BİLGİ
GÜVENLİĞİ (INFORMATION SECURITY)
Bilgi Güvenliği
Bilgilerin izinsiz
kullanımından, izinsiz ifşa edilmesinden, izinsiz yok edilmesinden, izinsiz
değiştirilmesinden, bilgilere zarar verilmesinden koruma veya bilgilere
yapılacak olan izinsiz ulaşımları yasaklama harekâtı. Bilgi güvenliği,
bilgisayar güvenliği ve bilgi sigortası terimleri, sık olarak birbirinin yerine
kullanılmaktadır. Bu alanlar ilgilidirler ve mahremiyetin, tamlığın ve bilginin
erişilebilirliğinin korunması hususunda ortak maksatları paylaşırlar.
Türk Standartları Enstitüsü Türk
Standartları Enstitüsü tarafından Türkçeye çevrilerek yayınlanan TS İstanbul
Sanayi Odası/IEC 27001:2005 Bilgi Güvenliği İdare Sistemi Standardı, bilgi
güvenliğini üç başlık altında inceler.
Genellikle
InfoSec olarak anılan bilgi güvenliği, duyarlı iş bilgilerini değiştirme,
kesinti, yıkım ve analizden gözetmek için planlanan ve devreye alınan süreçleri
ve vasıtaları ifade eder.
Farklı bir deyişle şöyle ifade
edebiliriz.
- Giriş yetkisi olmayan personelin bir sisteme
girişini veya sisteme ulaşımına mani olan Ulaşım kontrolleri.
- Bilgi nerede bulunuyorsa bulunsun, değişik bir
deyişle aktarılırken misalin e-posta & mail depolama alanına karşı
alınan bilgileri koruma sistemi.
- Güvenlik ihlallerinin tespit edilmesi ve
düzenlenip hâkimiyet edilmesi gidişatında bu vakaların belgelenmesi.
McCumber
Bilgi Güvenliği Modeli
Bilgi güvenliği siyasetlerinin oluşturulması ve siyasetlerin uygulamaya dönüşmesi safhasında, tüm istikametleri ile beraber değerlendirme yapılmadığı vakitçe, bilgi güvenliğinin sağlanmasında zafere erişilmesi mevzubahis değildir. Bilginin saklılığı, tamlığı ve kullanılabilirliğinin bilgi güvenliği içindeki rolü kadar, bu sürece tesir eden insan etkeni ve uygulanan bilgi güvenliği siyasetlerinin de büyük ehemmiyeti bulunmaktadır. McCumber’in geliştirmiş olduğu model, bilgi güvenliği mevzusunda milli ya da beynelmilel ebatta siyaset geliştirmek ve bilgi güvenliğini tüm istikametleri ile uygulayabilmek için temel olabilecek en uygun bilgi güvenliği modelidir. Bilgi güvenliğinin unsurlarının değişik ebatlarını gösteren ve aynı zamanda kendi içinde gruplandıran McCumber’in bilgi güvenliği modeli, 1991 senesinden bu geçerliliğini gözetmiş ve daha sonra geliştirilen modellere de temel olmuştur. Bilgi güvenliğini teknik ebatta en katı kaidelerle uygulayan ve standartları tanımlayan CISCO gibi kuruluşlar da temel bilgi güvenliği kavramları içerisinde McCumber modeline yer vermektedirler. (CiscoLearning, 2009.) AB bilgi güvenliği siyasetlerinin değerlendirilmesinde çok ebatlı ve ayrıntılı bakış açısı sunan McCumber modeli, bilgi merkezleri ve müesseseler için bilgi güvenliği siyaseti geliştirilirken de dikkate alınması gereken bir teorisel modeldir. Model üzerinde bilgi güvenliğinin sağlanması ile alakalı olarak; bilginin üç değişik suratı karakteristiği/güvenlik servisleri, gidişatı ve güvenlik tedbirleri gruplandırılarak gösterilmektedir.
