Bilgi Güvenliği

Bilgi Güvenliği, Bilginin bir varlık olarak tehdit veya tehlikelerden korunması için doğru teknolojinin, doğru amaçla ve doğru şekilde kullanılarak, bilginin varlığının her türlü ortam üzerinde istenmeyen kişiler tarafınca elde edilmesini önleme girişimi olarak tanımlanmaktadır. Bir diğer ifadeyle, kişi ve kurumların BT kullanırken karşılaşabilecekleri herhangi bir tehdit veya tehlikelerden korunması için gerekli analizlerin yapılarak gereken önlemlerin önceden alınmasını sağlama işlemlerine bilgi güvenliği denmektedir.

Bilgi güvenliği; sağlanan servislerin, sistem ve verilerin korunmasını sağlar. Kullanıcılar bilgi güvenliğini kendi bakış açıları ile değerlendirdiğinde, basit bir tanım olarak; günlük hayatta kullanılan bilgisayar ve akıllı telefonlar ile sosyal medyaya girişin güvenliğinin sağlanması olarak düşünülebilir. Her kullanıcı özelinde bilişim sistemlerinin farklı imkanlar sunduğu düşünüldüğünde ve bunun sonucunda da bilgi güvenliği ifadesinin kişilere özgü olarak değişiklik göstereceği söylenebilmektedir.

Bilgi güvenliği, yalnızca bilgileri yetkisiz erişimden korumakla ilgili değildir. Bilgi güvenliği temel olarak bilgiye yetkisiz erişimi, bilginin kullanılmasını, ifşa edilmesini, bozulmasını, değiştirilmesini, denetlenmesini, kaydedilmesini veya yok edilmesini önleme uygulamasıdır. Bilgi fiziksel veya elektronik olabilir. Bilgi, kullanıcı bilgileri gibi herhangi bir şey veya sosyal medya profili, cep telefonu verileri, biyometri gibi bilgiler olabilir. Bu nedenden dolayı ‘Bilgi Güvenliği’, kriptografi, mobil bilişim, siber adli tıp, çevrimiçi sosyal medya vb. gibi pek çok araştırma alanını kapsamaktadır.

Bilgi güvenliği, bilgiye karşı olan tehditlerle ilgilenmektedir. Bilgi güvenliğinin ‘CIA’ yani Confidentiality (gizlilik), Integrity (bütünlük) ve Availability (kullanılabilirlik) olarak sağlamaya çalıştığı üç temel unsuru bulunmaktadır. Alt kısımda başlıklar açıklanacaktır.

Verinin paylaşımı ve sürekli olarak erişime açık olma durumu dolayısıyla bilginin gönderen kaynak tarafından alıcıya kadar gizlilik içerisinde, bozulmaya uğramadan, yok edilmeden, değişime uğramadan ve başkaları tarafından ele geçirilmeden bütünlüğü sağlanmış bir şekilde iletilmesi bilgi güvenliğinin sağlanması için temel kriterlerdir.

Bilgi güvenliğinin ayrıca 7 unsuru bulunmaktadır. Bunlar güvenirlilik, bütünlük, kimlik tespiti, inkar edememe, gizlilik, log (kayıt) tutma ve erişilebilirlik. Açıklayalım.

Güvenirlilik: Bir sistemden beklentimiz ile sistemin davranışı arasındaki uyumu, yani sistemi çalıştırdığımızda hatasız ve sıkıntısız olarak çalışıp tutarlılığını koruması şeklinde açıklanabilmektedir.

Bütünlük: Bilginin yetkisi olmayan kişilerce değiştirilmemesidir yani bilgiyi gerektiği şekilde tutmak ve saklamaktır.

Kimlik Tespiti: Bilgiye erişmek isteyen kullanıcının kimliğinin doğrulanıp tespiti yapılarak sistemde kayıtlı olup olmadığının doğrulamasıdır.

İnkar Edememe: Bilginin paylaşılması durumunda bilgiyi gönderen kişi ile bilgiyi alan kişinin, bilginin paylaşılmadığını inkar edememesidir. Veri bütünlüğü ve özgünlüğü inkar edememe unsurunun ön koşullarıdır. Bu unsurun amacı, oluşabilecek herhangi bir anlaşmazlık durumunda bu durumun ortadan kaldırılmasıdır.

Gizlilik: Bilginin yetkisi olmayan kişilerin eline geçmesinin engellenmesidir yani bilgiye erişim yetkisi bulunmayan kişilerin erişip, değiştirmesini veya herhangi bir şekilde kullanmasını kısıtlamaktır.

Log (kayıt) Tutma: Sistemde olan tüm kullanıcıların erişimlerinin ve bunları ne zaman yaptıklarının zamanının kaydedilmesidir. Bu kayıtların herhangi bir arıza durumu, yasal veya hukuki nedenlerden dolayı bir önlem amacıyla yapıldığı söylenebilmektedir.

Erişilebilirlik: Bilginin yalnızca yetkisi olan kişiler tarafından erişilebilir olması durumudur yani bilgiyi erişim hakkı olan kişilerin kullanabilmesi olarak yorumlanabilir.

Bilgi güvenliği konusuna değinirken yukarıda başlıklar halinde değindiğimiz, bilgi güvenliğinin temel unsurları ve yönetim konseptlerinden de bahsetmemiz gerekir. Bilgi güvenliği temel unsurları Confidentiality (gizlilik), Integrity (bütünlük), Availability (kullanılabilirlik). Yönetim konseptleri ise tanıma konsepti, güvenlik kontrolü amacı ve risk analizidir. Kısaca bahsedelim.

Temel Unsurları:

  • Confidentiality (Gizlilik): Bilginin yetkisiz kişilerin eline geçmemesi, geçmesinin engellenmesidir.
  • Integrity (Bütünlük): Bilginin yetkisiz kişiler tarafından değiştirilmemesidir. Bilgi değiştirilebilir ancak yetkili olan kişiler tarafından ve ihtiyaca göre değiştirilmesi doğru olur.
  • Availability (Kullanılabilirlik): Bilginin ilgili ya da yetkili kişilerce ulaşılabilir ve kullanılabilir durumda olmasıdır. Bütünlük ve erişilebilirlik birbirlerine çok yakın ancak ters kavramlardır.

Bu üç unsur da birbirlerinden ayrılmaz bir bütündür.

Yönetim Konseptleri:

  • Tanıma Konsepti: Kimlik doğrulama, izleme, yetkilendirme ve gizlilik ana unsurlarıdır. Sisteme giriş yapılırken kimlik doğrulama yapmaktadır.
  • Güvenlik Kontrolü Amacı: Güvenlik açıklıkları ve tehditleri, sistemimiz veya organizasyonumuzun tolere edebileceği seviyeye çekmektir. Burada tolere ifadesinden kasıt, bir miktar olabilir fakat bu da sistemin işleyişinin etkilenmeyeceğinin ifadesidir ve sistemde zafiyet olabilir ancak, sistemin işleyişini etkileyemez anlamını taşımaktadır. Buradaki tolere ifadesi her zaman için minimum seviyede tutulmalıdır. Sonuç olarak konseptin hedefi, güvenlik açıklıkları ve tehditleri kontrol edilebilir seviyeye çekmektir.
  • Risk Analizi: Risk analizi oldukça geniş kapsamlı bir konsepttir. Kısaca, tehdit senaryolarının analizi yapılarak muhtemel kayıpların hesaplanma sürecidir. Yani analiz yapılıyor ve neler kaybediliyor, ne kadar zarar olabilir, sistem ne kadar sıkıntıya düşebilir gibi analizleri yaparak risk durumunu hesaplamaktadır. Tehdidin etkisi ve olma olasılığı riskin ana iki unsurudur.

*Risk=Tehdidin Etkisi x Olma Olasılığı*

Bilgi güvenliğinin özünde, bilgilerin ‘CIA’ tarafından tutularak, kritik veya ciddi sorunlar ortaya çıktığında bilgi ve verilerin hiçbir şekilde tehlikeye atılmamasını sağlamak anlamına gelen ‘Bilgi Güvencesi’ bulunmaktadır. Bu sorunlar doğal afetler, sunucu veya bilgisayar arızaları gibi örneklerle sınırlı değildir. Bu nedenle Bilgi Güvenliği alanı son dönemde oldukça büyümüş ve gelişmiş bir konudur. Bilgi Güvenliği, ağ ve altyapının güvenliğinin korunması, uygulama ve veri tabanlarının güvenliğinin sağlanması, güvenlik testleri, bilgi sistem denetlemeleri, iş süreklilik planlamaları dahil olmak üzere birçok farklı uzmanlık alanı da sunmaktadır.