Bilgi güvenliği, bir organizasyonun veya bireyin verilerini koruma ve gizliliğini sağlama çabalarını ifade eder. Bilgi güvenliği, önemli bilgi varlıklarının doğru şekilde korunmasını, veri bütünlüğünü sağlamayı, bilgiye sadece yetkili kişilerin erişmesini, verilerin doğru bir şekilde kullanılmasını ve yedeklenmesini içerir.
Peki Bilgi Güvenliğinin Temeli Nedir?
Bilgi güvenliği, herhangi bir organizasyonun en önemli varlıklarından biridir, çünkü bilgiler, işletmelerin, müşterilerin, ortakların ve çalışanların güvenliği için hayati önem taşır. Özellikle son yıllarda, dijital teknolojilerdeki hızlı gelişmeler nedeniyle bilgi güvenliği daha da önemli hale gelmiştir. Büyük veri kümelerine sahip olan kuruluşlar, büyük risklerle karşı karşıya kalmaktadır. Bu nedenle, bilgi güvenliği uluslararası düzeyde sıkı bir şekilde düzenlenmektedir.
Bilgi güvenliği, hacker saldırıları, kötü amaçlı yazılımlar, kimlik avı saldırıları, phishing gibi sanal saldırılar ve diğer tehditlerle mücadele etmeyi gerektirir. Ayrıca, fiziksel koruma tedbirleri de alınmalıdır, örneğin, ofislerin kapıları ve pencereleri kilitlenmeli, hassas belgelerin güvenli bir şekilde saklanması sağlanmalıdır.
Sonuç olarak, bilgi güvenliği, verilerin korunması ve gizliliğinin sağlanması için alınan tüm önlemleri ifade eder. Bu önlemler, bir organizasyonun iş sürekliliğini ve müşteri güvenini sağlamak için hayati önem taşır.
Günümüz dünyasında bilgi kadar, bilginin güvenliğinin sağlanması da büyük önem arz etmektedir. Aksi durumlarda sağlayıcıya dönüşü, mali ve itibar kaybı şeklinde olacaktır.
A) Gizlilik (Confidentiality)
Bilginin yetkisiz kişilere karşı gizlenmesi ve korunması yani sadece bilmesi gereken kişiler tarafından bilinmesi gerektiği kadar (Bilmesi Gereken Prensibi). İnternet çağında artık bilgiler sanal ortamlarda bulunduğu için fiziki güvenliğin yanında teknik güvenlikte ciddi önem kazanmıştır. Sağlayıcının bulunduğu sektör ve faaliyetlere paralel olarak bu sorumluluklar ve riskler de artmaktadır.
Risk azaltmaya yönelik aşağıdaki yollar izlenmektedir:
- Şifreleme (Encryption)
Bilginin sadece Kriptografi Anahatarı olan yetkili birileri tarafından çözülebilecek şekilde belli matematiksel prensiplere uyarak karmaşık ve anlaşılamaz hale getirmek. Bu yöntem gerçek veri sahibi ve alıcı dışında hiç kimsenin bilgiyi okuyamamasını sağlar.
Şifrelemede de en önemli şey Kroptografik Anahtarın Korunması.
- Erişim Kontrolleri (Access Controls)
Veri Kaynaklarına kimlerin erişebileceğini ve kullanabileceğini belirleyen bir yöntemdir. Fiziksel erişim kontrolü, parmak izi veya personel kimliği gibi tekniklerle sağlanırken Mantıksal Erişim Kontrolü aşağıda açıkladığım şekilde sağlanmaktadır:
a) Kimlik Doğrulama (Authentication)
Veri Sağlayıcı tarafından sadece tanımlanan kişilerin, çoğu zaman bir şifreyle kaynaklara erişmesidir. Mesela bir uçağa binmek için sadece uçak biletinizi göstermeniz yeterli değildir. Uçuş Görevlisine Pasaport veya Kimlik göstermeniz gereklidir. Bilet ve Pasaportta ki bilgiler uyuşuyorsa uçuşunuza izin verilir. e-imza veya domainler içinde bulunan kullanıcı adı ve şifresi buna örnek olarak verilebilir.
b) Yetkilendirme (Authorization)
Veri Sahibi tarafından, hangi kaynaklara kimin ve ne ölçüde erişebileceğinin belirlenmesi. Örneğin, yukarda anlattığım örnekte size atanmış bir Pilot yetkisi yoktur, dolayısıyla Pilot kabininde yolculuk yapmanıza izin verilmez. Veya e-okul sitesinde bir “Öğrenci Giriş Portalı” ve “Öğretmen Giriş Portalı” bulunmaktadır.
c) Reddedilemezlik (Non-Repudiation)
Verilerin doğruluğunu ve bütünlüğünü kanıtlayan bir metodtur. Veriler kaydedildikten sonra onlara bir hash değeri atanır. Bu dosyada herhangi bir değişiklik yapılırsa hash değeri değişir, bu sayede müdahale olduğu tespit edilir. Bu metod; “Aradaki Adam”, “Kötü Amaçlı Yazılımların Kullanılmasının ve Adli Delil Değişikliğinin Önlenmesinde ve Tespitinde” büyük rol oynamaktadır.
