Bilgi güvenliği, bilgilerin her türlü ortamda saklanması ve taşınması esnasında bütünlüğü bozulmadan, izinsiz erişimlerden korunması için, güvenli bir bilgi işleme ve koruma çabalarının tümü diyebiliriz. Bilginin korunması sırasında izlenecek yöntemleri belirleme işine ise kısaca Bilgi Güvenliği Yönetim Sistemi demek pek de yanlış olmayacaktır. Bilgi güvenliğinin kurumlar için önemine geçmeden önce bilginin ne olduğunu anlamamızda fayda vardır.
BİLGİ NEDİR ?
En kısa tanımıyla bilgi, işlenmiş “veri”dir.
Bilgi: Herhangi bir konu ile ilgili verilerin bir araya gelmesi ile oluşan açıklayıcı ifadeler bütünü olarak da tanımlanabilir.
Veri (data): Olguların harf, sayı, renk gibi sembollerle ifade edilmesidir.
BİLGİ GÜVENLİĞİ NEDİR ?
Bilgi güvenliği; bilgilerin izinsiz erişimlerden, izinsiz kullanımından, ifşa edilmesinden, yok edilmesinden, değiştirilmesinden veya hasar görmesinden koruma işlemidir.
İşleyişi bozabilecek her türlü risk bilgi güvenliği için tehdit oluşturmaktadır.
Bu risklerin olabildiğince azaltılması sistem ve bilgi güvenliğinin artmasını sağlamaktadır. Ancak alınacak önlemlerin; kullanımı zorlaştırmaması, işlevselliği etkilememesi, güvenilir ve maliyeti etkin olması gerekmektedir.
Bilgi güvenliğine ilişkin uluslararası standartlar bilgiyi bir kurumun önemli değerlerinden biri olarak tanımlamakta ve sürekli korunmasını istemektedir. Bilginin korunması gereken temel nitelikleri olarak:
-
Gizli yanının açığa çıkarılmaması,
-
Bütünlüğünün bozulmaması,
-
Kullanımına ihtiyaç duyulduğunda ulaşılabilir olması
şeklinde tarif edilebilir.
BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ
Bilgi Güvenliği Yönetim Sistemleri (BGYS); insanları, süreçleri ve bilgi sistemlerini içine alan ve üst yönetim tarafından desteklenen bir yönetim sistemidir. ISO–27001:2005 standardı ülkemizde Türk Standartları Enstitüsü (TSE) tarafından TS ISO/IEC 27001 “Bilgi Güvenliği Yönetim Sistemi” standardı adı altında yayınlanmış ve belgeleme çalışmaları başlatılmıştır.
BGYS sisteminin oluşabilmesi için üç fonksiyonun (gizlilik, bütünlük ve erişilebilirlik) döngüsel olarak bir metodoloji ile sistemsel görevlerini yapabilmesi gerekmektedir. Bu döngüsel işleve kısaca PUKO (Planla, Uygula, Kontrol et, Önlem al) şeklinde tarif edilebilir. Gizlilik : Yetkisiz erişimlerin engellenmesidir. Bütünlük :Yetkili erişim sonucunda kendine özgü bilgi mahremiyetinin korunmasıdır. Erişilebilirlik: ihtiyaç halinde kolay ulaşılabilir olmasıdır. Bilgi odak noktasında olmak şartıyla gizlilik, bütünlük ve erişebilirlik, fonksiyonu PUKO (Planla, Uygula, Kontrol Et, Önlem Al) Sistemi”nde bilgi güvenliği yönetim sisteminin omurgasını oluşturur.
KURUMSAL BİLGİ GÜVENLİĞİ
Kişilerin bilgi güvenliği önem arz ederken, bundan daha önemlisi, kişilerin güvenliğini doğrudan etkileyen kurumsal bilgi güvenliğidir. Bu anlamda;
-
Her birey bilgi sistemleri üzerinden hizmet alırken veya hizmet sunarken kurumsal bilgi varlıklarını doğrudan veya dolaylı olarak kullanmaktadır.
-
Bu hizmetler kurumsal anlamda bir hizmet alımı olabileceği gibi, bankacılık işlemleri veya bir kurum içerisinde yapılan bireysel işlemler de olabilir.
-
Kurumsal bilgi varlıklarının güvenliği sağlanmadıkça, kişisel güvenlikte sağlanamaz
Kurumsal bilgi güvenliği: Kurumların bilgi varlıklarının tespit edilerek;
-
Zafiyetlerinin belirlenmesi
-
İstenmeyen tehdit ve tehlikelerden korunması amacıyla gerekli güvenlik analizlerinin yapılarak
-
Önlemlerinin alınması olarak düşünülebilir.
BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİNİN KURUMSAL FAYDALARI
-
Kişisel verilerin korunmasını sağlar.
-
Değerli bilgi varlıklarının yönetilmesine ve korunmasına yardımcı olur. o Uzun yıllar boyunca iş sürekliliği garanti eder.
-
Bir felaket halinde, işe devam etme yeterliliğine sahip olunmasını sağlar. o Her kademede bilgi güvenliğinin sağlandığını gösterir.
-
Yasal takipleri önlemeye yardımcı olur.
-
Kurumun itibarını artırır.
-
En küçük güvenlik ihlali bile gayet yüksek maliyetli durumlara yol açabileceği için bu kontrollerin uygulaması ile bu maliyetler aza indirgenir.
-
Kurumsal veri bütünlüğü sağlayarak veri güvenliğini artırır.
-
Çalışanların motivasyonunu arttırır.
Bilgi Güvenliği Yönetim Sisteminin en temel unsurları ise:
-
Gizlilik (confidentiality),
-
Bütünlük (integrity),
-
Kullanılabilirlik (availability),
-
Kimlik kanıtlama (authentication)
-
İnkâr edememe (non-repudiation)
-
Sorumluluk (accountability),
-
Erişim denetimi (Access control),
-
Güvenilirlik (reliability)
-
Emniyet (safety) etkenleri dir.
Günümüzde gelişen internet teknolojileri ile beraber çoğu kurumlar kurumsal bilgilerini bu teknolojileri kullanarak uzak kullanıcılara ulaştırmaktalar ve hizmetlerini en iyi şekilde verme gayreti içerisindelerdir. Bu kurumlara en iyi örnek sağlık, eğitim, banka sektörü vb. verilebilir. Bütün bu güzel gelişmeler olurken internet hizmetlerini kullanarak işin içerisine biraz da sosyal mühendislik katarak internet ortamında dolandırıcılık sektörünün de boş durmadığına tanık olmaktayız.
İNTERNET DOLANDIRICILIĞI
İnternet teknolojilerinin kullanımı gün geçtikçe artmaktadır. Özellikle 2013 yılının ikinci yarısından itibaren masa üstü internet kullanımı yerini mobil cihazlara bıraktığını görüyoruz. İnternetin toplum hayatından yer alışı ile beraber klasik suç işleme yöntemlerinde de değişiklik olmuş ve siber suç oranları artmıştır. Siber suç (cybercrime) “Herhangi bir suçun elektronik ortam içerisinde işlenebilme imkanı bulunuyor; ve bu ortam içerisinde gerçekleştirilen fiil genel olarak hukuka aykırı veya suç olarak tanımlanabiliyorsa bu suçları siber suç” olarak tanımlayabilir. Dünyada internet kullanıcılarının 2/3 ‘nün ve bunlarında yılda %46’sının bilişim suçlarına maruz kaldığı bilinmektedir.
