Bilgi Güvenliği ama Hangi Güvenlik?

0 246

Kanunlarda, yönetmeliklerde, düzenlemelerde, standartlarda, sözleşmelerde ve kurum politikalarında yer alan, “İdari ve Teknik Kontroller” olarak kısaca isimlendirilmiş fakat çok geniş ve içinin doldurulmasının bir o kadar zor olduğu bu terimlerden yola çıkarak Bilgi Güvenliği ile ilgili kavramların açıklamalarını bu bölümde inceleyebilir, ihtiyaçlarınızı analiz ederken bunlardan faydalanabilirsiniz.

Bilgi sistemlerinde güvenlik ile ilgilenmek isteyen veya yeni tanışan kişilerin öncelikli olarak korumak istedikleri sistem veya verinin hangi kademede güvenlik ya da bu güvenliklerin karma birleşimi ile sağlanabileceğini aşağıdaki kavramlar aracılığı ile daha net açıklayabileceklerdir.

 

Fiziksel Güvenlik

Çevresel güvenlik olarak da isimlendirilen Fiziksel Güvenlik, tesisler, ekipmanlar, çalışanlar, kaynaklar ve BT varlıklarının fiziksel hasarlardan ve yetkisiz fiziksel erişimlerden korunmasını sağlamak için tasarlanmış somut önlemlerdir.

Bireyleri tanımak için gerekli yöntemlerin belirlenmesi, güvenlik görevlilerinin konuşlandırılması, yetkisiz kişilerin ilgili alanlara erişiminin engellenmesi, açıkta kalan sistemlerin doğal tehditlerden (yağmur, güneş, nem, deprem vb.) korunması, ziyaretçi, danışman ve bakım personellerine tesis içinde refakat edilmesi, kamera takip sistemleri ile izleme, yangın söndürme sistemi kurulması, çitler ile bölgelerin ayrılması, gerekli uyarı tabelalarının asılması gibi birçok önlem fiziksel güvenlik önlemidir.

Kurumdaki tesisler, cihazlar ve BT varlıkları da incelenerek her biri için katmanlı bir şekilde fiziksel koruma yöntemleri belirlenmelidir. Seçilecek güvenlik yöntemleri korunacak veri veya varlık ile orantılı olarak seçilmelidir. Burada bahsedilmek istenen çoğunlukla kurumdaki bilgi ve bilgi varlıklarının fiziksel olarak korunmasıdır.

Fiziksel güvenlik önlemlerini oluşturan örnekleri aşağıda inceleyebilirsiniz;
  • Bina / Tesis
  • Duvar
  • Çit
  • Dikenli tel
  • Kamera
  • Kartlı giriş-çıkış sistemleri
  • Güvenlik görevlileri
  • Kilit
  • Kapı
  • Kırılmaz cam
  • Man-trap Kapı
  • Kapı detektörü
  • X-Ray Tarama
  • Su tahliye sistemi
  • Güneşten koruma
  • Su sızdırmazlık sistemleri
  • Yangın söndürme sistemi
  • Yangın tüpü
  • Alarm
  • Köpek
  • Sensörler (Gaz, su, duman, ısı, hareket vb.)

 

Bilgi Teknolojileri Güvenliği

Bilgi teknolojileri güvenliği, çeşitli teknolojilerden yararlanılarak bilgiyi korumak için tasarlanmış mantıksal sistemlerin oluşturulmasıyla verinin kaydedildiği yerde, transfer edilirken ve gösterilirken yetkisiz erişim, hatalı kullanım, arıza, değiştirme, silme ve imha gibi olaylara karşı gizliliğinin, bütünlüğünün ve erişilebilirliğinin güvence altına alınmasıdır. Bu sayede BT güvenlik sistemleri aracılığı ile ana sistemlerin amaçları doğrultusunda kullanılarak, kendilerinden beklenen kritik işleri yerine getirme kabiliyetleri korunmuş olacaktır.

BT güvenliğinin sağlanması için kullanılacak teknolojilerden ilk akla gelenler;
  • Güvenlik duvarı (Firewall)
  • Saldırı engelleme sistemleri (IPS)
  • Anti virüs programları
  • Veri Sızma Koruması (DLP)
  • Yedekleme
  • Zafiyet ve Yama yönetimi
  • Sistem sıkılaştırmaları (Hardening)
  • Kullanıcı yetkilendirme
  • Sertifika kullanımı
  • Kablosuz ağ güvenlik
  • Özel sanal ağ kullanımı (VPN)
  • İki aşamalı doğrulama (2FA)
  • Kriptolama
  • İnternet içerik filtreleme
  • Mobil cihaz yönetimi (MDM)
  • Anti-Spam filtre

Siber Güvenlik

Siber güvenlik, bilgisayar ağlarının, yazılımların, programların ve verilerin tehdit, saldırı, bozulma, hasar veya yetkisiz erişime karşı korumak için kullanılan tüm tekniklerdir.

BT güvenliği, fiziksel güvenlik ve teknolojiyi birlikte kullanarak bilgiyi korumak amacıyla yapılan aktiviteler bütünü olduğunu özetleyebiliriz. Hem fiziksel boyutta hem de mantıksal olarak tehditlere karşı oluşturulmuş kontrollerdir. BT güvenlik konsepti her ne kadar koruma üzerine inşa edilse de, birçok sebep nedeniyle sadece bu koruma tedbirlerinin yeterli olmadığı tecrübe edilmiştir. BT güvenliğinin üzerine Siber Güvenliğin inşa edilme ihtiyacı doğmuştur.

E-posta ile gönderilen oltalama mesajları, kurumun bilgi sistemlerine sürekli erişim sağlayacak arka kapılar yerleştirme, kurumun verdiği internet veya ağ tabanlı hizmetleri çalışamaz hale getirme, kurum hakkında internet üzerinden bilgi toplama, sosyal medya aracılığı ile kurum ismini kullanarak yapılan dolandırıcılıklar, kurum’un sahip olduğu müşteri bilgilerini, şirket sırlarını, ürün formüllerini, üretim planlarını ele geçirmek için yapılan saldırılar, kurum ağına sızarak bilgisayarları birer zombi/köle bilgisayar haline getirmek gibi birçok farklı yöntem kullanılarak yapılan kötü niyetli saldırılar Siber Güvenliğin konuları arasına girmektedir.

Bu saldırılara karşı Fiziksel güvenlik ve BT güvenliği farklı katmanlarda savunma sağlasa da, bunların da aşıldığı durumlardaki tehditlerden korunmak için bir iç katmanda Siber Güvenlik önlemleri devreye girmektedir.

Siber güvenlik veya siber saldırılar artık sadece kendilerine kanıtlamak isteyen ergen gençlerin veya bilgisayar korsanlarının kullandığı bir yöntem olmaktan çok ileriye gitmiştir. Siber terörizm, siber savaş ve siber casusluk gibi düşük maliyetli ve çok büyük etkileri olan alanlarda sürekli gelişimini sürdürmektedir. NATO’nun beşinci cephe olarak nitelendirdiği Siber Savaş, konunun önemini anlatmaya yeterli olmaktadır.

Bir mermi bile atmadan, bir ülkenin tüm elektriklerini kesebilir, barajlarındaki suları bırakarak sel baskını oluşturabilir, nükleer tesislerini işlemez hale getirebilir, bankacılık sistemini çökertebilir, iletişim altyapısını kapatabilir ve en gizli sırlarına dahi ulaşabilecek duruma Siber Saldırılar sayesinde çok kolaylıkla erişilebilir.

Kişisel verilerin ve hassas verilerin korunması için alınacak idari ve teknik tedbirler kapsamına Siber Güvenlik alanında yapılması gereken tüm çalışmalar da eklenmelidir. Burada kurum’un sahip olduğu veriler ve kurum’un büyüklüğü de etkendir, alınacak önlemler kuruluşun büyüklüğü ve faaliyet gösterdiği sektör ile doğru orantılı olarak artacaktır.

Siber Güvenliğe ait bazı çalışmalar aşağıda listelenmiştir;
  • Uygulama güvenliği
  • Ağ Güvenliği
  • Operasyonel güvenlik
  • Son kullanıcı güvenliği
  • Veri güvenliği
  • Zararlı yazılımlarla mücadele
  • Kimlik Yönetimi
  • Veritabanı güvenliği
  • Mobil cihaz güvenliği
  • İş Sürekliliği
  • Son kullanıcı eğitimi
  • Güvenlik Operasyon Merkezi (SOC)
  • Siber Olaylara Müdahale Ekipleri (CIRT)
  • Adli Bilişim (Computer Forensics)
  • Log Yönetimi
  • Bilgi Güvenliği ve Olay Yönetimi (SIEM)
  • Ağ Erişim Kontrolü (NAC)
  • Siber Savunma
  • Bilgi güvenliği Olay Yönetimi
  • Endüstriyel Kontrol Sistemleri Güvenliği (SCADA)
  • Saldırı Tespit / Saldırı Engelleme Sistemleri (IDS/IPS)
  • Etik Bilgisayar Korsanlığı
  • Kod güvenliği analizi
  • Sızma testi (Penetration Test)
  • Tehdit avcılığı (Threat Hunting)
  • Zararlı yazılım analizi (Malware Analysis)

Bilgi Güvenliği

Bilgi güvenliği, verilerin korunması için en kapsamlı perspektife sahip olgudur. Fiziksel güvenlik somuttur, BT güvenliği teknolojik araçlar ile somut ve mantıksal düzenlemeleri içerir, bilgi güvenliği ise bunların da ötesine geçerek bilginin bulunduğu zaman, mekan ve duruma göre bilgiyi korumak için gerekli olan tedbirleri bir sistem ve kurallar bütünü ile belirler.

Burada faks makinesinden veya yazıcıdan basılan bir doküman, bir çalışanın aklında olan bilgi, telif haklarının korunması, kurumsal bilgi güvenliği politikaları, bilgi sistemlerinin yönetişimi, bilgi güvenliği süreçleri, yasalara uyum, risk yönetimi, iş sürekliliği gibi çok farklı açılardan bakılarak, kurumsal bilgi varlıklarının güvenlikleri temelde gizlilik, bütünlük ve erişilebilirlik yönlerinden korumaya alınmaktadır.

Bilgi güvenliğinin uygulanmasında dünyaca kabul görmüş bir çok en iyi pratik standart ve çerçeveler bulunmaktadır. Kurumların bilgi güvenliği süreçlerini deneyimleyerek, araştırarak uzun sürede edinmesi yerine, en iyi uygulamaları bir araya toplayarak kullanıma sunulmuştur, bunlardan en çok bilinenleri;

  • ISO 27001 – Bilgi Güvenliği Yönetim Sistemi
  • COBIT – Bilgi ve İlgili Teknolojiler İçin Kontrol Hedefleri
  • PCI-DSS – Ödeme Kartları Endüstrisi- Veri Koruma Standartları
  • NIST – 800-53 Güvenlik ve Mahremiyet Kontrolleri
  • HIPAA – Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası

Kurumsal bilgi varlıklarının korunması için gerekli olan bilgi güvenliği süreçleri sonraki yazılarımda açıklanacaktır.

Resim 1: Yeniçağın güvenlik sistemleri

Esenlikler dilerim,

Mustafa TURAN

Yorum yaz

Email adresiniz yayınlanmayacaktır.