Open in app

Sign in

Write

Sign in

Siber Güvenlik ve Bilgi Güvenliği-1

Oner Akdeniz
Fiba Tech Lab
Published in
8 min readNov 21, 2023

“Siber Güvenlik ve Bilgi Güvenliği” konularının detaylandırılacağı yazı dizisinin ilk bölümüdür.

1 GİRİŞ

Günümüz dijital dünyasında devlet kurumları, finansal kuruluşlar, sağlık kuruluşları, eğitim kurumları ve çeşitli özel sektör kuruluşları da dahil olmak üzere birçok kurum, işlerini desteklemek için bilgi teknolojisi sistemlerine yoğun bir şekilde bağımlıdır. Teknolojinin yaygın kullanımı verimlilik ve üretkenlik artışı ile gelişmiş iletişim gibi birçok avantaj getirirken, siber güvenlik ve bilgi güvenliği alanında yeni zorluklar ve riskler ortaya çıkarmaktadır.

Siber suçların ve karmaşık saldırı tekniklerinin yükselişiyle birlikte, kurumlar hassas verileri ve bilgi sistemlerinin güvenliği sürekli bir tehdit altında bulunmaktadır. Siber suçlular, ağlardaki, uygulamalardaki ve cihazlardaki zayıflıklardan yararlanarak yetkisiz erişim elde etmekte, değerli verileri çalmakta, hizmetleri sekteye uğratmakta ve önemli finansal ve itibari zararlara neden olmaktadır. Kurumlar üzerindeki siber saldırıların potansiyel sonuçları, sadece kuruluşları etkilemekle kalmaz, aynı zamanda hizmet verdiği bireyler ve toplumlar üzerinde de etkili olabilir.

Dış tehditlerin yanı sıra, kurumlar içerideki riskleri de ele almak zorundadır. İçeriden gelen tehditler, ihmal ve çalışanların kasıtlı olmayan hataları, veri ihlallerine veya kritik sistemlerin güvenliğinin tehlikeye girmesine yol açabilir. Dahası, kurumlar genellikle finansal kayıtlar, tıbbi kayıtlar, fikri mülkiyet ve tescilli bilgiler gibi çok miktarda kişisel ve gizli veriyi işlemektedir. Bu hassas bilgilerin korunması, yalnızca yasal ve düzenleyici gerekliliklere uyum için değil, aynı zamanda müşterilerin, ortakların ve paydaşların güvenini kazanmak ve sürdürmek için de önemlidir.

Teknolojinin gelişen yapısı ve siber tehditlerin artan karmaşıklığı, kurumların siber güvenlik ve bilgi güvenliği konularında öngörülü ve bütünsel bir yaklaşım benimsemesini gerektirir. Artık sadece geleneksel güvenlik önlemlerine güvenmek yeterli değildir. Kurumlar, riskleri azaltmak ve değerli varlıklarını korumak için güvenlik önlemlerini sürekli olarak güncellemeli ve güçlendirmelidir.

Bu çalışmanın temel amacı, kurumlardaki siber güvenlik ve bilgi güvenliği alanlarının çeşitli yönlerini araştırmak ve analiz etmektir. Çalışma, hassas bilgileri ve kritik sistemleri dijital çağda koruma ile ilgili karşılaşılan zorlukları, riskleri ve en iyi uygulamaları kapsamlı bir şekilde anlamayı hedeflemektedir. Bu çalışmanın özellikle aşağıdaki hedefleri bulunmaktadır:

· Bilgi güvenliğinin önemini incelemek: Kurumlarda bilgi güvenliğinin önemini, prensiplerini ve farkındalığını incelemeyi amaçlar.

· Siber güvenlik kavramlarını, önemini ve ilgili senaryoları incelemek: Saldırı, saldırgan, hedef alan ve saldırı vektörü gibi kavramların incelenmesi, bu ve benzeri kavramların kurumlar özelinde önemini incelemeyi amaçlar.