1.1.Bilgi
Güvenliği Unsurları
McCumber güvenliğin bileşenlerini
tanımlarken; üç ana unsur üzerinden hareket etmektedir. Bunlar; saklılık,
tamlık ve kullanılabilirliktir. Bu üç unsur, McCumber’in 1991 senesinde
geliştirdiği bilgi güvenliği modelinde, “bilginin karakteristiği” grubu altında
da yer almaktadır. Lafı edilen üç unsura, daha sonra güvenlik siyasetleri
geliştiren analistler ve güvenlik incelemecileri tarafından yeni unsurlar (inkâr
edememe gibi) ilave edilmiştir. Fakat McCumber,
1991 senesinde geliştirmiş olduğu modelin 2005 senesinde
değerlendirmesini yaparken; ayrıca yeni unsurların ilave edilmesine gereksinim
olmadığını ve yeni unsurlar olarak gösterilen “inkâr edememe” ve “kimlik
doğrulama” unsurlarının bilgi tamlığının bir suratı olduğunu ifade etmiştir (McCumber,
2005).
Bilgi güvenliği mevzusuna
McCumber’in bakış açısıyla bakıldığında; McCumber modelinin hâlâ aktüel ve
uygulanabilir bir model olduğu söylenebilir. McCumber modelinde “bilginin
karakteristiği” grubu altında yer alan saklılık, tamlık ve kullanılabilirlik
unsurları; bilgi güvenliğinde en fazla üzerinde çalışılan unsurlardır.
Solomon’un gizlilik, bütünlük ve
kullanılabilirlik üçgeninde de (CIA Triad) (Şekil 8) ifade edildiği gibi; bilgi
güvenliği bu üç unsurun birleşimi olarak kabul edilmektedir. (Solomon ve
Chapple, 2005)
McCumber’in
üzerinde ısrarcı olduğu ve McCumber’in modelini temel alan yeni modellerin
güvenlik servisi içerisinde yer alan unsurlarını araştıralım.
Gizlilik
Bilginin
saklılığı, bir bilgiye ulaşması uygun görülen bireyler tarafından ulaşımın
sağlanabilmesini ifade eder. Bilgi merkezlerinde ya da büyük bilginin bulunduğu
sistemler üzerindeki bazı bilgiler herkes tarafından erişime sarih olabildiği
gibi, bazı bilgiler misalin bilgi tabanları yapılan kontratlar çerçevesinde
yalnızca muhakkak bir grup abonenin ulaşımına sarihtir. Yetkilendirme, parola
ile ulaşım ve bilgi kriptolama harekâtları; bilgi saklılığının sağlanması için
kullanılan başlıca usullerdir.
McCumber
modelinde bilgi saklılığının sağlanması emeliyle, bilginin transferi ve
depolanması süreçlerinde Kripto kullanımı önerilmektedir McCumber, 2005.
Elektronik etraftaki bilginin saklılık yaftayı ve bilgi güvenliği siyaseti
kapsamında tanımlanmış “öğrenmesi gereken ilkesi2”, bilgi saklılığının
sağlanmasında dikkat edilen öncelikli unsurlardır WBO, 2003. Bilgiye ulaşım
esnasındaki saklılığın, şahsi bilgilerin ve fertsel hakların korunması;
bilginin saklılığı kapsamındaki başlıca mevzulardır.
Bütünlük
Bilgi bütünlüğü,
bilgi merkezlerinde ya da rastgele bir elektronik etrafta yer alan bilgi
kaynaklarının yayıncı tarafından eriştirilen orijinal halinin, yetkisiz
bireyler tarafından değiştirilmemiş olması anlamını taşımaktadır. Bilgi tamlığı
maksatlı olarak bozulabileceği gibi, bilgi sistemlerindeki bazı yetersizlikler
sebebiyle kullanıcılar tarafından öğrenmeden ve istemeden de bozulabilir. Bilgi
tamlığın korunması, aynı zamanda bilginin kıymetinin de korunması anlamını
taşımaktadır. Bu sebeple bilgi güvenliği yatırımları içinde en fazla hisse
tahsis edilen alanlardan biri bilgi tamlığının korunmasıdır.
McCumber’e göre
bilginin bütünlüğü; Kripto çözümleri, karşılaştırmalı tahlil, inkâr edememe,
kimlik doğrulama ve ulaşım hâkimiyeti süreçlerini de içine almaktadır. (McCumber,
2005). Kimlik doğrulama ve ulaşım hâkimiyeti ile alakalı yetkisiz ulaşımı
tespit etme ve yasaklama sürecinde; kimlik belirleme, kimlik doğrulama ve
yetkilendirme usulleri kullanıcı ismi, parola, parmak izi, elektronik güvenlik
sertifikaları, elektronik
Kart vb. uygulanarak, kullanıcının evvelden
yetkilendirilmiş kaynaklara lüzum dinleyebileceği en düşük yetki ile ulaşımı
sağlanır.
Erişilebilirlik/Kullanılabilirlik/Süreklilik
Bilginin
kullanılabilirliği, kullanıcının lüzumu
olan bilgiye yetki alanı hudutları içinde ve istediği anda erişebilmesidir.
Başka bir ifade ile bilginin ulaşım yetkisi olan bireyler tarafından
ulaşılabilmesi ve kullanılabilmesidir. Yer sağlayıcılar ve bilgi
profesyonelleri açısını ulaşılabilirlik mevzusu mevcut bilgi sistemlerinin faal
olmasının ötesinde birtakım sorumlulukları da kapsamaktadır. Bilgi depolama
alanlarının her an aktüel bilgi ile kullanıcıyı buluşturması noktasında
üstlenilen kritik sorumluluk; etkin olarak hizmet veren makinelerin altyapı
yedekliliği ve yeterliliğinin yanı gizeme bilgi yedekliliğinin de kumpaslı
olarak yapılması ve gerektiğinde en kısa müddette hizmete sunulmasını gerekli
kılmaktadır.
Erişilebilirlik
ile alakalı olarak en fazla yaşanan mesele, uygulanan güvenlik tedbirlerinin
bilgiye ulaşımı gereğinden fazla güçleştirmesidir. Güvenlik tedbiri ile
erişilebilirlik balansının doğru şekilde kurulmaması, bilgi kaynaklarına ulaşımı
kısıtlayabilmektedir. Bu üç temel unsurun dışında kimlik ispatlama (authentication)
ve inkâr edememe (non-repudiation), sorumluluk (accountability), ulaşım teftişi
(access control), eminlik (reliability) ve emniyet (safety) etmenleri de bilgi
güvenliğini destekleyen unsurlardır.
Bu üç temel
unsurun dışında kimlik ispatlama authentication ve inkâr edememe (non-repudiation),
sorumluluk (accountability), erişim denetimi (access control), güvenilirlik
(reliability) ve emniyet (safety) etkenleri de bilgi güvenliğini destekleyen
unsurlardır.
(Fikir Jeneratörü, https://bit.ly/3usMlEF, 2021).
İnsanlar genellikle yanlış algıya kapılır. Misalin Bilgi sistemleri
güvenliği yalnızca bilgisayar bilgilerini mevzu edinmez, aynı zamanda telefon
görüşmeleri, güvenlik sistemleri gibi tüm şekillerdeki bilgileri ve bilgileri
güvence altına alır.
Bilgi
Güvenliği Yönetim Sistemi (BGYS) Nedir ve Niçin Gereklidir?
Bilginin
gizliliğini, bütünlüğünü ve kesintisiz kullanılabilirliğini
(erişilebilirliğini) ağlamak üzere sistemli, kaideleri koyulmuş, tasarlı,
idarenebilir sürdürülebilir, dokümante edilmiş, idarece kabul görmüş ve
beynelmilel güvenlik standartlarının temel alındığı faaliyetler tamına Bilgi
Güvenliği İdare Sistemi (BGYS) denmektedir.
Bir kuruluşun
yalnızca teknik ihtiyatlarla bilgi güvenliğini ve iş devamlılığını sağlamasının
muhtemel olmadığı, bu teknik temkinlerin yanı gizeme BGYS kapsamında kavramsal
ve prosedürel bir ekip önler ve teftişlerin sağlanması gerektiği mevzusu tüm
dünyada kabul edilmiş bir yaklaşımdır. BGYS çerçevesinde oluşturulacak güvenlik
siyasetlerine üst idare ve tüm çalışanların destek vermesi ve tavizsiz bir
biçimde uygulaması gerekmektedir, ayrıca işbirliğinde bulunulan tüm üçüncü
şahıs ve kuruluşların da bu siyasetlere uygun davranmakla mükellef olmaları
güvenliği artırıcı bir etmendir.
Bu kapsamda
BGYS'nin yalnızca bilgi operasyon ve IT Information Technology kısımlarının işi
olmadığını, tüm müessese ünitelerinin ve çalışanlarının ortak bir projesi
olduğunu özellikle vurgulamak gerekir.
BGYS'nin
Bir Kuruluşa Sağlayacağı Faydalar
Aşağıda BGYS'nin
bir kuruluşa sağlayacağı faydalar ana hatlarıyla belirtilmektedir.
·
Tehdit ve risklerin
belirlenerek etkin bir risk yönetiminin sağlanması Kurumsal Prestijin korunması
ve yükseltilmesi Güvenlik standartlarına ve sektöre uyumluluk.
·
Sektörel rekabette
güvenlik açısından geride kalmama.
·
Yasa ve yönetmeliklere
uyum.
·
İş sürekliliğinin
sağlanması.
·
Risklere karşı sürekli
uyanık kalma.
·
Bilgi kaynaklarına
erişimin denetlenmesi.
·
Bilgi sistemleri ve
varlıklarının kapsamlı bir Envanterine sahip olma.
·
Personelin, yüklenicilerin,
üçüncü partilerin güvenlik konusunda farkındalık düzeyinin (awareness)
yükseltilmesi, önemli güvenlik konularında bilgilendirilmesi ve eğitilmesi.
·
Otomatik ve elle
yönetilen sistemlerde, duyarlı bilgilerin uygun bir şekilde kullanıldığının
garanti altına alınması amacıyla gerçekçi bir kontrol sistemi kurulması.
·
Bilgi varlıklarının
bütünlüğünün ve doğruluğunun sağlanması.
·
Bilgi varlıklarının
gizliliğinin, bütünlüğünün ve sürekli kullanılabilirliğinin sağlanması.
·
Personelin,
müşterilerin ve yüklenicilerin görevlerini yerine getirirken, bilgi sistemleri
kaynaklarını kötü amaçlı olarak kullanılmalarının engellenmesi.
·
Personelin, başkaları
tarafından yapılabilecek olan saldırılar nedeniyle suçlanmasının önüne
geçilmesi (yetkisiz erişimin engellenmesi ve loglama).
·
Duyarlı bilgilerin
uygun bir şekilde üçüncü taraflara ve denetmenlere açık olmasının sağlanması.
·
Bilgi sistemlerini
kullanan kişilerin, yanlışlıkla veya bilinçsiz kullanılan kaynaklanan
nedenlerle oluşabilecek donanım, yazılım ya da bilgisayar ağlarını ilgilendiren
arıza, bilgi kayıpları ve güvenlik saldırılarına karşı bilinçlendirilmesi.
Başlıca
ISO 27001 BGYS Süreçleri (ISO, 2013)
Şekil 9: Başlıca ISO 27001 BGYS Süreçleri |
(Tekno Uzay
Web sitesi, https://bit.ly/3xRo8tR, 2021).
Önemli Not:
Özellikle bilgi sistemleri süreçlerinin ufalamaz bir parçası olarak
düşünülmelidir. Bu bakımdan yeni bir iş kavrayışı çerçevesinde açıklanarak
şahsi, müessesesel ve idaresel kültür açısından ele alınmalıdır. Yalnızca
teknik tedbirlerin, bilgi güvenliğini sağlamaya yetmeyeceğini burada tekerrür
ehemmiyetle vurgulamak isterim. Tüm dünyada kabul edilen standart yaklaşım ile bilgi
güvenliğinin sağlanabilmesi için alttaki üç ana koşulun yerine getirilmesi
gerekmektedir. Bu koşullar, aynı zamanda bilgi güvenliğinin tanımını da içinde
barındırır.
Yalnızca
teknolojik temkinlerle virüsleri tespit eden yazılımlar, güvenlik duvarı
sistemleri, kriptolama, atak tespit sistemleri vb. yukarıda da belirtilen
maddelere karşılık gelen bilgi güvenliğinin bütün olarak sağlanmasının olası
olmadığı yapılan uygulamalarla sarihçe ortaya çıkmıştır.
Yukarıda
da belirttiğim gibi, bilgi güvenliği iş süreçlerinin ufalamaz bir parçası
olmalı ve bu bakımdan yeni bir iş kavrayışı olarak idare ve müessesesel kültür
açısından ele alınmalıdır. Her geçen gün süratli bir biçimde artan bilgi ve
yetkisiz ulaşımlarla baş edebilmek için müesseselerin bir güvenlik siyaseti
oluşturması, bunu yazılı hale getirmesi ve çalışanlarına, iş ortaklarına
aktarması kaçınılmaz hale gelmiştir. Tüm çalışanlar bilgi güvenliği mevzusunda
bilinçlendirilmeli, şahsi ve müessesesel bilgilere sahip çıkmaları mevzusunda
eğitilmelidir. "Bilgi Güvenliği Siyasetleri" üst idare tarafından
güçlü bir biçimde desteklenmeli, müessese açısından bilgi güvenliğinin
ehemmiyetini sarihçe ortaya koymalı, bilgi sistemlerine ait varlıkların
sahiplerini ve sorumluluklarını belirlemeli, çalışanlarını eğitmelidir.
Bilgi
güvenliği yönetim sistemleri, iş ortaklarını ve üçüncü tarafları da
kapsamalıdır. Kurum, kuruluş ve işletmelerin bilgilerinin güvenli olarak
korunabilmesi için kişileri, süreçleri ve bilgi sistemlerini kapsayan
sistematik yaklaşımlar, uluslararası bilgi güvenliği standartlarına uygun
olarak ele alınmalıdır. Bilgiye kesintisiz erişimin sağlanması ve bu bilginin
güvenli bir şekilde kullanılabilmesi amacıyla çeşitli bilgi güvenliği
standartları geliştirilmiş olup, halen bu standartların daha da iyileştirilmesi
için çalışmalar sürdürülmektedir.
Bilgi
toplumu olma yolunda ilerlemek ve dünya ülkeleriyle bilişim alanında
bütünleşebilmek gibi bir iddiamız olacaksa, bilgi güvenliğine en üst düzeyde
önem vermemiz gerekir. Bunun için, uluslararası bilgi güvenliği standartlarının
kurum, kuruluş ve işletmelerde kullanımına özen göstermeliyiz.
TS ISO/IEC
27001 Standardı Nedir?
ISO
27000 ailesinden olan ve ISO/IEC 17799'un yerine geçen ISO/EC 27001 Standardı,
bilgi güvenliği yönetiminin daha verimli hale getirilme si için tasarlanmıştır.
Orijinal ismi "Information Technology Security Techniques Information
Security Management Systems Requirements" olan bu standardın TSE
tarafından Türkçeye çevirisi "Bilgi Teknolojisi Güvenlik Teknikleri Bilgi
Güvenliği Yönetim Sistemleri Gereksinimler" olarak yapılmıştır.
Teknik
bir standart olmayan ISO/IEC 27001 kurum, kuruluş ve işletmelerin güvenlik
gereksinimlerini tanımlar ancak gerçekleştirme şeklini onlara bırakır. Başka bir
deyişle; kurum içi veya dışı yanlış ve kötü amaçlı kullanıma karşı bilginin
korunması için gerekli beklentileri tanımlar. TSE'nin yayınlamış olduğu TS
ISO/IEC 27001 adlı kitapçıkta bu standardın hangi amaçla hazırlandığı şöyle
tanımlanmaktadır; "Bilgi Güvenliği Yönetim Sistemi'ni (BGYS) /
(Information Security Management System, SİMS) kurmak, gerçekleştirmek,
işletmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için bir model
sağlamak üzere hazırlanmıştır".
ISO/IEC
27001 Standardı hiçbir zaman ISO 15408 (Common Criteria, CC), COBIT veya CASPR
(Commonly Accepted Security Practices) gibi biraz daha teknik odaklı bir
standart olarak amaçlanmamıştır. Her sektördeki kurum, kuruluş ve şirketlerin
kolayca uygulayabileceği, bilginin korunması için gerekli esnek ve genel
prensipleri içermektedir.
Bir önceki kesimde ISO/IEC 17799'un 10 ana bölüm altında 127 kontrol maddesi içerdiğini söylemiştim. ISO/IEC 17799 ile ISO/IEC 27001 arasındaki başlıca fark şudur: ISO/IEC 17799'un ana maddeleri korunmak şartıyla, standardın bazı başlıklar altında yer alan maddeleri yeniden başka başlıklar altında gruplanmış, bazı maddeler ile ilgili diğer başlıklar altına kaydırılmış ve bazılarına da eklemeler yapılmıştır.
27000
Standartlar Ailesi
Aşağıdaki
tabloda belirtilen 27000 standartlar ailesi gösterilmiştir.
Tablo 1: Eren Veysel ERSOY, 2012, Bilgi Güvenliği Standardı)
Information
Technology Security Techniques Information Security Management Systems
Requirements (Bilgi Teknolojisi Güvenlik Teknikleri Bilgi Güvenliği Yönetim
Sistemleri Gereksinimler). |
|
ISO/IEC
27002: |
Information
TechnologySecurity TechniquesCode of Practice for Information Security
Management (Bilgi Teknolojisi Güvenlik Teknikleri Bilgi Güvenliği Yönetimi
İçin Uygulama Kodları). |
ISO/IEC
27003: |
Information
Technology Security Techniques Information Security Management System
Implementation Guidance (Bilgi Teknolojileri Güvenlik Teknikleri Bilgi
Güvenliği Yönetim Sistemi Uygulama Kılavuzu). |
ISO/IEC
27004: |
Information
Technology Security Techniques Information Security Management Measurement
(Bilgi Teknolojileri Güvenlik Teknikleri Bilgi Güvenliği Yönetimi Ölçüm). |
ISO/IEC
27005: |
Information
Technology Security Techniques Information Security Risk Management (Bilgi
Teknolojileri Güvenlik Teknikleri Bilgi Güvenliği Risk Yönetimi) |
ISO/IEC
27006: |
Information
Technology Security Techniques Requirements for Bodies Providing Audit and
Certification of Informatin Security Management Systems (Bilgi Teknolojileri
–Güvenlik Teknikleri –Bilgi Güvenliği Yönetim Sistemlerini Denetleyen ve
Sertifika Veren Kurumlar İçin Gereksinimler) |
ISO/IEC
27007: |
Information
Technology - Security Techniques - Guidelines for Information Security
Management Systems Auditing (Bilgi Teknolojileri -Güvenlik Teknikleri -Bilgi
Güvenliği Yönetim Sistemleri Denetimi için Yönergeler) |
ISO/IEC
27008: |
Denetçiler
için ISMS kontrolleri Kılavuzu (Bilgi Güvenliği Yönetim Sistemi önerileri
Konusunda Dene tim Yapan Denetçiler için Kılavuz) |
ISO 27001 Bilgi Güvenliği Sistemi
Kurma Aşamaları Nelerdir?
Bilgi Güvenliği Sistemi kurmanın ehemmiyetli safhaları bulunmaktadır. Bu safhalardan en ehemmiyetlisi varlıkların sınıflandırılmasıdır. Bu düzeyin devamında ise saklılık, tamlık ve ulaşılabilirlik kriterlerine göre varlıkların değerlendirilmesi gerekmektedir. Ayrıca tehlike tahlili yapılmalı ve tahlil çıktılarına göre uygulanacak kontroller tanımlanmalıdır. Sistemin kurulma sürecini ise belgeleme oluşturma, kontrolleri uygulama, iç muayene ve kayıtları yakalama safhaları devam ettirmektedir. Son olarak ise idarenin gözden geçirilmesi ve evraklandırma evresine geçilmektedir.
(Fog Web
sitesi, https://bit.ly/3eU8uVU , 2021).
