Bilgi Güvenliği Kavramları
- Bilgi Güvenliği Kavramı
- Kurumsal Bilgi Kavramı
- Hackerlar Açısından Bilginin Önemi
- Bilgi Güvenliği Tehditleri
- Bilgi Güvenliği Standartları
- Ortaya Çıkabilecek Riskler
- Bilgi Güvenliği Kavramı
Bilgi Güvenliği, bilginin siber tehditlere karşı doğru standartlarda ve uygun bir şekilde korunması demektir.
· Gizlilik: Yetkisiz kişi veya diğer varlıklar tarafından erişilemez olmasıdır.
· Bütünlük: Bilginin doğruluğunun ve bütünlüğünün korunması gereklidir.
· Erişilebilirlik: Bilgi, yetkililer tarafından talep edildiğinde erişilebilir olmalıdır.
Kurumsal Bilgi Kavramı
Bilgi, bir kurumun iş yapabilmesi için sahip olduğu önemli varlıkların en başında gelir. Kurum sahip olduğu bilgiyi derler, üretir, işler, saklar, satar, diğer kişi ve kurumlarla paylaşır.
Bilgi; Ofislerde kağıtlarda, Dolaplarımızda klasörlerde, Elektronik ortamda, Sunuculardaki Veri tabanlarında, Telefon konuşmalarında, mesajlarında, internet ve telefon iletim hatlarında…
…ve en önemlisi de kurum çalışanların zihinlerinde bulunur.
Hackerlar Açısından Bilginin Önemi
Bir sisteme sızmayı planlayan hackerin yapacağı ilk iş düzenli bilgi toplamak ve siber saldırılarda kullanılmak üzere değerlendirmektir. Bilgi toplama aslında siber saldırganlar için hacklemenin ilk adımıdır.
Bilgi Güvenliği Tehditleri
Tehdit kavramı ikiye ayrılmaktadır.
· Tehditler
o İç Tehdit Kavramı
§ Masum
§ Kötü Niyetli
o Dış Tehdit Kavramı
§ Eski Çalışan
§ Saldırganlar
Bilgi Güvenliği Standartları
ISO / IEC 27001; Bilgi Güvenliği Yönetimi Sistemi (ISMS) için gerekli olan standartları tanımlayan uluslararası denetlenebilir tek standarttır. Yeterli ve orantılı güvenlik denetimleri
seçilmesini sağlamak için tasarlanan en önemli standarttır. Bu standart kurum veya kuruluşların, bilgi güvenliğinin konusundaki en temel gereksinimleri olan “gizlilik”, “bütünlük” ve “erişilebilirlik” ilkelerini sağlamasını yani bilginin korunmasını amaçlamaktadır.
PCI-DSS; Kredi kartıyla işlem yapan tüm işyerleri ve bankalar için geçerli olan bir standarttır. Kart sahibi bilgilerini saklayan veya ileten tüm hizmet sağlayıcılarını kapsamaktadır. Kredi kartı sahiplerini korumaya yönelik hazırlanan PCI-DSS, standartlara uymayan şirketlerin kredi kartı ile satış yapma yetkisini durdurmaya kadar varan yaptırımlara sahiptir. Bu kurallar Payment Card Industry adı verilen ve aralarında American Express, MasterCard Worldwide, Visa, Discover Financial Services gibi üyeleri bulunan bir konsey tarafından geliştirilmekte ve yayımlanmaktadır.
ITIL; İş süreçleri servislerini kapsar ve ITIL yaklaşımı sayesinde, müşteri, tedarikçi, BT kullanıcıları ve BT bölümü arasında başarılı bir şekilde iletişim kurulmasını sağlamaktadır.
SOX, COBIT ve benzeri şekilde sektörlere özel standartlar da bulunmaktadır.
Ortaya Çıkabilecek Riskler
1. Gizli bilgiler açığa çıkabilir.
2. Siber suçlular tarafından değişiklikler yapılabilir.
3. Bilgiye erişim mümkün olmayabilir.
4. Kuruma ait gizli ve hassas bilgiler ifşa edilerek zarar verilebilir.
5. Kurum itibarı zarar görebilir.
6. Ticari, teknolojik veya adli bilgiler zarar görebilir.
7. İş sürekliliği zarar görebilir ve maddi kayıplara neden olabilir.
8. Siber casusluk sonucunda telif hakları ve icatlar ciddi zararlar görülebilir.
9. Müşteri potansiyelinde büyük kayıplara neden olabilir.
10. Satış, ithalat veya ihracat gibi süreçler aksayabilir veya tamamen durabilir.
Ulusal Siber Güvenlik Eylem Planı
Ülkemizdeki en önemli gelişme 2013-2014 yıllarında resmileşen Ulusal Siber Güvenlik Eylem Planıdır.
‘Bu eylem planı, 2013 tarihinde resmî gazetede yayınlanarak yürürlüğe girmiş ve kurumlara sorumluluk yüklenmeye başlanmıştır.’
En önemli gelişme ise kritik öneme sahip kurum ve kuruluşlara yapılması muhtemel saldırılara karşı önlem alınması zorunluluğu getirilmiştir.