· Kurumların karşılaştığı temel tehditleri ve riskleri belirlemek: Bu hedef, kurumların siber güvenlik ve bilgi güvenliği alanında karşılaştığı temel tehditleri ve riskleri belirlemeyi ve analiz etmeyi içerir. Çalışma, çeşitli siber saldırı türlerini ve zayıflıkları incelemeyi içerir.

· Kurumların karşılaştığı tehdit ve risklere karşı önlemlerini incelemek: Bu hedef, siber güvenlik ve bilgi güvenliği alanında bilinen tehditlere karşı önleme sistemlerini incelemeyi, bilinmeyen tehditlere karşı ise tespit sistemlerini incelemeyi amaçlamaktadır.

Çalışma kapsamında, kurumların siber güvenlik ve bilgi güvenliği alanındaki karmaşıklıklar ve risklerle etkili bir şekilde başa çıkmasına yardımcı olabilecek bilgiler sunmak hedeflemektedir. Bu çalışmanın bulguları, sağlam güvenlik stratejileri, politikaları ve uygulamaları geliştirmek için temel teşkil edebilir. Kurumların kritik bilgilerini koruma, operasyonel direnç sağlama ve güvenilirliğini koruma yeteneklerini güçlendirebilir.

2 BİLGİ GÜVENLİĞİ

Bilgi güvenliği, riskleri azaltmak ve bilgi varlıklarını korumak için çeşitli uygulamaları, teknolojileri ve süreçleri içeren bir dizi işlemi kapsar. Bunlar arasında şifreleme, erişim kontrolü, güvenlik duvarları, sızma tespit sistemleri, zafiyet değerlendirmeleri, güvenlik farkındalık eğitimi, olaylara müdahale planlaması ve düzenli güvenlik denetimleri yer alır.

Bilgi güvenliği, harici tehditlere karşı koruma sağlamanın yanı sıra, içsel riskleri de ele alır; bunlar arasında çalışan hataları, veri sızıntısı ve kazara ihlaller bulunur. Bilgi güvenliği, bilginin yaşam döngüsü boyunca güvenli bir şekilde ele alınması ve yönetilmesini sağlamak için güvenlik politikaları, prosedürler ve yönergelerin oluşturulmasını içerir.

Genel olarak, bilgi güvenliği, bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamak için teknik, yönetimsel ve işletimsel önlemleri birleştiren çok disiplinli bir alandır. Aynı zamanda bireyler, kuruluşlar ve toplum üzerinde güvenlik olaylarının potansiyel etkisini en aza indirmeyi amaçlar.

2.1 Bilgi Güvenliğinin Önemi

Bilgi güvenliği, kurumlar içindeki hassas ve gizli verilerin gizliliğini sağlar. Yetkisiz erişimi ve bilginin açıklanmasını engelleyerek, mali veriler, ticari sırlar, fikri mülkiyet ve müşteri bilgileri gibi değerli varlıkların korunmasını sağlar. Bu, müşteriler, ortaklar ve paydaşlarla olan güveni sürdürmeye yardımcı olur.

Bilgi güvenliği, veri ve sistemlerin bütünlüğünü sağlar. Yetkisiz değişiklikleri, değişiklikleri veya veri üzerinde oynamaları önlemek için önlemler uygulanmasını içerir. Veri bütünlüğünü koruyarak, kuruluşlar karar verme süreçleri ve iş operasyonları için verilerinin doğruluğuna ve güvenilirliğine güvenebilirler.

Bilgi güvenliği, kritik bilgilerin ve sistemlerin ihtiyaç duyulduğunda kullanılabilir olmasını sağlar. Siber saldırılar, donanım arızaları veya doğal afetler gibi kesintileri önlemek için önlemler uygulanmasını içerir. Bilgi ve sistemlerin erişilebilirliğini sürdürerek, kurumlar kesinti sürelerini en aza indirebilir ve iş sürekliliğini sağlayabilirler.

