web analytics

Bilgi Güvenliği, Bilgi Güvenliği Nedir? Tanımı ve Esasları

Bilgi; mal ve hizmet üretimindeki, personel, malzeme, makine, tesis ve para gibi işletmelerin temel girdilerine ilaveten, stratejik öneme sahip, belki de en pahalı girdi ve şüphesiz korunması gereken bir değerdir. Bilgi güvenliği, asırlardır var olan bir kavramdır. Bilgi, her daim korunması gereken bir varlık olarak karşımıza çıkmıştır. Gaius Julius Caesar’ın komutanlarına gönderdiği mesajları şifrelemek için milattan önce 50’li yıllarda icat ettiği “Caesar Cipher” yöntemi, bilginin, güvenliği sağlandığında stratejik bir varlık olduğunu gösteren tarihteki bilinen ilk örnektir.

Bilgi, günümüz işletmeleri şüphesiz ki en önemli varlıklarından biridir. Bu bilgi kimi zaman ürün kalitesi, kimi zaman hizmet kalitesi ile ilgilidir. Bir şirketin hayatını idame ettirmesi ve gelecekte var olması, sahip olduğu bilgiye ve bu bilgiyi doğru şekilde kullanmasına ve korumasına bağlıdır. Bruce Schneier 2008’de yayınladığı kitabında şu ifadeye yer vermiştir; Eğer güvenliği, ürün ve hizmetinizle bütünleşik bir şekilde son kullanıcıya sunarsanız, insanları memnun eder ve kazanırsınız, aksi takdirde insanların sizin ürün veya hizmetinizin güvenliği hakkında endişe duymaları sizin sürekli zaman, enerji, para harcamak zorunda bırakacağından ve güvenliği başarılı bir şekilde pazarlayamazsınız.

Bilgi güvenliği; bilgiye sürekli olarak –izinler çerçevesinde– erişilebilirliğin sağlandığı bir ortamda, “bilginin göndericisinden alıcısına kadar gizlilik içerisinde, bozulmadan, değişikliğe uğramadan ve başkaları tarafından ele geçirilmeden bütünlüğünün sağlanması ve güvenli bir şekilde iletilmesi sürecidir.”.

Bilgi güvenliği denildiğinde; bilginin gizliliğinin sağlanması ve izinsiz kişilerin erişiminin engellenmesi, bütünlüğünün korunarak olası tehditlerin bu bütünlüğe zarar vermesinin önüne geçilmesi ve bilgiye erişimin garanti altına alınarak, yetkiler dâhilinde, erişilebilir olması anlaşılmalıdır.

Bilgi güvenliğinin; gizlilik, bütünlük ve erişebilirlik olarak üç ana unsuru bulunur. Bu unsurları ilk inceleyen yayının “Bilgisayar Sistemlerinde Bilginin Korunması”, (The protection of information in computer systems) başlıklı çalışma olduğu kabul edilmektedir. Ancak günümüzde kullanıldığı şekli ile “CIA Üçgeni” (CIA-triad) kavramı ilk olarak “Johnson Uzay Merkezi” tarafından 1989’da “Pembe Kitap” olarak ta bilinen JSC-NASA “Bilgi Güvenliği Planları”nda yer almıştır. Günümüze kadar birçok akademik çalışma, ulusal ve uluslararası standart, devlet kurum ve kuruluşları, özel şirketler, bilgi güvenliği çalışmalarında CIA Üçgeni’ni temel almışlardır.

Bütünlük; varlıkların doğruluğunu ve tamlığını koruma özelliğidir. Anlamlı ve tutarlı olması, doğru ve kesin olması, kendi içinde çelişik olmaması, son halini almış bilgi üzerinde değişiklik yapılmamış olması durumudur. Erişebilirlik; yetkili bir varlık (kişi veya bilgiyi işleyen, veriden kullanılabilir bilgi üreten başka bir cihaz veya işlem) tarafından talep edildiğinde erişilebilir ve kullanılabilir olma özelliğidir. Bilgi yetkili kişilerin yetkileri kapsamında istedikleri zaman erişmelerini, amacı dâhilinde kullanılması durumudur

Bilği güvenliğinde elektronik ticaretin yaygınlaşması ile beraber ihtiyaçlara cevap verme adına “doğruluk ve inkâr edilemezlik” ilkeleri ortaya çıkmıştır. Bu ilkeler literatürde e-ticaret yapan kişi ve kurumların yaptıkları işlemlerin, doğruluğunu sağlayıcı ve gerçekleştirdikleri işlemleri inkâr etmelerini önleyici tedbirler olarak yer almıştır.

Bilgi ister klasik yöntemlerle (yazılı) kayıt altına alınsın ve faydalanılsın, isterse sayısal tabanlı bilgi teknolojileri kullanılarak anlamlı hale getirilsin, her zaman korunması gereken stratejik bir varlık olmuş ve olmaya da devam etmektedir. bilgi güvenliği

Verizon tarafından yapılan araştırma da “bilgi güvenliği unsurlarının en yoğun şekilde hangi tür saldırılara maruz kaldığı” sorusuna cevap aranmıştır. Araştırma sonucu, en çok saldırının “kötü amaçlı yazılımlar” aracılığı yapıldığını ve bilginin “bütünlük” unsurunu hedef alındığı ortaya koymuştur.

Ross Anderson, “Bilgi Güvenliği Neden Zor” (Why Information Security is Hard) isimli makalesinde; siber güvenlikte motivasyon, yükümlülükler ve sorumlulukların, hangi eylemlerin, kimin tarafından yapılacağını belirlediğini ve müşterek/ortaklaşa çalışmanın sonucu olarak siber savunmanın pozitif veya negatif etkilenebildiği vurgusu yapmıştır.

Bilgi güvenliği organizasyonlar için dört önemli işlev gerçekleştirmektedir;

  1. Organizasyonun hayatını devam ettirebilmesi için gerekli fonksiyonların korunması.
  2. Kuruluşun bilgi sistemleri üzerinde çalışan uygulamaların güvenli bir şekilde çalışmaya devam etmesi.
  3. Organizasyonun işleri için topladığı ve kullandığı verinin korunması.
  4. Organizasyonun teknolojik varlıklarının korunması.

Bilgi güvenliği konusuna genellikle teknik bir problem olarak yaklaşılmaktadır. Oysa konu daha çok yönetimsel nitelik taşımaktadır. Bu nedenle ancak organizasyonların genel yönetimi ile bilişim yönetimi birimlerinin ortak çalışması halinde bilgi güvenliği doğru bir şekilde yönetilebilir. Bilgi güvenliği konusunda eserleri bulunan Charles Cresson Wood; “Teknolojik problemlere daha çok teknoloji ile çözüm aramak doğru bir yaklaşım değildir, bilgi güvenliği sorunları teknik sorunlardan ziyade yönetim sorunu olarak değerlendirilmesi gerektiğine” vurgu yapmıştır.

Yapılan araştırmalar, bilgi güvenliği yöneticileri ile kullanıcılar arasında bakış açısı bakımından uçurum olduğunu göstermekte, alan yöneticilerinin kullanıcıları “tehdit” olarak vasıflandırdıklarını, kullanıcıların ise kendilerini bilgi güvenliği tehditleri ile mücadele de “yöneticiler tarafından yeteri kadar başvurulmayan” bir kaynak olarak gördüğünü göstermektedir. Yapılan çalışmalarda elde edilen bulgular; yöneticilerin gerçekçi olmayan varsayımlarla hareket ettiklerini göstermektedir.

Bilgi güvenliğinin yönetim boyutu hakkında yapılan çalışmalar, “kapsamlı ve kolektif” bir mücadele için dikkate alınması gereken en önemli konulardan birinin de “örgütsel yapılar” olduğu ve etkili bir mücadele için organizasyon yapılarının klasik yönetim şekillerinden uzaklaşarak kendilerini yenilemeleri gerektiğine vurgu yapılmaktadır. Hatta her gün daha karmaşıklaşan bilgi güvenliğine, yerinde ve zamanında müdahale etmek adına organizasyonlar, en tepe yöneticiye bağlı olarak çalışan, “bilgi güvenliği genel müdürü” (CISO, Chief Information Security Officer) istihdam etmektedirler.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir