Güvenlik Zafiyetleri; Rehber ve Çerçeveler
Bilgi, tarih boyunca insanlığın en değerli kaynağı olmuştur. İnsan her zaman bilgiye ulaşmak, bilgiye sahip olmak için çabalamıştır. Dijitalleşen dünyada bu değer daha da artmıştır.
İçindekiler
Günümüzde bilginin dijital varlıklar üzerinde depolanması, bilgiye erişim, işlenebilirlik, kullanılabilirlik ve paylaşım açısından büyük kolaylıklar sunmaktadır. Fakat bu yazılan ve daha nice avantajın yanında, verinin dijital varlıklar üzerinde tutulması, bu verinin istenmeyen taraflarca ele geçirilip gizliliğinin ihlal edilmesi, bütünlüğünün bozulması, erişimin sağlanamaması gibi ciddi tehditleri de beraberinde getirmektedir.
Bu nedenle dijital varlıklar üzerinde oluşabilecek güvenlik zafiyetlerine karşı önlem almak çok önemlidir.
Bilgi Güvenliğini Tehdit Eden Siber Riskler ve Örnekler
Dijital varlıklar sayesinde istenilen bilgiye çok hızlı bir şekilde ulaşmak mümkün olsa da, bu aynı zamanda yetkisiz kişilerin veya kötü niyetli aktörlerin de bilgiye erişim ihtimalini artırır. Özellikle kişisel veriler, ticari sırlar, finansal bilgi, askeri veya üretim bilgileri gibi gizli kalması gereken hassas bilginin yanlış ellere geçmesi ciddi zararlara neden olabilir. Örneğin bir banka sistemi dijital varlıkları üzerindeki güvenlik açıkları, finansal kayıplara, itibar zedelenmesine ve yasal sorumluluklara neden olabilir.
Siber saldırılar sonucunda bilgilerin ifşa edilmesi, manipüle edilmesi veya yok edilmesi olasılığı, bilgi güvenliğini tehdit eden en büyük risklerdendir. Siber tehdit aktörleri, güvenlik zafiyetlerini kullanarak sistemlere erişim sağlamak, sistemlerde yer alan bilgiyi şifrelemek (fidye yazılımları) veya sistemleri işlevsiz hale getirmek için sürekli gelişen yöntemler kullanmaktadır.
Sistemleri korumakla görevli çalışanlara ise güvenlik açıkları sonucu oluşabilecek tehditlere karşı kontroller oluşturarak risk ihtimalini en aza indirmek ve farklı araç veya yöntemlerle önlem almak düşmektedir.
Siber Güvenlikte Standartlar ve Çerçevelerin Rolü
Organizasyonlar, güvenlik açıklarını en aza indirmek ve bilgi güvenliğini sağlamak için çeşitli standartlar, çerçeveler ve rehberlerden yararlanmaktadır. ISO 27001, OWASP ve NIST, bu konuda en çok başvurulan kaynaklardan bazılarıdır. Bununla birlikte CIS, PCI DSS, COBIT gibi standart ve çerçevelerde kullanılmaktadır.
Bilgi ve İletişim Güvenliği Rehberi
Ülkemizde ise T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından kamu kurum ve kuruluşları ile kritik altyapı sektörlerinde faaliyet gösteren işletmelere yol gösterici olarak Bilgi ve İletişim Güvenliği Rehberi (Rehber) yayınlanmıştır.
Rehber ile kuruluşların siber güvenlik açısından belirli bir olgunluk seviyesine gelmeleri amaçlanmıştır. Bu açıdan, kapsama giren kuruluşların Rehber içerisinde tanımlanan tedbirlere uymasının zorunlu olduğu belirtilmiştir.
Rehberin Uygulama Süreci ve Organizasyonlara Sağladığı Avantajlar
Rehber 6 ana varlık grubu başlığı altında yer alan tedbirler (ağ ve sistem güvenliği, uygulama ve veri güvenliği, taşınabilir cihaz ve ortam güvenliği, IoT cihazları güvenliği, personel güvenliği, fiziksel mekanların güvenliği), uygulama ve teknoloji alanlarına yönelik güvenlik tedbirleri ve sıkılaştırma tedbirleri altında yer alan 659 tedbir maddesine sahiptir.
Rehbere uyum sağlanması ile ilgili de planlama, uygulama, kontrol etme ve önlem alma, değişim yönetimi olarak da Rehber içerisinde bir uygulama süreci tanımlanmıştır.
Sonraki yazılarımızda Rehber tedbir maddeleri içeriklerini ve uygulanma yöntemlerini, diğer standart ve yönergeler ile karşılaştırmasını ele alacağız.
Güvenliğiniz daim olsun.