Birçok endüstride, hassas bilgilerin korunmasıyla ilgili belirli düzenlemeler ve yasal gereksinimler bulunmaktadır. Bilgi güvenliği, bu düzenlemelere uyum sağlamaya yardımcı olarak yasal sonuçlardan, cezalardan ve itibar kaybından kaçınır. Kişisel Verileri Koruma Kanunu (KVKK) veya Ödeme Kartları Endüstrisi Veri Güvenliği Standardı (PCI DSS) gibi standartlara uyum, kişisel veya finansal verileri işleyen kuruluşlar için önemlidir.

Bilgi güvenliği, bilgi ve teknoloji ile ilgili riskleri belirleme, değerlendirme ve azaltma konusunda kurumlara yardımcı olur. Risk değerlendirmeleri yaparak, güvenlik kontrolleri uygulayarak ve olay müdahale planları oluşturarak, kuruluşlar potansiyel zafiyetleri ve tehditleri önceden ele alabilirler. Bu, güvenlik ihlalleri, mali kayıplar ve itibar kaybının olasılığını azaltır.

Bilgi güvenliği, iş operasyonlarının sürekliliğini ve dayanıklılığını sağlamada önemli bir rol oynar. Yedekleme ve kurtarma mekanizmaları, felaket kurtarma planları ve olay yönetimi prosedürlerinin uygulanmasıyla, kuruluşlar güvenlik olaylarının etkisini en aza indirir ve kesinti durumunda hızlı bir şekilde iyileşirler.

Güçlü bilgi güvenliği uygulamaları, kurumlar için rekabet avantajı sağlayabilir. Müşteri verilerini korumaya ve sağlam güvenlik önlemleri uygulamaya yönelik bir taahhüt göstermek, müşteriler ve ortaklar arasında güven artışına katkıda bulunur. Bu, bir kuruluşu rakiplerinden ayırırken itibarını ve marka imajını güçlendirebilir.

Genel olarak, bilgi güvenliği, hassas verilerin korunması, güvenin sağlanması, düzenlemelere uyum, riskleri azaltma, iş sürekliliğinin sağlanması ve bugünün dijital ortamında rekabet avantajı elde etme açısından kurumlar için önemlidir. Tüm boyutlarda ve endüstrilerdeki kuruluşlar için kapsamlı bir risk yönetimi stratejisinin ayrılmaz bir parçasıdır.

2.2 Bilgi Güvenliği Temel Prensipleri

Bilgi güvenliğinin sağlanması için üç temel unsur göz önünde bulundurulmalıdır. CIA üçgeni olarak adlandırılan bu unsurlar, bilgi güvenliği bakış açısını somutlaştırmaya yardımcı olmaktadır. Bu unsurlar aşağıda detaylandırılmıştır.

· Gizlilik (Confidentiality)

· Bütünlük (Integrity)

· Erişilebilirlik (Availability)

Şekil 1 CIA Üçgeni

Gizlilik: Bilginin yalnızca yetkili kişiler veya kuruluşlar tarafından erişilebilir olmasını sağlar. Hassas verilerin yetkisiz açıklamalardan veya erişimlerden korunmasını içerir. Gizliliği sağlamak için şifreleme, erişim kontrolleri ve güvenli depolama gibi önlemler kullanılır.

Bütünlük: Bilginin doğruluğunu, eksiksizliğini ve değiştirilmeden kalmasını sağlar. Bilginin yetkisiz değiştirilme, silinme veya oynanmaya karşı korunmasını içerir. Veri doğrulama, kontrol toplamları ve dijital imzalar gibi önlemler, veri bütünlüğünü korumaya yardımcı olur.

Erişilebilirlik: Bilginin ve kaynakların ihtiyaç duyulduğunda erişilebilir ve kullanılabilir olmasını sağlar. Sistemler veya hizmetlerde kesintilerin önlenmesine veya en aza indirilmesine yönelik önlemler uygulanır. Yedekleme sistemleri, yedek sistemler ve felaket kurtarma planları, erişilebilirliği destekleyen önlemlerdir.

Bu üç prensip, bilgi güvenliğinde dengeli bir yaklaşım sağlar. Hassas bilgilerin korunması, verilerin doğruluğu ve güvenilirliği, sistemlerin ve kaynakların sürekli olarak erişilebilir olması gibi konuları ele alır. Bu prensiplere uyum, kuruluşların bilgi güvenliği uygulamaları için sağlam bir temel oluşturmalarına yardımcı olur.

2.3 Bilgi Güvenliği Tehditleri

Zararlı yazılımlar, sosyal mühendislik, çalışanların oluşturduğu tehditler, veri sızıntıları, fiziksel tehditler, gelişen teknolojilerin karmaşıklığı ve siber saldırılar genel kapsamda bilginin gizliliğini, bütünlüğünü ve erişilebilirliğine tehdit etmektedir. Kurumlar bu tehditleri göz önüne alarak bilgi güvenliği planlaması yapmak durumundadır.

Bilgi güvenliği planlamasının ilk aşaması risk analizi ile başlar. Risk analizi sistemdeki eksikliklerin ve zayıflıkların tespit edilmesi ve bu nedenle meydana gelebilecek zararların hesaplanması işlemidir. Risk değerlendirmesi ise varlıkların karşısındaki olası tehditler, zayıflıklar, bunların etkileri, olasılıklar ve sonuçta olası risklerin derecesinin veya miktarının belirlenmesidir. Riske değer biçme veya risk değerlendirmesi, belirli bir riskin diğer risklere göre derecesinin ve önceliğinin saptanmasıdır. Risk değerlendirmesi, analiz ve değer biçmenin tamamından oluşan bir süreç olarak tanımlanmaktadır.

2.4 Bilgi Güvenliği Farkındalığı

Kurumların bilgilerini güvenli bir şekilde saklamak için geliştirdikleri sistemlerin en temelinde insan faktörü vardır. Bütün bilgi güvenliği sistemleri en zayıf faktör üzerine inşa edilmek zorundadır. Bu kapsamda temeli güçlendirmek için çalışanların bilgi güvenliği farkındalığını artırmak önem arz etmektedir.

Bilgi güvenliği farkındalığı, bir kuruluş içindeki bireylerin, bilgi güvenliğinin önemini ve hassas bilgileri koruma ile güvenlik risklerini azaltmadaki rollerinin farkında olması, bilgi güvenliği bilincine sahip olması ve bilgilendirilmiş olması anlamına gelir. Bilgi güvenliği farkındalık programları, çalışanları, yüklenicileri ve diğer paydaşları bilgi güvenliği ile ilgili potansiyel riskler, en iyi uygulamalar ve politikalar konusunda eğitmeyi amaçlar. Bu programlar genellikle aşağıdaki konuları kapsar:

· Tehditler ve Riskler: Bilgi güvenliğini tehlikeye atabilen çeşitli tehditler ve riskler hakkında farkındalık yaratmak amaçlanmaktadır. Örneğin zararlı yazılımlar, oltalama, sosyal mühendislik, veri ihlalleri ve içeriden gelen tehditler.

· Güvenlik Politikaları ve Prosedürler: Bilginin gizliliği, bütünlüğü ve erişilebilirliğini sağlamak için izlenmesi gereken güvenlik politikaları, yönergeleri ve prosedürlerin iletilmesini kapsar.

· Veri Sınıflandırması ve İşleme: Farklı hassasiyet düzeylerine göre verilerin nasıl sınıflandırılacağı ve işleneceği konusunda rehberlik sağlama, doğru veri depolama, paylaşma ve imha uygulamalarını kapsar.

· Şifre Güvenliği: Güçlü şifrelerin, düzenli şifre değişikliklerinin ve yetkisiz erişimi önlemek için şifre paylaşma veya yeniden kullanma alışkanlığından kaçınılmasının önemini vurgulama.

· E-posta ve İnternet Güvenliği: E-posta ve internetin güvenli kullanımı için güvenli uygulamaları öğretme, oltalama girişimlerini tespit etme, şüpheli bağlantılardan veya eklerden kaçınma ve çevrimiçi ortamda kişisel veya hassas bilgileri paylaşırken dikkatli olma konularında bilgilendirme.

· Fiziksel Güvenlik: İş istasyonlarını kilitleme, hassas alanlara erişimi güvence altına alma ve herhangi şüpheli faaliyetleri veya kişileri rapor etme gibi fiziksel güvenlik önlemlerinin önemini vurgulama.

· Mobil ve Uzaktan Erişim Güvenliği: Mobil cihazların güvenliğini sağlama ve uzaktan çalışma sırasında güvenli davranışları teşvik etme, güvenli ağlar kullanma, veriyi şifreleme ve halka açık Wi-Fi ağlarından kaçınma.

· Olay Bildirimi: Bireyleri, karşılaştıkları güvenlik olaylarını, şüpheli faaliyetleri veya potansiyel zayıflıkları hızla bildirmeye teşvik etme, proaktif yanıt ve sürekli iyileştirme kültürünü teşvik etme.

Şekil 2 Güvenlikte İnsan Faktörü (Özdemir, Uluyol, 2021).

Farkındalığı artırarak ve güvenlik odaklı bir kültürü teşvik ederek, kurumlar genel bilgi güvenliği durumlarını iyileştirebilir. İnsan hatalarından veya ihmallerinden kaynaklanan güvenlik ihlallerinin ve olayların olasılığını azaltabilir. Sürekli eğitim, farkındalık kampanyaları ve düzenli iletişim, bireylerin hassas bilgileri koruma konusunda dikkatli olmalarını sağlamak için önemlidir.

2.5 Sosyal Mühendislik

Sosyal mühendislik, insanların eğilimlerini ve davranışlarını hedefleyen bir saldırı yöntemidir. Etkileme, zorlama, aldatıcı ilişkiler kurma, sorumluluk duygusunu azaltma, etik değerleri sarsma veya bağlılığı azaltma gibi taktikleri kullanarak kişileri gizli bilgileri ifşa etmeleri veya erişim sağlamaları için kandırma sürecini içerir. Bilgi güvenliği açısından, sosyal mühendislik, bir saldırganın bilgi sistemlerini kullanan kullanıcıları psikolojik ve sosyal manipülasyonlarla etkileyerek, sisteme erişim için gerekli bilgileri elde etme amacını taşır. Bu şekilde saldırganlar, teknik zafiyetler yerine insan faktörünü hedef alarak güvenlik önlemlerini aşmayı hedeflerler.

Siber suçlular, çeşitli bilgilere ulaşmak için arayış içindedirler, ancak en yaygın hedefleri banka bilgileri ve çeşitli uygulamalara giriş kimlik bilgileridir. Sosyal mühendislik kullanarak, bilgisayarınıza erişmeyi ve şifrelerinizi ifşa etmeyi amaçlarlar. Bu bilgileri, kendi hesaplarına para transferi yapmak veya kötü amaçlı yazılımları sisteminize yüklemek gibi kötü niyetli eylemler için kullanabilirler. Siber suçlular, sosyal mühendisliğin, bir kişinin güvenini kazanmanın fidye yazılımı gibi teknik saldırılardan daha kolay olduğunu bilirler. Örneğin, basit konuşmalar kullanarak bir kurbanı şifresini vermeye ikna etmeye çalışırlar. Doğrudan bir şifre veya başka bir teknik yöntem kullanmadan sisteme saldırmazlar.

Yazı dizisinin ikinci bölümünde görüşmek üzere, faydalı olması dileğiyle.

Kaynaklar:

Akdeniz, Ö. (2023) Kurumlarda Siber Güvenlik ve Bilgi Güvenliği. Yüksek Lisans Bitirme Projesi. İstanbul Arel Üniversitesi, İşletme Ana Bilim Dalı.

Özdemir, A. Ve Uluyol, Ç. (2021) Kamu Kurum ve Kuruluşlarında Bilgi Güvenliği Farkındalığı. Türkiye Sosyal Araştırmalar Dergisi. 3(25), 649–666.

Siber Guvenlik
Bilgi Güvenliği

--

--

Oner Akdeniz
Fiba Tech Lab

Written by Oner Akdeniz

6 Followers
Writer for

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams