlüğünün korunması, izin verilen kişilerce kullanımının sağlanarak, bu bilginin erişimi ve akışında sürekliğinin sağlanması ile yetkisiz erişimlerin engellenmesi sürecidir denebilir.‬ Bilgi güvenliğinin temel amacı veri bütünlüğünün korunması, erişim denetimi, mahremiyet ve gizliliğin korunması ile devamlılığın sağlanmasıdır. Bilgi güvenliği olmadan kaybedebileceğimiz varlıklar; veriler, sistem kaynakları ve saygınlıktır. Varlıklarımızın kaybedilmesi, kabul edilebilir bir durum değildir.

Bilgi güvenliği, işletmelerde bilgi güvenliği politikası ile sağlanır bu politika içerisinde tüm yapıyı kapsayacak biçimde, güvenlik açısından tanımlanan tüm kural ve prosedürleri ifade etmelidir. Bilgi güvenliği yönetişimi bilginin güvenliğini sürekli kılmayı ve geliştirmeyi hedeflemelidir. İşletmelerde bilgi güvenliği yönetişimi oluşturulur iken temel alınması gereken prensipler; gizlilik, veri bütünlüğü ve süreklilik güvenliğin olmazsa olmaz özellikleridir. Temel bilgi güvenlik prensipleri özetle şunlardır:

Gizlilik: Gizli bilgilerin korunması ve mahremiyetinin sağlanması ya da bir verinin yalnızca yetkili kişilerce erişilebilirliğinin garanti edilmesidir. Gizlilik manyetik ortamda saklanan veriler için olabileceği gibi ağ üzerindeki verileri de kapsamaktadır. Kimlik tanıma sistemleri de bu kapsamda değerlendirilir.
Bütünlük: Temel amaç, verinin göndericinin alıcıya ilettiği biçimde hiçbir değişikliğe uğratılmasına mahal vermeden doğru bilginin iletilmesiyle kullanıcılara en güncel bilgilerin sunulmasıdır.
Süreklilik/Güncellik: Kullanıcılar, erişim yetkileri dâhilinde verilere güncel, güvenilir ve sürekli bir biçimde erişmeleridir. Bir bilgisayar korsanı sürekliliği etkileyebileceği gibi, yazılımsal hatalar, sistemin yanlış, bilinçsiz ve eğitimsiz personel tarafından kullanılması, ortam şartlarındaki değişimler (nem, ısı, yıldırım düşmesi, topraklama eksikliği) gibi faktörler de sistem sürekliliğini etkileyebilir.
Erişilebilirlik (availability): Bir veriye istenildiği zaman erişilebilmesidir.
Kurtarılabilirlik: Herhangi bir verinin kaybolması durumunda, bu verilerin kurtarılabilir olmasıdır. Bu kendi içinde yedeklemeden tutun, veritabanı bütünlüğünün tekrar oluşturulabilmesine kadar birçok alt unsur barındırır.
İzlenebilirlik ya da Kayıt Tutma: Sistemde meydana gelen tüm olayların, faaliyetlerin kayıt altına alınarak saldırılara karşı bir tedbir olarak düzenli biçimde kontrol edilmesidir.
Kimlik Sınaması (Authentication): Kimlik sınaması; alıcının, göndericinin iddia ettiği kişi olduğundan emin olmasıdır. Bunun yanında, bir bilgisayar programını kullanırken bir parola girmek de kimlik sınaması çerçevesinde değerlendirilebilir.

Bilgi güvenliği ile korumaya çalıştığımız varlığı ise işletme için değerli olan her şey olarak tanımlayabiliriz. İşletmelerde varlıkları aşağıdaki başlıklar altında sınıflandırabiliriz;

Bilgi Varlığı; kısaca kurumsal bilgilerdir diyebiliriz. Müşteri bilgileri, ürün formülleri, veri tabanın da, server da veya taşınabilir bilgisayar içerisindeki her türlü dosya, basılı dokümanlardır diyebiliriz.

Yazılım Varlığı; işletmemizde kullanmakta olduğumuz uygulama yazılımları, işletim sistemlerini bu grup içerisinde sayabiliriz.
Fiziksel varlıklar; Bilgisayar, telefon, tablet, veri saklama ortamları, kısaca fiziksel olarak bir envanterde yer alabilecek tüm varlıklardır diyebiliriz.
Servisler; işletmemizde kullanmakta olduğumuz veri hizmeti(internet kullanımı), telefon hizmeti, elektrik alımı gibi hizmetleri bu varlık grubunda sayabiliriz.

Üzerinde pek fazla durulmayan fakat oldukça önemli olduğunu düşündüğüm diğer varlık ise ”İnsan Kaynağı” dır diyebiliriz.

İşletmenizde bilgi varlıklarını korumak ve bilgi güvenliği yönetim sistemi kurmak işin yapılması gerekenler kısaca başlıklar halinde belirtmek gerekir ise;

  • İşletmedeki tüm varlıkların kayıt altına alınarak bilgi varlık envanterinin oluşturulması ve devamlı güncellenerek canlı tutulması,
  • Varlık envanterinizde bulunan tüm varlıklarınızın sınıflandırılması,
  • Risk analizi, gerek bilgi sistemleri gerekse bilgi varlıklarına yönelik risklerin tanımlanması,
  • Risk analizinde tanımlanan olayların meydana gelmesi durumunda beklenen etkilerin belirlenmesi,
  • Risk analizinde tanımlanan olayların işletmenizde meydana gelme olasılığının belirlenmesi,
  • Belirlenen risklerin olma olasılığı ve etki dereceleri dikkate alınarak riskin önem derecesi belirlenmesi,
  • Risklerin azaltımı için atılacak adımların belirlenmesi,
  • Risklerin gerçekleşmesi durumunda yapılması gerekenlerin önceden belirlenerek dokümante edilmesi, olarak sayabiliriz.

Yukarda başlıklar halinde belirttiğim sürecin işletmede devamlı canlı tutulması güncellemelerin eksiksiz ve zamanında yapılmasının oldukça önemli olduğu unutulmamalıdır.

Yazının başında belirttiğim gibi bilgi güvenliği Teknoloji-Süreç-İnsan bileşenlerinden oluşmaktadır. Bu kapsamda yukarda ana başlıkları belirtilen faaliyetler ile varlıklarımızı belirledik, analiz ettik, sınıfladık, riskleri belirledik ve risklere karşı aksiyon planlarımızı oluşturduk. Kısaca bilgi güvenliği süreci için gereken girdi ve analizleri yaptık diyebiliriz.

Bu aşamada analizler sonucunda ortaya çıkan risklerin teknolojik olarak nasıl çözüleceğine odaklanmalıyız. Örneğin; kullanmakta olduğumuz sistemlerin dış alem saldırılarından nasıl koruyacağız, nasıl bir güvenlik duvarı kullanacağız, ağ ve veri güvenliğini nasıl sağlayacağız, sistemlerimiz üzerindeki yetkisiz erişimleri nasıl izleyeceğiz, sistem kesintilerini nasıl yöneteceğiz, yedeklemeyi nasıl yapacağız, çalışanlarımızın kullanmakta olduğu bilgisayarlarda güvenliği ve uygulama standardını nasıl yapacağız gibi konuların bilgi güvenliği teknoloji kullanımı altında çözülmesi gerekmektedir. Seçilecek çözümler de belirlenen risklerin olasılık ve etkileri, maliyeti, işletmeye uygunluğu ve insan kaynağı dikkate alınmalıdır.

Örneğin işletmede siber saldırıları yönetmek için gereken insan kaynağı ve teknoloji olmayabilir. Bu durumda işletmenin bu hizmeti dışardan alması gerekmektedir. Bu hizmetin dışardan alınması durumunda izlenmesi gereken süreç ana başlıklar halinde belirtmek gerekir ise;

  • Öncelikle işletme tarafından, siber saldırı olayının firmanın hangi iş süreçlerini hangi düzeyde etkileme ihtimali olduğu belirlenmelidir. Kısaca işletme için siber riskin olasılık ve etkisinin belirlenmesi gerekmektedir.
  • Belirlenen olasılık ve etki kapsamında nasıl bir dış hizmet alınacağının kapsamı oluşturulmalıdır.
  • Alınacak olan hizmetin mevcut sistemler ile olan etkileşimi, uygunluğu değerlendirilmelidir.
  • Alınacak olan dış hizmetin risk analizinin ve performans değerlendirmesinin nasıl yapılacağı da hizmet alınmadan önce belirlenmelidir.

İşletmelerde bilgi varlıklarının korunmasına yönelik olarak bilgi güvenliği sisteminin oluşturulması aşamasında iş sürekliliği ve acil durum planlamalarının atlanmadan sistem içerisine entegre edilmesi oldukça önemlidir. İş sürekliliği ve acil durum planlamasının bilgi güvenliği sistemlerinin önemli bir parçası olduğunu düşünmekteyiz.

İş sürekliliği kapsamında yapılacak iş etki analizi ile işletmenin belirlenen risklerin süreçler üzerindeki olası etkileri, süreçler ve bilgi varlılarının eşleştirilmesi ve süreç bazında risklerin önceliklerin belirlenmesi yapılabilir. İş etki analizi sonucunda hangi teknolojilere ne boyutta yatırım yapılacağı planlanabilir.

İşletme bünyesinde en iyi teknolojik ürünler kullanılsa ve mükemmel bilgi güvenliği süreçleri tasarlansa bile bu teknolojileri çalıştıracak ve süreçleri uygulayacak olan çalışanların bilgi güvenliği farkındalık düzeyi yetersiz ise işletmelerin bilgi güvenliği riskleri oldukça yüksektir diyebiliriz.

İşletmeler, çalışanların bilgi güvenliği farkındalığını arttırmak için;

  • Kısa eğitim programları hazırlayabilir,
  • Kurum içi sosyal mühendislik testleri yapılarak,
  • Periyodik olarak çalışanlara sosyal mühendislik bilgilendirme mailleri atılarak,
  • Yaşanan sosyal mühendislik olayları hikayeleştirilerek çalışanlar ile paylaşılabilir,
  • Zaman zaman çalışanlarımıza bilgi güvenliği farkındalık testleri yaparak işletmemizin bilgi güvenliği olgunluk seviyesini ölçebiliriz.

Bu gibi uygulamalar ile çalışanların farkındalık düzeyi arttırılarak bilgi varlıklarımızı koruyabiliriz. İşletmelerin teknoloji kullanımının artması ile birlikte bilgi güvenliği risklerini yönetmek için Teknoloji, Süreç ve İnsana bir bütün olarak bakan bütünleşik sistemler oluşturmalıdır. Oluşturulan sistemin yaşayan bir sistem olması, yönetim kurulunun sistemin oluşturulmasını istemesi ve aktif destek olması oluşturulacak sistemin en önemli başarı faktörleridir diyebiliriz.

Tagged ,

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir