EN
EN

Bilgi Güvenliği

04 Ekim 2021


Bilgi güvenliği, bilginin bir varlık olarak tehdit veya tehlikelerden korunması için doğru teknolojinin, doğru amaçla ve doğru şekilde kullanılarak, bilginin varlığının her türlü ortam üzerinde istenmeyen kişiler tarafınca elde edilmesini önleme girişimi olarak tanımlanmaktadır. Bir diğer ifadeyle, kişi ve kurumların BT kullanırken karşılaşabilecekleri herhangi bir tehdit veya tehlikelerden korunması için gerekli analizlerin yapılarak gereken önlemlerin önceden alınmasını sağlama işlemlerine bilgi güvenliği denmektedir.  

Bilgi güvenliği; sağlanan servislerin, sistem ve verilerin korunmasını sağlar. Kullanıcılar bilgi güvenliğini kendi bakış açıları ile değerlendirdiğinde, basit bir tanım olarak; günlük hayatta kullanılan bilgisayar ve akıllı telefonlar ile sosyal medyaya girişin güvenliğinin sağlanması olarak düşünülebilir. Her kullanıcı özelinde bilişim sistemlerinin farklı imkanlar sunduğu düşünüldüğünde ve bunun sonucunda da bilgi güvenliği ifadesinin kişilere özgü olarak değişiklik göstereceği söylenebilmektedir.

Bilgi güvenliği, yalnızca bilgileri yetkisiz erişimden korumakla ilgili değildir. Bilgi güvenliği temel olarak bilgiye yetkisiz erişimi, bilginin kullanılmasını, ifşa edilmesini, bozulmasını, değiştirilmesini, denetlenmesini, kaydedilmesini veya yok edilmesini önleme uygulamasıdır. Bilgi fiziksel veya elektronik olabilir. Bilgi, kullanıcı bilgileri gibi herhangi bir şey veya sosyal medya profili, cep telefonu verileri, biyometri gibi bilgiler olabilir. Bu nedenden dolayı ‘Bilgi Güvenliği’, kriptografi, mobil bilişim, siber adli tıp, çevrimiçi sosyal medya vb. gibi pek çok araştırma alanını kapsamaktadır.

Bilgi güvenliği, bilgiye karşı olan tehditlerle ilgilenmektedir. Bilgi güvenliğinin ‘CIA’ yani Confidentiality (gizlilik), Integrity (bütünlük) ve Availability (kullanılabilirlik) olarak sağlamaya çalıştığı üç temel unsuru bulunmaktadır. Alt kısımda başlıklar açıklanacaktır.

Verinin paylaşımı ve sürekli olarak erişime açık olma durumu dolayısıyla bilginin gönderen kaynak tarafından alıcıya kadar gizlilik içerisinde, bozulmaya uğramadan, yok edilmeden, değişime uğramadan ve başkaları tarafından ele geçirilmeden bütünlüğü sağlanmış bir şekilde iletilmesi bilgi güvenliğinin sağlanması için temel kriterlerdir.

Bilgi güvenliğinin ayrıca 7 unsuru bulunmaktadır. Bunlar güvenirlilik, bütünlük, kimlik tespiti, inkar edememe, gizlilik, log (kayıt) tutma ve erişilebilirlik. Açıklayalım.

Güvenirlilik: Bir sistemden beklentimiz ile sistemin davranışı arasındaki uyumu, yani sistemi çalıştırdığımızda hatasız ve sıkıntısız olarak çalışıp tutarlılığını koruması şeklinde açıklanabilmektedir.

Bütünlük: Bilginin yetkisi olmayan kişilerce değiştirilmemesidir yani bilgiyi gerektiği şekilde tutmak ve saklamaktır.

Kimlik Tespiti: Bilgiye erişmek isteyen kullanıcının kimliğinin doğrulanıp tespiti yapılarak sistemde kayıtlı olup olmadığının doğrulamasıdır.

İnkar Edememe: Bilginin paylaşılması durumunda bilgiyi gönderen kişi ile bilgiyi alan kişinin, bilginin paylaşılmadığını inkar edememesidir. Veri bütünlüğü ve özgünlüğü inkar edememe unsurunun ön koşullarıdır. Bu unsurun amacı, oluşabilecek herhangi bir anlaşmazlık durumunda bu durumun ortadan kaldırılmasıdır.

Gizlilik:Bilginin yetkisi olmayan kişilerin eline geçmesinin engellenmesidir yani bilgiye erişim yetkisi bulunmayan kişilerin erişip, değiştirmesini veya herhangi bir şekilde kullanmasını kısıtlamaktır.

