Fotoğrafı Gör

Bilgi Güvenliği | Siber Güvenlik

Değerli arkadaşlar, merhaba! Bu blog yazımızı, "Bilgi Güvenliği | Siber Güvenlik" kategorimizin ilk blogu olmasının heyecanı ile paylaşıyoruz. Bu yazımızda sizlere, "Bilgi Güvenliği" ve "Siber Güvenlik" kavramlarının ne olduğundan, aralarındaki ince farktan bahsedeceğiz. Ayrıca bu blog yazısını belirsiz zaman aralıklarıyla güncelleyecek, yeni bilgiler eklemeye devam edeceğiz. Duyuruları kaçırmamak adına Telegram gruplarımıza katılmayı unutmayın!

Bilgi Güvenliği

Bilgi güvenliği, büyük ölçüde bilgi işlem teknolojisini neredeyse her yerde benimsememizin bir sonucu olarak toplumumuzun birçok yönüne her zamankinden daha fazla bağlı hale gelen bir kavramdır.

Bilgi güvenliği, ABD kanununa göre “bilgi ve bilgi sistemlerini yetkisiz erişime, kullanıma, ifşaya, kesintiye, değişikliğe veya imhaya karşı korumak” olarak tanımlanır. CIA üçlüsü olarak adlandırılan ve üyeleri “gizlilik”, “bütünlük” ve “erişilebilirlik” olarak isimlendirilen üç temel unsurdan meydana gelir. Bu üç temel güvenlik öğesinden herhangi biri zarar görürse güvenlik zafiyeti oluşur.

Güvenlik düzeyi ne kadar artarsa erişilebilirlik ve erişilebilirlik düzeyi aynı oranda azalacaktır. Dolayısıyla bu ikisi arasındaki dengeyi çok iyi bir şekilde oluşturmak ve uygulamak gereklidir. Güvence altına alınacak bilginin önemi de ayrı bir faktördür ve güvenlik prosedürlerinin, oturtulduktan sonra değiştirilmesinin maliyetli olduğu göz önünde bulundurulmalıdır. Güvenliğin maliyeti, koruduğu şeyin değerinden fazla olmamalıdır.

Gizlilik / Mahremiyet, Bütünlük ve Erişilebilirlik

A. Gizlilik / Mahremiyet (Privacy / Confidentiality)

Gizlilik, mahremiyete benzer ancak mahremiyet ile aynı değildir. Gizlilik, gizliliğin gerekli bir bileşenidir ve verilerimizi, görüntüleme yetkisi olmayan kişilerden koruma yeteneğimizi ifade eder. Farklı bilgi türlerini koruyan bu iki kavramdan gizlilik, yasalarla korunan bilgileri ifade ederken mahremiyet, yasal bir belge veya ilişkide açıklanan gizli bilgileri korur. Doktor - hasta ilişkisi, mahremiyete güzel bir örnektir. Kısacası gizlilik verilerle, mahremiyet ise bireyle ilgilidir.

Genel olarak gizlilik; bilginin sadece yetkisi olan kişiler tarafından erişilmesi, yetkisiz kişilerin eline geçmemesi ve yetkisiz kişiler tarafından görülmemesidir. Bilgiyi bir veri tabanında sakladığımızda veya bir yere göndermek istediğimizde bu bilginin sadece istediğimiz kişi veya grup tarafından görülmesini isteriz.

B. Bütünlük (Integrity)

Bütünlük; bilginin yetkisiz kişiler tarafından değiştirilememesi, tam ve eksiksiz olmasıdır. Bilginin saklandığı veri tabanında veya bilgi iletim halindeyken yetkisi olmayan herhangi bir kişi tarafından değiştirilmesi, tahrip edilmesi veya silinmesi istenmez. Bütünlüğün korunmasında kullanılan teknolojiler arasında elektronik imza, açık anahtar alt yapısı gibi kavramlar sayılabilir.

C. Erişilebilirlik (Availability)

Erişilebilirlik; bilginin belirlenen, beklenen, hedeflenen, ihtiyaç duyulan süre boyunca ulaşılabilir ve kullanılabilir olması prensibidir. Bilgi güvenliğinin yukarıda bahsettiğimiz üç temel prensibi dışında başka birtakım prensipleri de vardır. Aşağıda, diğer prensiplerden bahsedilecektir.

