Bilgi Güvenliği

Bilgi Güvenliği Nedir?

Bilgi günümüzde madeni yapılacak derecede önemli bir olgudur. Dolayısıyla bilginin korunması ve kullanımı da dikkat edilmesi ve güvenliğinin sağlanmasını gerektirir. Öncelikle bilgi güvenliğini tanımlarken, bir kurumun bilgi varlıklarının gizliliğinin, bütünlüğünün ve kullanılabilirliğinin korunması ilkeleridir denilebilmektedir. Burada üç unsurdan bahsedilmektedir. Bu unsurlar gizlilik, bütünlük ve kullanılabilirlik olmakla birlikte bilgi güvenliği kavramının yapıtaşlarıdır. Bu yapıtaşlarından olan gizlilik ilkesi, bilginin yetkisi olmayan kişiler, kurumlar ya da süreçler için kullanılabilir olmamasını ya da ifşa edilmemesini garanti etme özelliğini ifade etmektedir. Bütünlük kavramı ise varlıkların doğruluğunun ve eksiksizliğinin teminat altına alınması özelliği olarak tanımlanabilmektedir. Son yapı taşı olarak nitelendirebileceğimiz kullanılabilirlik ve bir diğer adıyla erişilebilirlik ise, yetkili bir kurumun talebi üzerine kullanılabilir olma özelliğidir.

Bilgi güvenliği yapısı sistematik bir yaklaşım ve kurumun özgün ihtiyaçları üzerinde durularak gerçekleştirilecek özverili bir çalışma sonucunda sağlanabilecek bir olgudur. Bu sayede ilgili firmanın ihtiyaçlarına cevap verilerek uygun önlemler alınabilmekte ve işlemler sürdürülebilmektedir. Genel görüşün aksine bilgi güvenliği kavramı sadece teknolojik boyutuyla ele alınmamalıdır. Çünkü bu yeterli bir bakış açısı değildir. Teknik önlemlerin yanı sıra, yönetimsel, yasal ve organizasyonel olarak yapılması gereken işler ve takip edilmesi gereken prosedürler bulunmaktadır. Tüm bu işlemlerin uygun bir şekilde gerçekleşmediği durumda bilgi güvenliğinin yapıtaşı olan üç kavramdan en az biri zarar görecek ve bu durum da güvenlik zaafiyeti oluşmasına sebep olacaktır.

Bilgi güvenliği alanına odaklanılmış bir araştırma yapıldığı durumda bilgi güvenliğinin çok geniş bir tanım olduğu ve birçok alt dala ayrıldığı görülmektedir. Bu alt dallar arasında ağ güvenliği, son kullanıcı güvenliği, veri güvenliği, uygulama güvenliği, kimlik ve erişim yönetimi, güvenlik yönetimi ve sanallaştırma ve bulut olmak üzere kategorilendirilmektedir.

Ağ Güvenliği

Ağ güvenliği dediğimiz kavram kendi içerisinde altı farklı alana ayrılmaktadır. Bu alanları irdelemek gerekirse ilk olarak içerik güvenliği kavramı karşımıza çıkmaktadır. Bu kavram günlük hayatımızda sıkça kullandığımız e-posta ve web hizmetlerini kapsamaktadır. Bir diğer ağ güvenliği alanı olan çevresel savunma ise güvenlik duvarları, saldırı önleme sistemleri ve birleştirilmiş tehdit yöntemi gibi kavramları içermektedir. Bu kategoride yer almakta olan izleme alanı ise adli bilişim yapısını ifade etmektedir. Ayrıca yönetilebilir servisler ise, izleme ve yönetim alanlarını bünyelerinde barındırmaktadır. Ek olarak da ağ erişim kontrolleri ve kablosuz bağlantılar da yine ağ güvenliği kategorisine girmektedir.

Son Kullanıcı Güvenliği

Son kullanıcı güvenliği alanı ise kendi içerisinde beş kategoriye ayrılmaktadır. Bunların başında son kullanıcı savunması gelmektedir. Bu yapı içerisinde ise ana bilgisayar üzerine uygulanan güvenlik duvarları ve bu bilgisayara yönelik saldırıları önleme sistemi yer almaktadır. Ayrıca bu alana özgü olarak disk şifreleme, cihaz kontrolü, mobil güvenlik, uzaktan erişim gibi yapılar da bulunmaktadır.

Veri Güvenliği

Veri güvenliği alanı kendi içerisinde dört ana başlığa ayrılmaktadır. Bu başlıklardan ilki olan veritabanı güvenliği, veritabanı değerlendirme, veritabanı aktivite kontrol ve izleme, veritabanı şifreleme gibi yapıları içermektedir. Bir diğer başlık olan veri kaybı ve sızıntı önleme alanı ise DLP çözümleri içermektedir. Şifreleme alanı, Dosya ve klasör alanında dağıtık şifrelemeyi içermektedir. Bunun dışında anahtar yönetimi, uygulama şifrelenmesi ve erişim yönetimi gibi alanlar da bulunmaktadır. Erişim yönetimi alanında ise yetki verme yönetimi ve dosya aktivite izleme işlemleri gerçekleştirilmektedir.

Uygulama Güvenliği

Uygulama güvenliği kategorisinde ise ilk olarak web uygulamaları için kullanılan güvenlik duvarları göze çarpmaktadır. Ayrıca dinamik ve statik uygulama testleri de yine bu alanda gerçekleştirilen işlemler arasındadır. Bu kategoride yer alan güvenli geliştirme alanı ise tehdit modelleme, geliştirme süreci, test yapısı gibi dalları bünyesinde barındırmaktadır.

Sonuç olarak bilgi güvenliğinin neden vazgeçilmez olduğuna değinmek gerekirse, sektörel anlaşmada bilgi sistemlerinin güvenliği zorunlu hale getirilmiştir. Bu duruma neden olan en önemli etken ise son yıllarda artan hacking, sosyal mühendislik, kamu kurumlarına yapılan saldırılar, bilgilerin yetkisiz kişilere ve medyaya ifşası gibi olayların meydana gelmesidir. Bu sebepten ötürü ilgili kurumların itibarı ve güvenliği için bir bilgi güvenliği yönetim sistemi kurularak bilgi güvenliğinin sağlanması bir zorunluluk haline gelmiştir.