Log (kayıt) Tutma: Sistemde olan tüm kullanıcıların erişimlerinin ve bunları ne zaman yaptıklarının zamanının kaydedilmesidir. Bu kayıtların herhangi bir arıza durumu, yasal veya hukuki nedenlerden dolayı bir önlem amacıyla yapıldığı söylenebilmektedir.

Erişilebilirlik: Bilginin yalnızca yetkisi olan kişiler tarafından erişilebilir olması durumudur yani bilgiyi erişim hakkı olan kişilerin kullanabilmesi olarak yorumlanabilir.

Bilgi güvenliği konusuna değinirken yukarıda başlıklar halinde değindiğimiz, bilgi güvenliğinin temel unsurları ve yönetim konseptlerinden de bahsetmemiz gerekir. Bilgi güvenliği temel unsurları Confidentiality (gizlilik), Integrity (bütünlük), Availability (kullanılabilirlik). Yönetim konseptleri ise tanıma konsepti, güvenlik kontrolü amacı ve risk analizidir. Kısaca bahsedelim.

Temel Unsurları:

Confidentiality (Gizlilik): Bilginin yetkisiz kişilerin eline geçmemesi, geçmesinin engellenmesidir.

Integrity (Bütünlük): Bilginin yetkisiz kişiler tarafından değiştirilmemesidir. Bilgi değiştirilebilir ancak yetkili olan kişiler tarafından ve ihtiyaca göre değiştirilmesi doğru olur.

Availability (Kullanılabilirlik): Bilginin ilgili ya da yetkili kişilerce ulaşılabilir ve kullanılabilir durumda olmasıdır. Bütünlük ve erişilebilirlik birbirlerine çok yakın ancak ters kavramlardır.

Bu üç unsur da birbirlerinden ayrılmaz bir bütündür.

Yönetim Konseptleri:

Tanıma Konsepti: Kimlik doğrulama, izleme, yetkilendirme ve gizlilik ana unsurlarıdır. Sisteme giriş yapılırken kimlik doğrulama yapmaktadır.

Güvenlik Kontrolü Amacı: Güvenlik açıklıkları ve tehditleri, sistemimiz veya organizasyonumuzun tolere edebileceği seviyeye çekmektir. Burada tolere ifadesinden kasıt, bir miktar olabilir fakat bu da sistemin işleyişinin etkilenmeyeceğinin ifadesidir ve sistemde zafiyet olabilir ancak, sistemin işleyişini etkileyemez anlamını taşımaktadır. Buradaki tolere ifadesi her zaman için minimum seviyede tutulmalıdır. Sonuç olarak konseptin hedefi, güvenlik açıklıkları ve tehditleri kontrol edilebilir seviyeye çekmektir.

Risk Analizi: Risk analizi oldukça geniş kapsamlı bir konsepttir. Kısaca, tehdit senaryolarının analizi yapılarak muhtemel kayıpların hesaplanma sürecidir. Yani analiz yapılıyor ve neler kaybediliyor, ne kadar zarar olabilir, sistem ne kadar sıkıntıya düşebilir gibi analizleri yaparak risk durumunu hesaplamaktadır. Tehdidin etkisi ve olma olasılığı riskin ana iki unsurudur.

*Risk=Tehdidin Etkisi x Olma Olasılığı*

Bilgi güvenliğinin özünde, bilgilerin ‘CIA’ tarafından tutularak, kritik veya ciddi sorunlar ortaya çıktığında bilgi ve verilerin hiçbir şekilde tehlikeye atılmamasını sağlamak anlamına gelen ‘Bilgi Güvencesi’ bulunmaktadır. Bu sorunlar doğal afetler, sunucu veya bilgisayar arızaları gibi örneklerle sınırlı değildir. Bu nedenle Bilgi Güvenliği alanı son dönemde oldukça büyümüş ve gelişmiş bir konudur. Bilgi Güvenliği, ağ ve altyapının güvenliğinin korunması, uygulama ve veri tabanlarının güvenliğinin sağlanması, güvenlik testleri, bilgi sistem denetlemeleri, iş süreklilik planlamaları dahil olmak üzere birçok farklı uzmanlık alanı da sunmaktadır.

BT Olgunluk Analizi

Kurumların BT yönetim süreçlerinin önem ve etkinliği, BT mimarisinin (yazılım, donanım, güvenlik ve altyapı) ilişkili strateji ve süreçlerle uyumu ve sürekliliği BT Olgunluğunu ortaya koyar. Her kurumun BT olgunluğu farklı seviyelerde olabilir. BT Olgunluk Analizi ile mevcut olgunluğun ölçülmesi ve değerlendirilmesi, uluslararası benzer başka kurumlarla kıyaslanması hedeflenir.

BT Olgunluk Analizi
Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog