Bilgi Güvenliği

105

Bilgi bizlerin ve kurumlarımızın sahip olduğu en değerli varlıklarımızdır. Dolayısı ile bilginin bütünlüğünün, erişilebilirliğinin sağlanması adına korunması gerekir.

Koruma fiziksel ve birtakım yazılımlarla önlem alınarak korunabilir, ancak asıl olan, bizlerin bilgi güvenliğine ilişkin tehdit ve risklerden haberdar olmamızla doğrudan ilişkilidir. Hem kurumumuzun bilgi güvenlik politikalarından hem de kişisel olarak bilgi güvenlik konularından haberdar olmamız gerekir. Ayrıca bu tehditlere nasıl karşı koyabileceğimizi ve risk seviyelerini nasıl minimize etmemiz gerektiğini konularının ancak bilgilenme ile olacağını hepimiz biliyoruz.

Bu amaçla Güvenliğin en zayıf halkalarından biri olarak kabul edilen insanın bu konular hakkında farkındalılığının artırılması için hepimizin belki bir kısmını bildiğimiz, bir kısmını da gözden kaçırdığımız bilgileri hep beraber paylaşalım

Veri: sayısal ve mantıksal bir değerdir.

Bilgi: verinin işlenmiş anlamlı hale gelmiş şeklidir.

Bilgi hangi ortamlarda bulunur.

Fiziksel ortamlar: Dolaplarda, Kağıt, tahta, pano, faks çöp/atık kağıt kutularında.

Elektronik ortamlar: Bilgisayarlar, mobil iletişim cihazları, e-posta, USB, CD, DVD, Disk, disket vb. manyetik ortamlarda

Sosyal ortamlar: Toplu taşıma araçlarında, yemek aralarında, sosyal aktivitelerde, muhabbetlerde, telefon görüşmelerinde.

Tanıtım platformları: Portaller, web siteleri, reklamlar, bloglar, broşürler, video ve görsel ortamlarda.

Bilginin Korunması.

ISO bilgi güvenliği standardına göre “Bilgi, bir kurumun en önemli değerlerinden biridir ve sürekli korunması gerekir”

Bu bağlamda baktığımızda bilginin korunacak temel niteliklerine bakalım.(ISO 27001)

Gizlilik: Bilginin yetkili olmayan kişiler, varlıklar ve süreçler tarafından erişilemez ve ifşa edilemez niteliği

Doğruluk, bütünlük ve özgürlük : Bilginin, doğruluk, bütünlük ve kendisine has özelliklerinin korunması.

Kullanabilirlik(erişilebilirlik): Bilginin yetkili kişiler(görevi gereği) tarafından istenildiğinde ulaşılabilir ve kullanılabilir olma özelliğine denir.

Bilgi Güvenliği ve tehditler:

Doğal tehditler: yangın, sel, yıldırım, doğal afetler(deprem v.b) bunların bilgi üzerinde oluşturabileceği tehditler.

Zararlı yazılımlar: Virüsler, trojan’lar (truva atları), casus yazılımları (spyware, spayware cookie), spam, exploit, keylogger, botnet, sniffer, phishing vb.

Sosyal mühendislik: Sizlere mail, sms veya telefon gelir. Kimlik bilgileriniz isterler, şifrenizi isterler, masum bir şekilde sizi bankadan, emniyetten, nüfus idaresinden, muhtardan arandığını söyleyip özel bilgileriniz alırlar.

Güvenlik açıkları ve fiziksel güvenlik: Bilgisayarınızdaki güvenlik açıkları ile ilgili parametrelerin gözden geçirilmesi gerekir,

Korsanlar ve Erişim: Her türlü programı, siteyi veya bilgisayarı güvenlik açıklarından yararlanarak kırabilen ve, sistemleri kullanılmaz hale getirerek veya gizli bilgileri eline geçiren kişi ve guruplar.

Temiz masa kuralları

Çalışanlar mesai saati içi ve dışında görev gereği paylaşılmış olan bilgilerin yetkisiz erişim veya uygunsuz kullanım sonunda başına gelebilecek riskleri ortadan temiz masa temiz ekran anlayışını kendimize davranış bicimi haline getirmemiz gerekir.

Evde ve işyerinde masalarda ve çalışma ortamlarında korumasız bırakılan bilgiler yetkisiz kişilerin eline geçmesiyle gizlilik ilkesini ihlal etmiş veya ettirmiş oluruz.

Yangın, sel ve deprem gibi felaketlerle de bilgi bütünlüğünün yok olmasına veya bilginin yok olmasına sebep olabiliriz.

Basit temiz masa kuralları.

Çalışma sonunda kağıt yada elektronik ortamdaki “gizli yada çok gizli” bilgiler güvenlikli ortamlarda(çelik kasa, kilitli güvenlikli ortamlarda, dosyalar şifrelenerek) tutulmalıdır.

Kullanım ömrü sona eren, kullanılmayacak bilgilerin geri dönüşümleri olmayacak şekilde imha edilmesi gerekir.

Her türlü haberleşmede kullanılan cihazlar(telefon, faks, fotokopi makineleri) yetkisiz erişimlere açık şekilde konumlandırılmamalı. Bu cihazlar üzerinde bilgi ve belge bırakılmamalıdır.

Her türlü bilgiler, şifreler, anahtarlar ve bilginin sunulduğu sistemler (sunucu, PC, Notebook vb. cihazlar) yetkisiz kişilerin erişebileceği şifresiz ve korumasız olmamalıdır.

Hassas bilgiler her türlü yangın, sel, deprem gibi doğal afet durumunda korunaklı yerlerde ve ilgili kişilerin erişilebilir olduğu yerlerde saklanmalıdır.

Kısaca temiz masa temiz ekran risklerimizi minimize eder.

Şifre Güvenliği

Bilgi güvenliğini risklerini önlemede hayati öneme sahip olan bir konu olan şifreler ve  şifrelerin korunması konusudur. Bu konu ile ilgili çeşitli prosedür ve politikalar üretilmiştir.

Genel şifreleme kurallarından bahsedecek olursak.

Şifre seçimi: Şifreler başkaları tarafından kolayca tahmin edilemeyen, kullanıcı hakkında özel bilgileri(doğum tarihi, çocuk bilgisi, araç plaka numarası, doğduğu şehir vb) içermemesi gerekir.

Olması gereken küçük harf, büyük harf, sayılar ve özel karakterlerden oluşan en az 8 karakter olacak şekilde şifreler oluşturmamız gerekir.

Koruma: Şifreler kağıt üzerlerine yazılmamalı yazıldıysa bile ortalarda bulundurmamalı güvenli ortamlarda saklanmalı. Şifre başkaları ile kesinlikle paylaşılmamalı. Şifrelerin tutulduğu ortamların güvenliği sağlanmalı Şifre ile ilgili bir güvensizlik olduğunda derhal değiştirilmeli.

Düzenli gözden geçirme: Şifreler düzenli olarak en az 3 ayda bir değiştirilmeli.

Yasal Düzenlemeler.

Kanun koyucular  kurum ve çalışanları ilgilendiren düzenlemeler yapmıştır

1951 tarih ve 5816 sayılı Fikir ve Sanat hakları kanunu: Lisansız yazılım kullanmayı engelliyor.

2004 tarih ve 5237 sayıl Bilişim suçları kanunu: Adı üzerinde Bilişim suçlarını ilgilendiriyor.

2007 tarih ve 5651 sayılı İnternet üzerinden yapılan yayınların düzenlenmesi ve bu yayınlar yolu ile işlenen suçlarla mücadele edilmesi hakkındaki bilgileri içerir.

Bilgi; dünyanın en önemli gücü. Dolayısı ile bilgiye gerekli önemi verelim. Paylaşabileceğimiz bilgilerle paylaşamayacağımız bilgileri bilelim. Sonra başımıza hiç hoşa gitmeyecek , bizleri kötü etkileyecek sonuçlar ortaya çıkabilir.