Bilgi Güvenliği (InfoSec) Nedir?

Bilgi Güvenliği (InfoSec) Nedir?

Ağu 14, 2022 / Kron

InfoSec şeklinde kısaltılan bilgi güvenliği, kritik veri yığınlarını yetkisiz erişim ve değişikliklere karşı korumanızı sağlayan ve böylece BT altyapınızı daha güvenli hale getirmenizi mümkün kılan bir dizi uygulama olarak tanımlanabilir. Enformatikleşme sürecini hem günlük yaşam pratiklerinde hem de iş dünyasında derinden hisseden post-endüstriyel toplumun önemli gündem maddelerinden biri olan bilgi güvenliği, dijital verileri sadece depolanırken değil, farklı kaynaklar arasında aktarılırken de güvende tutmayı amaçlamaktadır.

Dijital dönüşümün iş modellerinin ve akışlarının sürdürülebilirliğini sağlama konusunda oynadığı etkin rol düşünüldüğünde dijital dönüşümün bir parçası olan bilgi güvenliğinin de söz konusu sürdürülebilirliğin sağlanmasında ne denli önemli olduğu anlaşılmaktadır. Bu sebeple hem veri ihlali vakalarının önüne geçmek hem de hassas bilgi erişimini denetim altında tutmak için kapsamlı bir bilgi güvenliği politikası ve buna bağlı olarak gelişmiş güvenlik sistemleri kullanmak bir hayli önemlidir.

Bu yazıda ise bilgi güvenliğinin genel çerçevesini ortaya koyup gelişmiş bir bilgi güvenliği ekosisteminde olması gereken temel özellikleri detaylı şekilde inceleyeceğiz.

Bilgi Güvenliği (InfoSec) Nedir?

Veri sızıntısı vakalarının önüne geçmek için kuruluşların başvurduğu bilgi güvenliği, en yalın haliyle, hassas verilerin muhafaza edildiği BT sistemlerinin yetkisiz erişim, kullanım, iş akışında kesintiye sebep olabilecek değişiklik ve imhadan korunması amacıyla geliştirilen ve bilginin kullanılabilirliğini önemli ölçüde destekleyen siber güvenlik politikalarıdır.

Söz konusu politikalar ve bu politikaların gereği olarak kullanılacak güvenlik ürünleri, erişim güvenliği ve bilginin kullanılabilirliği açısından büyük önem taşımaktadır. Bilgi bütünlüğü ve bilgi gizliliği sağlayarak BT altyapınızdaki tüm hareketleri gerçek zamanlı olarak izlemenizin önünü açan bilgi güvenliği uygulamaları, veri ifşası sorununun da temel çözümlerinden biridir. Sadece BT ağınızdaki verilere izinsiz erişimi engellemek ile kalmayan bu sistemler, verinin bozulması, değiştirilmesi, ifşası ve imhasını da engeller. Tüm bunların yanı sıra BT ağındaki denetimi de üst seviyeye çıkaran InfoSec çözümleri, siber saldırı ihtimaline karşın hazırlıklı olmanızı sağlayarak veri güvenliği açısından BT altyapınızı güçlü hale getirir.

Bilgi Güvenliğinin Üç Temel Prensibi Nedir?

Siber tehdit kaynaklarının yarattığı saldırı vektörlerini engellemek amacıyla kullanılan bilgi güvenliği politikaları, CIA (Confidentiality, Integrity, and Availability) üçlüsü olarak isimlendirilen, üç temel prensip etrafında şekillenir. Gizlilik, bütünlük ve kullanılabilirlik prensiplerinden meydana gelen bilgi güvenliği politikalarının üç prensipten herhangi birine sahip olmaması işleyişte önemli sorunlar yaratabilir.

Veri gizliliği konusunda hayati öneme sahip olan bilgi güvenliğinin üç temel prensibini derinlemesine inceleyerek bir InfoSec politikasında yer alması gereken temel özelliklere de ışık tutmaya çalışalım.

Gizlilik (Confidentiality)

Bilgi güvenliği dendiğinde akla gelen ilk ilke olan gizlilik, kimin, hangi veriye, ne ölçüde erişim sağlayabildiği ile ilgilidir. Bir başka deyişle yalnızca ayrıcalıklı erişim yetkisine sahip kullanıcılar BT ağınızdaki kritik bir veriye erişim sağlayabildiğinde gizlilik ilkesi devrede demektir. Gizlilik prensibinin sağlıklı şekilde çalışabilmesi için de hassas veri yığınlarına ve kişisel bilgi dizinlerine kimin erişim sağlamayı denediğini tespit edebilmelisiniz. Erişim sağlamaya çalışan kullanıcıları tespit ettikten sonra ayrıcalıklı erişim izni olmayanların erişim isteğini reddetmeli ve tüm erişim ağınızı gözden geçirmelisiniz. Yetkisiz erişim girişimlerinin ardından ayrıcalıklı erişim iznine sahip kullanıcıların listesini kontrol etmeli ve gerekiyorsa listeyi yeniden yapılandırmalısınız. Gizlilik prensibi özellikle kimlik doğrulama saldırılarının önlenmesi, ayrıcalıklı hesaplara ait parolaların korunması ve gizli kalması gereken verilerin ifşa olması gibi konularda bilgi güvenliği politikalarının temelini oluşturmaktadır.

Bütünlük (Integrity)

Verilerin yanlışlıkla ya da kötü niyetli şekilde değiştirilmesini önlemenize yardım eden bütünlük ilkesi, veri yığınlarının doğru konumlarda tutulmasını mümkün kılar. Bilgi güvenliği politikalarında gizliliği sağlayan birçok farklı unsur, bütünlük ilkesinin uygulanmasını da kolaylaştırmaktadır. Bir bilgisayar korsanının erişemediği verileri değiştiremediği de düşünüldüğünde bilgi gizliliğini bilgi bütünlüğü aşamasının zemini olarak da ifade etmek mümkün. Öte yandan kapsamlı bir bütünlük ilkesi inşa etmeniz için farklı araçlardan yararlamanızda fayda var. Örneğin sağlama toplamları ile verilerinizi doğrulayabilir, bütünlük ve sürüm kontrol yazılımları aracılığıyla sık yedekleme ve ihtiyaç duymanız halinde geri yükleme işlemlerini gerçekleştirebilirsiniz. Veri bütünlüğünün reddedilmemesi ve korunması kavramlarını bünyesinde barındıran söz konusu prensip, kişisel verileri korumaya yönelik yasal yükümlülükler çerçevesinde verileri kurallara uygun ve doğru şekilde muhafaza ettiğinizi de kanıtlamanızı kolaylaştırır.

Kullanılabilirlik (Availability)

Gizliliğin ayna görüntüsü olarak ifade edilen kullanılabilirlik prensibi, çift taraflı doğrulama yaklaşımının temel dayanağıdır. Bir başka deyişle gizlilik prensibi ile BT ağınızdaki bilgilere kimin erişemeyeceğini denetler ve yönetirken kullanılabilirlik prensibi ile ayrıcalıklı erişim yetkisini hangi kullanıcılara atayacağınızı belirlersiniz. Gelişmiş bir veri kullanılabilirliği altyapısına sahip olduğunuzda hem ağ ve bilgi işlem kaynaklarını doğru iş hacmiyle rahatlıkla eşleştirip ona göre iş operasyonları oluşturabilirsiniz hem de gizli kalması gereken verinin ifşa olması sorununu ayrıcalıklı erişim yetkisi vereceğiniz kullanıcıları doğru tespit ederek de önleyebilirsiniz.

Bilgi Güvenliği Türleri Nelerdir?

Bir bilgi güvenliği politikası oluşturma sürecinde destek alırken kuruluşunuzun gereksinimlerine ve BT altyapısına göre tercih edebileceğiniz altı farklı tür mevcuttur. Söz konusu InfoSec türlerini detaylı şekilde ele alarak ihtiyaçlarınıza göre hareket etmenizi kolaylaştırmak seçim aşaması için iyi bir başlangıç olabilir.

  • Uygulama güvenliği: Web ve mobil uygulama güvenliğini kapsayan bu tür, API’lardaki güvenlik açıklarını belirlemenize ve önlem almanıza yardımcı olur. API’lardaki güvenlik açıkları, bir siber saldırganın BT ağınıza saldırmak için kullanacağı ilk basamak olabilir. Bu nedenle uygulama güvenliği, InfoSec çevre savunması açısından bir hayli önemlidir.
  • Bulut güvenliği: Günümüzde iş akışlarının büyük oranda bulut sistemler üzerinden yürütüldüğü düşünüldüğünde kuruluşunuzun operasyonel süreçlerinin bulut ortamında izole şekilde olduğundan ve ayrıcalıklı erişim yetkileriyle donatıldığından emin olmalısınız. Bir InfoSec türü olan bulut güvenliği, izole ve güvenli bir bulut ortamı yaratarak kuruluşunuza ait verileri güvence altına alır.
  • Kriptografi: Ağa aktarılan ve bekleyen verileri şifreleme yöntemi olarak bilinen kriptografi, veri gizliliği ve bütünlüğü açısından oldukça önemlidir. Advanced Encryption Standard (AES), kriptografi kullanımında önemli bir uluslararası standarttır ve dijital imzalar bu standardın içinde yaygın biçimde kullanılan bileşenlerden biridir.
  • Altyapı güvenliği: InfoSec politikası inşa ederken veri merkezlerinin güvenliğini sağlamak gerekir. Altyapı güvenliği başta veri merkezleri olmak üzere, BT ağınıza bağlı sunucular, bilgisayarlar ve mobil cihazların korunmasını sağlar. Ayrıca dahili ve harici diğer ağların korunması da altyapı güvenliği ile mümkündür.
  • Olay yanıtı: Türkçeye vaka yanıtı olarak da çevrilen incident response, gerçek zamanlı şekilde muhtemel kötü davranışları denetlemenizi ve bunları önceden tespit ederek önlem almanıza yardımcı olur. Veri ihlali vakalarının önüne geçmek açısından önemli olan söz konusu tür, BT personelinin acil durum müdahale planı oluşturmasını kolaylaştırır.
  • Güvenlik açığı yönetimi: BT ağınız üzerinde 7/24 denetime sahip olmanızı sağlayan bu tür, güvenlik açıklarını tespit etmenize ve ilgili açıkları riske dayalı şekilde iyileştirmenize yardım eder. Incident response ile birlikte tercih etmeniz durumunda hem ağdaki kötü davranışları hem de güvenlik açıklarını rahatlıkla saptayabilirsiniz.

Bilgi Güvenliğini Sağlamanın Yolu PAM Çözümlerinden Geçiyor

Kişisel veriler, müşteri hesap ayrıntıları, finansal veriler veya fikri mülkiyet hakkı taşıyan bilgiler gibi kritik verilerin güvenliğini ve gizliliğini sağlama amacı taşıyan bilgi güvenliği çalışmalarının olmazsa olmaz adımlarından biri de erişim güvenliğini sağlamaktır. Nitekim hassas bilgiler barındıran ağlara erişen kullanıcı bilgilerinin korunması, kritik verilere ulaşan bu kişilerin eriştikleri veritabanlarında yaptıkları işlemlerin denetlenmesi ve kayıt altına alınmasının bilgi güvenliği açısından hayati önem taşımaktadır.

Kron’un gelişmiş Ayrıcalıklı Erişim Yönetimi ürünü Single Connect, modüler yapısı sayesinde şirketlerin IT altyapılarında kullanılan diğer yazılım ürünleriyle kolaylıkla entegre olabilen ve bilgi güvenliği ekosistemlerinde anahtar rol oynayan bir siber güvenlik çözümüdür. Bir Privileged Access Management (PAM) ürünü olan Single Connect bünyesinde bilgi güvenliği sistemleri için vazgeçilmez konumda olan çözümleri barındırmaktadır.

  • Merkezi Parola Yönetimi
  • Veritabanı Erişim Yöneticisi
  • Dinamik Veri Maskeleme
  • Yetkili Oturum Yöneticisi
  • İki Faktörlü Kimlik Doğrulama
  • Ayrıcalıklı Görev Otomasyonu
  • TACACS+ / RADIUS Erişim Yönetimi

Gelişmiş çözümlerle erişim ve veri güvenliğini üstün bir şekilde sağlayan Single Connect hakkında merak ettiğiniz tüm detayları öğrenmek için bizimle iletişime geçebilirsiniz.

Öne Çıkanlar

Yapay Zeka Destekli Ayrıcalıklı Erişim Yönetimi ile Siber Güvenliği Geliştirme

Yapay Zeka Destekli Ayrıcalıklı Erişim Yönetimi ile Siber Güvenliği Geliştirme

Mar 20, 2024
Büyük Kurumların Log Yönetim Zorlukları

Büyük Kurumların Log Yönetim Zorlukları

Mar 20, 2024
Dijital Çağda Güçlü Veri Güvenliği: Veritabanı Erişim Yönetimi ve Dinamik Veri Maskeleme Alanında Uzmanlaşmak

Dijital Çağda Güçlü Veri Güvenliği: Veritabanı Erişim Yönetimi ve Dinamik Veri Maskeleme Alanında Uzmanlaşmak

Nis 03, 2024
İşletmelerinizi Güvence Altına Alın: Kron PAM ile Siber Güvenlik Sigortası Maliyetlerini Düşürün

İşletmelerinizi Güvence Altına Alın: Kron PAM ile Siber Güvenlik Sigortası Maliyetlerini Düşürün

Nis 18, 2024

Diğer Bloglar

Blog
Dijital Çağda Güçlü Veri Güvenliği: Veritabanı Erişim Yönetimi ve Dinamik Veri Maskeleme Alanında Uzmanlaşmak

Dijital Çağda Güçlü Veri Güvenliği: Veritabanı Erişim Yönetimi ve Dinamik Veri Maskeleme Alanında Uzmanlaşmak

Nis 03, 2024 Devamını Oku

Blog
Siber Tehditler Sağlık Sektörünün Peşini Bırakmıyor

Siber Tehditler Sağlık Sektörünün Peşini Bırakmıyor

Tem 09, 2023 Devamını Oku

Blog
Kamu Kuruluşlarında Siber Güvenlik

Kamu Kuruluşlarında Siber Güvenlik

Ağu 15, 2021 Devamını Oku

Blog
Yeni Siber Güvenlik Düzenlemeleri Yolda

Yeni Siber Güvenlik Düzenlemeleri Yolda

Eyl 11, 2022 Devamını Oku

Blog
Single Connect™ ile Veri Tabanlarınızdaki Erişimleri Güvenli Bir Şekilde Yönetebileceğinizi Biliyor musunuz?

Single Connect™ ile Veri Tabanlarınızdaki Erişimleri Güvenli Bir Şekilde Yönetebileceğinizi Biliyor musunuz?

Ara 10, 2018 Devamını Oku

Blog
Ağ İzleme (Network Monitoring) Nedir? Neden Önemlidir?

Ağ İzleme (Network Monitoring) Nedir? Neden Önemlidir?

May 30, 2021 Devamını Oku

Bize Ulaşın

Kron Teknoloji'nin siber güvenlik ürünleri hakkında bilgi almak için bize ulaşın.