D. Loglama

İngilizce’deki 'accountability' kavramının karşılığı olarak dilimize 'hesap verilebilirlik' olarak çevirebileceğimiz, log kayıtlarının bütünlüğünden bahsedilmesi gerekir. Log tutma, elektronik ortamda yapılan işlemlere ait kayıtların tutulmasıdır. Log kayıtlarının tutarlılığı; inkar edilemezlik, hesap verilebilirlik prensibinin sağlıklı olarak sürdürülebilmesi için çok önemlidir. Log kayıtlarının tutulması, meydana gelebilecek bilgi güvenliği ihlallerinin tespit edilmesinde, önlenmesinde, yasal soruşturmalarda karışımıza çıkan bir prensiptir.

E. Kimlik Doğrulama (Authentication)

Bilgi sistemlerinden hizmet alan kişinin, uygulamanın ya da bir web servisinin gerçekten o kişi, uygulama ya da web servisi olduğunun tespiti gerekir. Kimlik doğrulama olmaksızın bir bilgi güvenliği düşünmek olanaksızdır. Parola, OTP (One Time Password - Tek Seferlik Parola), biyometrik kimlik doğrulama gibi çeşitli kimlik doğrulama yöntemleri bulunmaktadır.

F. Güvenilirlik

Bilişim sisteminden beklenen sonucun üretilmesi ve elde edilen sonuçlar ile beklenen sonuçların tutarlılık durumudur.

Parker Altılısı (The Parkerian Hexad)

Parker Altılısı bize, klasik CIA üçlüsünün biraz daha karmaşık bir varyasyonunu sunar. Parker Altılısı’nın toplamda 6 tane ilkesi vardır. Bunlar CIA üçlüsüne ek olarak aşağıdaki gibi sıralanabilir:

> Sahiplik veya Kontrol

Sahiplik veya kontrol, verilerin depolandığı ortamın fiziksel olarak düzenlenmesi anlamına gelir.

> Özgünlük veya Gerçeklik

Özgünlük veya gerçeklik, söz konusu verilerin sahibi veya yaratıcısı ile ilgili uygun atıf hakkında konuşmamızı sağlar. İnkâr edilemezlik vardır.

> Fayda

Fayda, verilerin bizim için ne kadar yararlı olduğunu ifade eder.

Siber Güvenlik

Siber Güvenlik kavramını, Bilgi Güvenliği kavramı ile iç içe anlatmakta fayda var; daha net anlaşılacağını düşünüyoruz. Siber Güvenlik ve Bilgi Güvenliği terimleri genelde karıştırılır ve hatta aynı şey olarak görüldüğünden birbirinin yerine kullanılır. Her ikisi de güvenlikten ve bilgisayar sistemini tehditlerden, bilgi ihlallerinden korumaktan sorumlu oldukları için birbirleriyle çok bağlantılıdırlar. Siber güvenlik, özellikle gelişmiş kalıcı tehditlerle (Advenced Persistent Threats – APT) başa çıkmak için eğitilmiş profesyoneller tarafından gerçekleştirilir. Elektronik ortamda bulunan verilerin veya verinin taşınmasını sağlayan, veriyi üreten servislerin (bilgisayar, sunucu, ağ, mobil cihaz vb.) güvenliğinin ihlal edilmesini veya saldırıya uğramasını önlemekle ilgilidir. Bilgi Güvenliği ise dijital ve analog olmak üzere her türlü bilgi ile ilgilenir. Yani dijital ortamlarda tutulan bilgilerin yanında fiziksel olarak (arşivler gibi) saklanan bilgiler de Bilgi Güvenliği kapsamında değerlendirilir. Her ikisi de verilerin değerini dikkate alır. Bilgi Güvenliği alanındaysanız asıl endişeniz, şirketinizin verilerini her türlü yetkisiz erişimden korumaktır. Siber Güvenlik alanındaysanız asıl endişeniz, şirketinizin hassas verilerini yetkisiz elektronik erişimden korumaktır.

Burada ‘veri ve bilgi’ arasındaki fark hakkında konuşmamız gerekir. “Her veri, bilgi olamaz ama her bilgi, bir veridir.” cümlesinden yola çıkarak bunu bir örnekle açıklayalım: “Anlamı olan şey, bilgidir. ‘150495’ sayısı bir veridir fakat bu sayıyı birinin doğum tarihi olarak biliyorsak bu bir bilgi konumuna düşer; bir anlamı vardır.”

Yayınlanma Tarihi: 2022-07-06 23:37:20

Son Düzenleme Tarihi: 2022-08-17 16:24:23