Siber suçlular çok sayıda potansiyel kurbana, onları kandırmak, hile ile tuzağa düşürmek vesaldırmak için tasarlanmış elektronik posta iletileri göndermektedir. İnternette dolandırıcılık suçları genellikle rastgele kullanıcılara ya da “Hacking Döngüsü” keşif aşamasında sistemlerine sızmak istenen kurumun personeline aldatıcı eposta iletileri göndermek suretiyle işlenmektedir. oltalama iletisi; kişileri kandırarak, aslı gibi görünen sahte bir siteye şifre, kredi kartı numarası veya banka hesap bilgileri girilmesini sağlamaktadır.
Birçok aldatıcı oltalama girişimi; sahte e-posta iletileri kullanılarak başarılı bir şekilde gerçekleştirildiğinden, Siber Suçlular; posta sunuculardaki SMTP protokol açıklıklarından faydalanarak reklam içerikli “spam” adı verilen istenmeyen iletileri çok sayıda kullanıcıya göndermektedir. Siber suçlular spam postaları ne kadar çok insana ulaştırabilirlerse, o kadar çok insanın kurban olabileceğini bildikleri için gönderebildikleri kadar çok insana bu iletileri gönderirler. Ayrıca Kullanıcılara bankalarından, çevrimiçi alışveriş sitelerinden, ya da GSM operatörlerinden gerçek e-posta iletileriyle birebir örtüşen sahte e-posta iletileri gönderilmek suretiyle de kurbanların şüphe duyması engellenmektedir.
Smishing veya ‘SMS Phishing’ mobil telefon kullanıcılarını hedef alan bir saldırı türü olup özellikle güvenlik bilinci ve farkındalığı yeterli düzeyde olmayan kullanıcıların gizli ve kişisel bilgilerinin ele geçirilmesini sağlamaktadır. Genellikle, gelen kısa mesajda kullanıcıları ikna edecek ifadeler yer almakta kullanıcıdan mesaj içindeki URL adresine bağlanması suretiyle veya verilen bir telefon numarasını araması suretiyle saldırıya müdahil olması beklenmektedir. Gerçekte bağlanılacak URL adresi aldatıcı olup kimlik hırsızlığı amacıyla kullanılmaktadır. Aranacak telefon numarasının da kişisel bilgilerin kayıt edildiği bir telesekreter servisi ya da inandırıcılığı artırmak için sahte bir çağrı merkezi olmaktadır.
BİLGİ GÜVENLİĞİNİ 657 SAYILI DEVLET MEMURLARI KANUNU ÇERÇEVESİNDE DEĞERLENDİRME
Devlet Memurları Kanunu maddeleri açık bir şekilde bilgi güvenliği üzerinde durmasa da aslında bazı maddelerinde zımnî olarak bilgi güvenliğinin ne kadar önemli olduğunu anlayabilir. Mesele aşağıdaki maddelerini buna örnek olarak verebiliriz.
Tarafsızlık ve Devlete Bağlılık madde-7’de “…siyasi ve ideolojik hiçbir şekilde beyanda ve eylemde bulunamazlar ve bu eylemlere katılamazlar.” denilerek devlet memuru olan personelin kurumun itibarını zedeleyici herhangi bir beyan ve eylemde bulunamayacağını belirtmektedir.
Madde-9’da ise, yurtdışında görevli olan personelin devletin itibarını zedeleyici faaliyetlerini yasaklarken, madde-14’de bilginin doğru ve güvenilir olması çerçevesinde mal bildiriminin doğru bilgiler içermesi gerektiğini düzenlemiştir.
Ayrıca madde 125(C,D,E) fıkralarındaki cezalar irdelendiğinde ise devlet memurluğundan bile çıkarılabilecek hükümler düzenlenmiştir.
Kurumumuza bağlı tüm sağlık tesislerinde etkili ve verimli bir şekilde vatandaşın sağlık hizmetini en güzel şekilde alabilmesi için ilgili sağlık tesisi tarafından hastaya ait kişisel veya tıbbi bilgilerinin güvenli bir şekilde kayıt edilmesi, o bilgilere yetkisiz kişilerin erişmemesi son derece önemlidir.