Genel Veri
Koruma Yönetmeliği (GDPR) Nedir?
2016 senesinde, Avrupa Meclisi
ve Konseyi, Genel Bilgi Koruma İdaremeliği üzerinde uyuştu. 2018 baharında
GDPR, işletmelerin şunları yapmasını lüzumlu hale getirmeye başladı:
·
Veri
ihlali bildirimleri sağlayın.
·
Bir
veri koruma görevlisi atamak.
·
Veri
işleme için kullanıcı izni gerektir.
·
Gizlilik
için verileri anonimleştirin.
AB içinde faaliyet gösteren tüm şirketler bu standartları
yerine getirmek ile yükümlüdür.
InfoSec
Türleri
Uygulama güvenliği
Uygulama güvenliği, web ve mobil uygulamalardaki ve uygulama programlama ara
suratlarındaki API'ler yazılım güvenlik sarihlerini içeren geniş bir mevzudur.
Bu güvenlik sarihleri, kullanıcıların kimlik doğrulaması veya
yetkilendirilmesinde, kod ve yapılandırmaların tamlığında ve olgun siyaset ve
prosedürlerde bulunabilir. Uygulama güvenlik sarihleri, ehemmiyetli InfoSec
ihlalleri için giriş noktaları oluşturabilir. Uygulama güvenliği, InfoSec için
etraf korunmasının ehemmiyetli bir parçasıdır.
Bulut
Güvenliği
Bulut güvenliği, bulut
etraflarında tehlikesiz uygulamalar oluşturmaya ve barındırmaya ve üçüncü taraf
bulut uygulamalarını tehlikesiz bir biçimde harcamaya odaklanır.
"Bulut", uygulamanın paylaşılan bir civarda çalıştığı anlamına
kazanç. Firmalar, paylaşılan etraflara değişik süreçler arasında yeterli
yalıtım olduğundan emin olmalıdır.
Kriptografi
Geçiş halindeki bilgilerin ve
kullanımda olmayan bilgilerin şifrelenmesi, bilgi saklılığını ve tamlığını
sağlamaya takviyeci olur. Dijital imzalar, bilgilerin gerçekliğini doğrulamak
için Kriptografi de yaygın olarak kullanılır. Kriptografi ve şifreleme giderek
daha ehemmiyetli hale geldi. Kriptografi kullanımına hoş bir misal, Gelişmiş
Şifreleme Standardıdır AES. AES, saklı hükümet bilgilerini gözetmek için
kullanılan simetrik bir anahtar algoritmasıdır.
Altyapı
Güvenliği
Altyapı güvenliği, dâhili ve extranet
ağlarının, laboratuvarların, bilgi merkezlerinin, sunucuların, masaüstlerinin
ve mobil aygıtların korunmasıyla ilgilenir.
Olay
Yanıtı
Olay yanıtı, potansiyel
olarak makûs maksatlı tutumları izleyen ve inceleyen işlevdir. İhlallere
hazırlık olarak, BT personelinin tehdidi kontrol altına almak ve ağı geri
yüklemek için bir vaka müdahale tasarıyı olmalıdır. Ek olarak, tasarı, adli tıp
tahlili ve mümkün kovuşturma için ispatları gözetmek için bir sistem
oluşturmalıdır. Bu bilgiler, daha fazla ihlalin önlenmesine ve personelin
saldırganı keşfetmesine takviyeci olabilir.
Güvenlik
Açığı Yönetimi
Güvenlik açığı
yönetimi bir etrafı cılız noktalara yamalı yazılım gibi karşı tarama ve
tehlikeye dayalı olarak düzenlemeye öncelik verme sürecidir. Bir Hayli ağda,
firmalar kesintisiz olarak uygulamalar, kullanıcılar, altyapı vb. İlaveler. Bu
sebeple, ağı mümkün güvenlik sarihlerine karşı kesintisiz olarak taramak
ehemmiyetlidir. Evvelden bir güvenlik açık bulmak, firmalarınızı bir ihlalin
devirici maliyetlerinden kurtarabilir.
0 Comments:
Yorum Gönder