İLETİŞİM
EN
Digital Maturity Assessment BİGR Danışmanlığı Göç'e Hazır mısınız? AÇIK KAYNAK KODLU SİSTEMLERE GÖÇ Penetrasyon Testi Bilgi Güvenliği Yönetimi Sistemi BGYS TaliaDomain Faronics Uçtan Uca Güvenlik SANGFOR SearchInform
EN

Siber Hijyen Nedir?


Siber hijyen, kurumların ve bireylerin bilgi sistemlerini, ağlarını, cihazlarını ve verilerini siber tehditlere karşı koruyabilmek amacıyla düzenli, sürdürülebilir ve asgari güvenlik önlemlerini uygulamasını ifade eder. Günlük yaşamda kişisel hijyenin hastalık riskini azaltması gibi, siber hijyen de siber saldırılardan kaynaklanabilecek riskleri en aza indirmeyi amaçlar.

Siber hijyen kavramı yalnızca ileri seviye teknik güvenlik çözümlerini değil; temel güvenlik alışkanlıklarını, kullanıcı farkındalığını ve kurumsal süreçleri kapsayan bütüncül bir yaklaşımdır. Güçlü parola kullanımı, sistemlerin güncel tutulması veya şüpheli e-postalara karşı dikkatli olunması gibi basit ancak düzenli uygulamalar, çoğu siber saldırının önlenmesinde kritik rol oynamaktadır.

Günümüzde fidye yazılımları, kimlik avı saldırıları ve veri sızıntıları gibi tehditlerin önemli bir kısmı, teknik zafiyetlerden ziyade ihmal edilen temel güvenlik önlemleri ve kullanıcı hataları nedeniyle gerçekleşmektedir. Bu nedenle siber hijyen, kurumların siber güvenlik olgunluğunun ilk ve en önemli adımı olarak kabul edilmektedir.

Siber hijyen kapsamında ele alınan temel uygulamalar

Siber hijyen uygulamaları, kurumların büyüklüğünden ve sektöründen bağımsız olarak, bilgi güvenliğinin temelini oluşturan belirli başlıklar altında ele alınmaktadır.

Varlık yönetimi

Siber hijyenin temelini, kurum bünyesinde kullanılan tüm bilgi işlem varlıklarının (bilgisayarlar, sunucular, ağ cihazları, yazılımlar vb.) envanterinin çıkarılması oluşturur. Hangi varlığın kim tarafından kullanıldığının bilinmemesi, güvenlik açıklarının tespit edilmesini zorlaştırır. Bu nedenle varlıkların kayıt altına alınması, zimmet ve iade süreçlerinin tanımlanması temel bir gerekliliktir.

Ağ ve sistem güvenliği

Ağ ve sistem güvenliği kapsamında; güvenlik duvarlarının kullanılması, uzaktan erişimlerde güvenli VPN teknolojilerinin tercih edilmesi ve ağ bileşenlerinin güncel tutulması yer alır. Ayrıca güçlü parola politikaları, güvenli Wi-Fi yapılandırmaları ve üretici desteği sona ermiş sistemlerin kullanılmaması da siber hijyenin önemli unsurlarıdır.

Uç nokta (istemci) güvenliği

Kullanıcı bilgisayarları ve mobil cihazlar, siber saldırıların en sık hedef aldığı alanlardır. Bu nedenle uç noktalarda güncel antivirüs yazılımlarının kullanılması, yerel güvenlik duvarlarının aktif olması, yetkisiz yazılım yüklemenin engellenmesi ve otomatik ekran kilidi gibi önlemler siber hijyenin vazgeçilmez parçalarıdır.

E-posta güvenliği

E-posta, kimlik avı ve zararlı yazılım saldırılarında en yaygın kullanılan yöntemlerden biridir. Kurumsal e-posta kullanımının zorunlu tutulması, güçlü parola politikaları ve çok faktörlü kimlik doğrulama (2FA) uygulanması, siber hijyen kapsamında temel koruyucu önlemler arasında yer alır.

Veri güvenliği

Verilerin gizlilik derecelerine göre sınıflandırılması ve buna uygun şekilde korunması, siber hijyenin önemli bir boyutudur. Kritik ve gizli verilerin yetkisiz erişimden korunması, taşınabilir medyaların şifreli kullanılması ve verilerin güvenli ortamlarda saklanması bu kapsamda değerlendirilir.

Güncelleme ve yedekleme

İşletim sistemleri ve yazılımların güncel tutulmaması, bilinen güvenlik açıklarının istismar edilmesine yol açar. Bu nedenle düzenli güncellemeler ve güvenli yedekleme süreçleri siber hijyenin temel uygulamaları arasındadır. Yedeklerin düzenli olarak test edilmesi de veri kaybı riskini azaltır.

Farkındalık ve insan faktörü

Siber hijyenin başarısı, büyük ölçüde kullanıcıların farkındalığına bağlıdır. Çalışanlara yönelik bilgi güvenliği eğitimleri, güvenli davranış alışkanlıklarının kazandırılması ve gizlilik yükümlülüklerinin netleştirilmesi, teknik önlemleri tamamlayan kritik unsurlardır.

Türkiye’de Siber Hijyen Sertifikası

Türkiye’de siber hijyen kavramı, özellikle savunma sanayii ekosisteminde kurumsal bir çerçeveye oturtulmuştur. Savunma Sanayii Başkanlığı koordinasyonunda yürütülen çalışmalar kapsamında, savunma sanayiine hizmet veren firmaların siber güvenlik seviyelerinin ölçülmesi amacıyla Siber Hijyen Belgelendirme Mekanizması oluşturulmuştur.

Bu kapsamda TRTEST tarafından yürütülen belgelendirme süreci; firmaların varlık yönetimi, ağ ve sistem güvenliği, uç nokta güvenliği, veri güvenliği, yedekleme, güncelleme yönetimi, olay ihlal yönetimi ve insan kaynakları güvenliği gibi alanlarda belirlenen kriterlere uyumunu değerlendirmektedir.

Siber hijyen sertifikası nasıl alınır?

Siber Hijyen Sertifikası almak isteyen firmalar, ilgili belgelendirme kuruluşuna başvurarak değerlendirme sürecine dahil olur. Süreç genel olarak:

- Firmanın mevcut siber hijyen uygulamalarının gözden geçirilmesi
- Belirlenen kriterler doğrultusunda denetimlerin gerçekleştirilmesi
- Denetim sonucuna göre uygun bulunan firmaların seviye bazlı olarak belgelendirilmesi

şeklinde ilerler. Sertifika seviyeleri, firmanın siber hijyen olgunluğunu gösterecek şekilde farklı aşamalarda verilmektedir.

Bu kapsamda sertifikalandırmak istenen kurumlar aşağıda verilen 13 başlıkta değerlendirilerek başlangıç, orta ve ileri seviye olarak puanlanır.

- Varlık Yönetimi
- Ağ ve Sistem Güvenliği
- Uç Nokta (İstemci) Güvenliği
- E-Posta Güvenliği
- Fiziksel ve Çevresel Güvenlik
- Veri Güvenliği
- Yedekleme
- Farkındalık
- Güncelleme Yönetimi
- Olay İhlal Yönetimi
- Bulut Güvenliği
- Veri İmha Yönetimi
- İnsan Kaynakları Güvenliği

Yazar: Nazlıcan TANIN KAYA / BeyazNet Kıdemli Bilgi Güvenliği Uzmanı