Bilgi Güvenliğine Genel Bakış

Bilgi Güvenliği, bilgiyi yetkisiz erişimlerden koruyarak gizliliğini sağlamak, bilginin bozulmadan bütünlüğünü ve doğruluğunu temin etmek ve istenilen zamanda erişilebilirliğini garanti etmektir.

Bilişim Güvenliğinin birçok boyutu olmasına karşın, temel olarak üç prensipten söz edilebilir: Gizlilik, Veri Bütünlüğü ve Süreklilik.

Gizlilik, Bilginin yetkisiz kişilerin eline geçmesinin engellenmesidir. Gizlilik, hem kalıcı ortamlarda (disk, tape, vb.) saklı bulunan veriler hem de ağ üzerinde bir göndericiden bir alıcıya gönderilen veriler için söz konusudur. Saldırganlar, yetkileri olmayan verilere birçok yolla erişebilirler: Parola dosyalarının çalınması, sosyal mühendislik, bilgisayar başında çalışan bir kullanıcının, ona fark ettirmeden özel bir bilgisini ele geçirme (parolasını girerken gözetleme gibi).

Bütünlük, veriyi göndericiden çıktığı haliyle alıcısına ulaştırmaktır. Bu durumda veri, haberleşme sırasında izlediği yollarda değiştirilmemiş, araya yeni veriler eklenmemiş, belli bir kısmı ya da tamamı tekrar edilmemiş ve sırası değiştirilmemiş şekilde alıcısına ulaşır.

Süreklilik hizmeti, bilişim sistemlerini, kurum içinden ve dışından gelebilecek başarım düşürücü tehditlere karşı korumayı hedefler. Süreklilik hizmeti sayesinde, kullanıcılar, erişim yetkileri dahilinde olan verilere, veri tazeliğini yitirmeden, zamanında ve güvenilir bir şekilde ulaşabilirler.

Tehditler

Tehdit, bir sistemin veya kurumun zarar görmesine neden olan istenmeyen bir olayın arkasındaki gizli neden, olarak tanımlanabilir. Her tehdidin bir kaynağı ve bu kaynağın yararlandığı sistemdeki bir “güvenlik boşluğu” vardır.

“Sistemi neye karşı korumalıyım?” sorusuna verilecek cevap bir sisteme yönelik olan tehditleri belirlemekte yardımcı olacaktır.

Tehditler, tehdit kaynağı açısından bakıldığında iki gruba ayrılarak incelenebilir:

1. İnsan Kaynaklı Tehditler: Bu tür tehditleri de kendi içinde iki alt gruba ayırabiliriz:

2. Doğa Kaynaklı Tehditler: Bu tür tehditler genellikle önceden tespit edilemezler ve büyük bir olasılıkla olmaları engellenemez. Deprem, yangın, su baskını, sel, ani sıcaklık değişimleri, toprak kayması, çığ düşmesi bu tür tehditlere örnek olarak verilebilir.

a. Kötü niyet olmayan davranışlar sonucu oluşanlar: Bir kullanıcının, sistemi bilinçsiz ve bilgisizce, yeterli eğitime sahip olmadan kullanması sonucu sistemde ortaya çıkma olasılığı olan aksaklıklardır.

b. Kötü niyetli davranışlar sonucu oluşanlar: Sisteme zarar verme amacıyla, sisteme yönelik olarak yapılacak tüm kötü niyetli davranışlardır. Bu tür tehditlerde, tehdit kaynağı, sistemde bulunan güvenlik boşluklarından yararlanır.

Güvenlik Boşluğu

Güvenlik boşluğu, sistem üzerindeki yazılım ve donanımdan kaynaklanan ya da sistemi işletim kuralları veya yönergelerindeki açık noktalar ve zayıf kalmış yönleridir. Bir güvenlik boşluğu sayesinde bir saldırgan, sistemdeki bilgisayarlara ya da bilgisayar ağı üzerindeki kaynaklara yetkisiz olarak erişebilir.

Risk

Bilgi Güvenliğinin Gelişimi ve Güvenlik Türleri

Bilgi Güvenliğinin sağlanması için tarih boyunca çeşitli güvenlik yöntemleri kullanılmıştır.  Geçmişten günümüze bilgi güvenliğinin sağlanması için sırasıyla başta

Fiziksel ve Çevresel Güvenlik, Haberleşme (İletişim) Güvenliği, Bilgisayar Güvenliği, Ağ (Network) Güvenliği, Uygulama Güvenliği, Veritabanı Güvenliği, Web Güvenliği gibi konularda çalışmalar yapılmıştır.

Fiziksel ve Çevresel Güvenlik; Bilgi güvenliği açısından değerlendirildiğinde pratikte kuruma yetkisiz erişimlerin engellenmesi ve bilgi varlıklarının hırsızlığa veya tehlikeye karşı korunması olarak algılanabilir.

Haberleşme (İletişim) Güvenliği; Haberleşme güvenliğinin sağlanmasında kriptografi ve steganografi yöntemleri kullanılmaktadır.

Kriptografi, gizli mesajın anlaşılamaz hale getirilmesi yani mesajın varlığı bilinir ancak içeriği anlaşılmaz.

Steganografi, veri içerisinde veri saklama anlamına gelip gizli yazı veya iletişimin varlığını saklayan yöntem olarak bilinir.

Kriptografi mesajın içeriğini anlaşılmaz hale getirirken Steganografi mesajı görülemeyecek şekilde saklar.

Bilgisayar Güvenliği; Bilgisayar Güvenliği denildiğinde günümüzde akla bilişim sistemlerinin gizlilik, bütünlük, erişilebilirlik tehditlerine karşı korunması gelmektedir. Bilişim sistemleri bilgisayarlar, bilgisayar ağları ve bilginin tutulduğu diğer tüm elektronik cihaz ve ortamlardan oluşmaktadır.

Ağ (Network) Güvenliği; Ağ (Network) ikiden fazla bilgisayarın birbiriyle kablolu veya kablosuz iletişim halinde olmasıdır. Ağların yaygınlaşmasıyla güvenlik ihlalleri artmış, bilgi güvenliği için alınması gereken önlemler fazlalaşmıştır.

Bilişim Güvenliğinin Sağlanması

Bilişim sistemlerinin güvenli hale getirilmesi konusu, kapsamlı ve bütünleşik bir yaklaşımla ele alınmadığı takdirde, başarı kazanmak büyük olasılıkla mümkün olmayacaktır. Bilişim güvenliğinin sağlanması üç temel açıdan ele alınabilir.

Bu üç süreç alanı şunlardır:

Yönetsel Önlemler, Teknoloji Uygulamaları, Eğitim ve Farkındalık Oluşturma’dır.

Bu üç süreç alanından her biri, başarıya ulaşmak için diğer iki süreç alanının tam ve eksiksiz çalışıyor olmasına ihtiyaç duyar.

Yönetsel Önlemler

Yönetsel Önlemler; Güvenlik yönetimi ile ilgili bir dizi kuralın ortaya koyulması ve uygulanması şeklinde özetlenebilir. Hemen her konuda olduğu gibi, bilişim güvenliğinin yönetiminde de başarı; iyi bir planlama ve üst düzey politikaların doğru ve tutarlı bir şekilde belirlenmesi ile elde edilebilir.  Bunun ardından, belirlenenlerin yazıya dökülmesi, yani prosedür, yönerge ve talimatlar gibi dokümanların oluşturulması gelmelidir.

Teknoloji Uygulamaları

Bilişim Güvenliğinin sağlanmasında kullanılan teknolojilerden bazıları; 

Eğitim ve Farkındalık Oluşturma

Eğitim ve Farkındalık Oluşturmada ise; Günlük faaliyetlerini bilişim teknolojisini kullanarak gerçekleştiren kullanıcıların, güvenlik konusunda eğitimlerle bilinçlendirilmesi, onların bir güvenlik boşluğu ve kurum açısından risk oluşturacak bir etken olmaları olasılığını en aza indirecektir.

Bilgi Güvenliği Konusundaki Kuruluşlar

Bilgi Güvenliği Konusundaki Kuruluşlar; Bilgi güvenliği alanında otorite kabul edilen belli başlı kurum ve oluşumlar vardır. Bunların kuruluş amaçları bilgi güvenliği konusunda pozitif içerikleri oluşturmak ve kendileri için belirledikleri çok özel bilgi güvenliği amaçlarına hizmet etmektir.

Bilgi Güvenliği Konusundaki kuruluşlardan bazıları şunlardır:

CERT (Computer Emergency Response Team) – güvenlik üzerine proaktif araştırmalar yapan ve acil durum müdahalesi olaylarına bakan Amerika merkezli bir kuruluş.

CIS (Center for Internet Security) – güvenlikle ilgili uyum araçları yayınlayan Amerika merkezli bir kuruluş.

ISC2 (International Information Systems Security Certification Consortium, Inc.) – bilgi güvenliği ile ilgili sertifikasyon çalışmaları yapan bir kuruluş.

CSRC (Computer Security Resource Center) – güvenlik ile ilgili makaleler yayınlayan bir kuruluş.

FIPS200 (Federal Information Processing Standard 200) – bilgi işlemede güvenlik standartlarını belirleyen bir kuruluş.

CSI (Computer Security Institute) – güvenlik ile ilgili eğitim veren bir , enstitü.

ISSA (Information Systems Security Association (ISSA) – kar amacı gütmeyen güvenlik ile ilgili bilgi paylaşımı yapılan bir platform.

SANS Institute (SANS) – güvenlik konusunda eğitim ve araştırma yaparak bilgilendirme çalışmaları yapan ve sertifika veren bir kuruluştur. 

TÜBİTAK (Türkiye Bilimsel ve Teknik Araştırma Kurumu) –  Ulusal Bilgi Güvenliği Kapısı, makale ve yararlı bilgilerle kamuoyunu bilgi güvenliği konusunda bilgilendiren bir kuruluştur.