Konu bilgi güvenliği olduğunda öncelikle bilgiyi tanımlamak gerekir. Bilgi ile ilgili literatür taraması yapıldığında sırayla “Veri > Enformasyon > Bilgi” üçlüsü karşımıza çıkmaktadır.   Bu yapıya göre bilgi, veri ve enformasyonun çıktısı olarak karşımıza çıkmaktadır. İlaveten bilgiyi çok farklı şekillerde de tanımlayabiliriz. Bilgi; İşletmelerin iş süreçlerini devam ettirebilmeleri ve varlık değerlerini artırabilmeleri için gerekli en değerli varlıktır. Bilgi hayatımızı sürdürebilmek için sahip olmamız gereken en değerli varlıktır. Bilgi ile ilgili sayısız tanım yapılabilmesinin yanı sıra değişmeyen tek şey en değerli varlıklardan olmasıdır.

Öyleyse en değerli varlığı korumak zorundayız!!!

Koruyabilmek için onu bizden çalmaya çalışanların kullandığı yöntemleri bilmek büyük fayda sağlayacaktır, özetleyecek olursak;

  •   Sosyal Mühendislik – Social Engineering,
  •   İz-takibi ve Kesif – Footprinting and Reconnaissance,
  •   Ağ Tarama – Scanning Networks,
  •   Sistem Atakları – System Hacking,
  •   Trojan’lar ve Backdoor’lar – Trojans & Backdoors,
  •   Virüsler ve Solucanlar – Viruses & Worms,
  •   Dinleme – Sniffing,
  •   Servis Durdurma – Denial of Service (DoS),
  •   Oturum Çalma – Session Hijacking,
  •   Web Sunucu Atakları– Hacking Web Servers,
  •   Web Uygulama Atakları– Hacking Web Applications,
  •   SQL Atakları – SQL Injection,
  •   Kablosuz Ağları Atakları – Hacking Wireless Hacking,
  •   Mobil Platform Atakları – Hacking Mobile Platforms,
  •   IDS, Firewall ve Honeypot’ları Atlatma – Evading IDS, Firewalls and Honeypots,
  •   Hafıza Taşması – Buffer Overflows.

Birbirinden önemli ve farklı yöntemlerin hepsinin temelinde farkındalık yatmaktadır. Fakat öyle bir yöntem varki odaklandığı noktada amacı farkındalığı düşük olan yerdeki insanların sahip olduğu bilgiyi çalmak olan “Sosyal Mühendisliktir.”

Bilgi güvenliği bir ürün, bir yazılım veya birkaç kişi ile sağlanabilecek bir proje değildir. Güvenlik bir birine bağlı birden fazla halkadan oluşan bir zincirdir, süreçtir. Bütün zincirin sağlamlığı en zayıf halkası kadardır. Öyleyse bütün halkaları güçlendirmek gerekir ki bunun içinde farkındalık gerekir. Bazen bilerek bazende hiç farkında olmadan sahip olduğumuz bilgileri başkaları ile paylaşıyoruz. Bu nedenle günümüzde kötü niyetli insanlar (Hacker)  tarafından kullanılan en önemli yöntemlerden biride “Sosyal Mühendislik” olmuştur.

Bilgi güvenliğini artırabilmek için birsürü yöntem uygulanabilir, fakat önce farkındalığı artırmak gerekir. Güncel olayları incelediğimizde günümüzde kötü niyetli insanların amacı sistemlere zarar vermek değil işletmelere kanca atıp amacına ulaşana kadar (alınan bilgi satılabilecek hale gelene kadar) şirketin bilgilerini çalmaktır. Bunun içinde sistemlere değil insanlara atak yapmak gündem oldu. Çünkü herzaman bilgi güvenliği zincirinin en zayıf halkası farkındalığı olmayan insandır. Yani zincirin genellikle koptuğu nokta insan faktörünün rol aldığı yerdir.

 

 

 

Zayıf halka bazen bulduğu bir CD yi, USB diski bilgisayarına takan, bazen gelen bir epostayı kontrol etmeden açan, bazen internette gördüğü bir forma şirket bilgilerini tam olarak dolduran, sahip olduğu bilgileri not tutmak amacıyla etrafa yapıştıran, gelen herhangi bir telefonda bütün bilgilerini aktaran, cep telefonuna bilmediği bir programı veya oyunu kurup sonrasında internet bankacılığı veya başka önemli işler yapan bazende ortak kullanım alanlarında sohbet ederken sahip olduğu bilgileri etrafına aktaran yani farkındalığı olmayan bir insan olarak karşımıza çıkabilir.

Bilgi güvenliğinin en zor aşaması sürdürebilirliktir. Bu noktada keşke dememek için bir takım basit tedbirler alınabilir;

  •   Ortak kullanılan korunmasız internet ortamlarında dikkatli olmak veya kullanmamak,
  •   Hem şirkete hemde kendimize ait bilgileri internet ortamında (formlar, sosyal medya, vb...) mecbur kalmadıkça kullanmamak veya limitli kullanmak,
  •   Bilinmeyen yerlerden gelen elektronik postaları açmamak, hatta bazen kaynağını bildiğimiz elektronik postaları açarken bile dikkatli olmak,
  •   Antivirüs uygulamasının uyarılarına dikkat etmek ve güncelliğinden emin olmak,
  •   Bilinmeyen USB disk veya CD’leri kesinlikle bilgisayara takmamak, kullanmamak,
  •   Sahip olduğumuz hesapların şifrelerini ne şartla olursa olsun kimse ile (arkadaş, yönetici, BT personeli, vb...) paylaşmamak,
  •   Aynı şifreyi birden fazla yerde kullanmamak,
  •   İşletmenin şifre politikalarına uymak, günlük hayatımızda da kullanmak,
  •   Tanımadığımız insanların çalışma ofislerine girmesine izin vermemek,
  •   Bilgisayar, tablet, cep telefonu gibi ekipmanlara bilmediğimiz uygulamaları kurmamak,
  •   Masamızda, etrafımızda, yazıcılarda basılı veya yazılı herhangi bir döküman bırakmamak,
  •   Telefonda veya yüzyüze; bilgi güncelleme, sistem bakım & güncelleme vb. bir amaçla bizden bilgi isteyenlere şifre, kişisel veya şirket ile ilgili hiç bir bilgi vermemek,
  •   Toplantı odalarında kullanılan yazı tahtalarını iş bitiminde temizlemek,
  •   Ortak kullanılan yemekhane, dinlenme alanları, asansör, işletme servis araçları, vb. alanlarda kesinlikle iş, proje veya yapılacak herhangi bir aksiyon hakkında konuşmamak,
  •   Cep telefonları ile konuşurken dolaşmamak,
  •   Şüpheli bir olay gerçekleştiğinde acilen ilgili ekiplere bilgi vermek,
  •   ......................

 Keşkelerin olmadığı bir hayat dileği ile…..

 

 

ISO 27001 BGYS (Bilgi Güvenliği Yönetim Sistemi); ISO'nun (Uluslararası Standartlar Kuruluşu) en kapsamlı standartlarından birtanesidir. Kurum ve kuruluşların hayatlarını sürdürebilmeleri ve varlık değerlerini artırabilmeleri için gerekli en değerli varlıkları olan "BİLGİ" yi korumayı amaçlar.

Diğer ISO sertifikalarında olduğu gibi kendi kapsamındaki sistemin kurulmasından, güvenliğinden, devamlılığından, geliştirilmesi ve denetlenmesinden sorumludur. Bütün bunları yaparken gizlilik, bütünlük ve erişilebilirlik durumlarını göz önüne alarak değerlendirir. ISO 27001 güvenlik üzerine oluşturulan bir standart olmasının yanı sıra bütünlük ve erişilebilirlik kapsamında kaynak yönetimi, sistemlerin izlenmesi, envanter yönetimi, envanteri oluşturan ekipmanların bakımlarının yapılması, değişim yönetiminin yapılması, olayların yönetilmesi, iş sürekliliği, risk yönetimi gibi bir çok kavramı kapsamına almaktadır.

ISO 27001’e sahip olmak isteyen veri merkezleri ilk aşamada ve her yıl düzenli olarak yetkilendirilmiş denetçiler tarafından denetlenmektedir. Bu denetçiler de yetkili müfettişler tarafından ayrıca denetlenmektedir.

Bazı işletmeler ortak iş yapma, proje geliştirme gibi süreçleri yürüteceği çözüm ortaklarının da bu belgeye sahip olmasını ön koşul olarak belirtebilmektedir. ISO 27001 sertifikasını almak ve aldıktan sonra yıllık yapılan denetlemelerin başarıyla sonuçlanması için bir takım gerekliliklerin ve süreçlerin yerine getirilmesi gerekir.  

 

 

 

Başlıca ISO 27001 BGYS Süreçleri (ISO, 2013)

 

ISO 27001 BGYS'nin Başlıca Faydaları;

  • ·         Diğer taraflarla (müşteri, tedarikçi, personel, ...) aradaki güven ilişkisini düzenler,
  • ·         Yasal zorunluluklara uyumu sağlar,
  • ·         Rekabet gücünü artırır,
  • ·         Tehdit ve zaafiyetlerin tespit edilip önlemlerin alınmasını sağlar,
  • ·         Riskler analizlerini yaparak ilgili süreçlerin olumsuz etkisini ortadan kaldırır,
  • ·         İşletmelerin bilgi varlıkları hakkında bilgi sahibi olmalarını sağlar,
  • ·         İş sürekliliğini artırıcı etkisi vardır,
  • ·         Veri kaybı senaryolarını en az seviyeye indirir
  • ·         Sürekli iyileştirme yapmayı sağlar,
  • ·         Bilginin gizlilik, erişebilirlik ve bütünlüğünü sağlar,
  • ·         Gerçekleşen bilgi güvenliği ihlal olaylarını düzenler,
  • ·         Bilgi kaynaklarına yapılan erişimlerin daha kontrollü olmasını sağlar,
  • ·         İşletme personelleri ve diğer tarafların bilgi güvenliği farkındalığını artırarak işletme içinde ve dışındaki davranışlarını düzenler

 

ISO 27001 BGYS Hangi Kurum ve Kuruluşlara Uygulanır?
ISO 27001 Bilgi Güvenliği Yönetim Sistemi bilgileri önemli olan bütün kurum ve kuruluşlara uygulanabilir.

 

ISO 27001 BGYS Farkındalık Eğitimi Sunumunu indirmek için TIKLAYIN.