Bilgi Güvenliği (InfoSec) Nedir?

Bilgi Güvenliği (InfoSec) Nedir?

Ağu 14, 2022 / Kron

InfoSec şeklinde kısaltılan bilgi güvenliği, kritik veri yığınlarını yetkisiz erişim ve değişikliklere karşı korumanızı sağlayan ve böylece BT altyapınızı daha güvenli hale getirmenizi mümkün kılan bir dizi uygulama olarak tanımlanabilir. Enformatikleşme sürecini hem günlük yaşam pratiklerinde hem de iş dünyasında derinden hisseden post-endüstriyel toplumun önemli gündem maddelerinden biri olan bilgi güvenliği, dijital verileri sadece depolanırken değil, farklı kaynaklar arasında aktarılırken de güvende tutmayı amaçlamaktadır.

Dijital dönüşümün iş modellerinin ve akışlarının sürdürülebilirliğini sağlama konusunda oynadığı etkin rol düşünüldüğünde dijital dönüşümün bir parçası olan bilgi güvenliğinin de söz konusu sürdürülebilirliğin sağlanmasında ne denli önemli olduğu anlaşılmaktadır. Bu sebeple hem veri ihlali vakalarının önüne geçmek hem de hassas bilgi erişimini denetim altında tutmak için kapsamlı bir bilgi güvenliği politikası ve buna bağlı olarak gelişmiş güvenlik sistemleri kullanmak bir hayli önemlidir.

Bu yazıda ise bilgi güvenliğinin genel çerçevesini ortaya koyup gelişmiş bir bilgi güvenliği ekosisteminde olması gereken temel özellikleri detaylı şekilde inceleyeceğiz.

Bilgi Güvenliği (InfoSec) Nedir?

Veri sızıntısı vakalarının önüne geçmek için kuruluşların başvurduğu bilgi güvenliği, en yalın haliyle, hassas verilerin muhafaza edildiği BT sistemlerinin yetkisiz erişim, kullanım, iş akışında kesintiye sebep olabilecek değişiklik ve imhadan korunması amacıyla geliştirilen ve bilginin kullanılabilirliğini önemli ölçüde destekleyen siber güvenlik politikalarıdır.

Söz konusu politikalar ve bu politikaların gereği olarak kullanılacak güvenlik ürünleri, erişim güvenliği ve bilginin kullanılabilirliği açısından büyük önem taşımaktadır. Bilgi bütünlüğü ve bilgi gizliliği sağlayarak BT altyapınızdaki tüm hareketleri gerçek zamanlı olarak izlemenizin önünü açan bilgi güvenliği uygulamaları, veri ifşası sorununun da temel çözümlerinden biridir. Sadece BT ağınızdaki verilere izinsiz erişimi engellemek ile kalmayan bu sistemler, verinin bozulması, değiştirilmesi, ifşası ve imhasını da engeller. Tüm bunların yanı sıra BT ağındaki denetimi de üst seviyeye çıkaran InfoSec çözümleri, siber saldırı ihtimaline karşın hazırlıklı olmanızı sağlayarak veri güvenliği açısından BT altyapınızı güçlü hale getirir.

Bilgi Güvenliğinin Üç Temel Prensibi Nedir?

Siber tehdit kaynaklarının yarattığı saldırı vektörlerini engellemek amacıyla kullanılan bilgi güvenliği politikaları, CIA (Confidentiality, Integrity, and Availability) üçlüsü olarak isimlendirilen, üç temel prensip etrafında şekillenir. Gizlilik, bütünlük ve kullanılabilirlik prensiplerinden meydana gelen bilgi güvenliği politikalarının üç prensipten herhangi birine sahip olmaması işleyişte önemli sorunlar yaratabilir.

Veri gizliliği konusunda hayati öneme sahip olan bilgi güvenliğinin üç temel prensibini derinlemesine inceleyerek bir InfoSec politikasında yer alması gereken temel özelliklere de ışık tutmaya çalışalım.

Gizlilik (Confidentiality)

Bilgi güvenliği dendiğinde akla gelen ilk ilke olan gizlilik, kimin, hangi veriye, ne ölçüde erişim sağlayabildiği ile ilgilidir. Bir başka deyişle yalnızca ayrıcalıklı erişim yetkisine sahip kullanıcılar BT ağınızdaki kritik bir veriye erişim sağlayabildiğinde gizlilik ilkesi devrede demektir. Gizlilik prensibinin sağlıklı şekilde çalışabilmesi için de hassas veri yığınlarına ve kişisel bilgi dizinlerine kimin erişim sağlamayı denediğini tespit edebilmelisiniz. Erişim sağlamaya çalışan kullanıcıları tespit ettikten sonra ayrıcalıklı erişim izni olmayanların erişim isteğini reddetmeli ve tüm erişim ağınızı gözden geçirmelisiniz. Yetkisiz erişim girişimlerinin ardından ayrıcalıklı erişim iznine sahip kullanıcıların listesini kontrol etmeli ve gerekiyorsa listeyi yeniden yapılandırmalısınız. Gizlilik prensibi özellikle kimlik doğrulama saldırılarının önlenmesi, ayrıcalıklı hesaplara ait parolaların korunması ve gizli kalması gereken verilerin ifşa olması gibi konularda bilgi güvenliği politikalarının temelini oluşturmaktadır.

Bütünlük (Integrity)

Verilerin yanlışlıkla ya da kötü niyetli şekilde değiştirilmesini önlemenize yardım eden bütünlük ilkesi, veri yığınlarının doğru konumlarda tutulmasını mümkün kılar. Bilgi güvenliği politikalarında gizliliği sağlayan birçok farklı unsur, bütünlük ilkesinin uygulanmasını da kolaylaştırmaktadır. Bir bilgisayar korsanının erişemediği verileri değiştiremediği de düşünüldüğünde bilgi gizliliğini bilgi bütünlüğü aşamasının zemini olarak da ifade etmek mümkün. Öte yandan kapsamlı bir bütünlük ilkesi inşa etmeniz için farklı araçlardan yararlamanızda fayda var. Örneğin sağlama toplamları ile verilerinizi doğrulayabilir, bütünlük ve sürüm kontrol yazılımları aracılığıyla sık yedekleme ve ihtiyaç duymanız halinde geri yükleme işlemlerini gerçekleştirebilirsiniz. Veri bütünlüğünün reddedilmemesi ve korunması kavramlarını bünyesinde barındıran söz konusu prensip, kişisel verileri korumaya yönelik yasal yükümlülükler çerçevesinde verileri kurallara uygun ve doğru şekilde muhafaza ettiğinizi de kanıtlamanızı kolaylaştırır.

Kullanılabilirlik (Availability)

Gizliliğin ayna görüntüsü olarak ifade edilen kullanılabilirlik prensibi, çift taraflı doğrulama yaklaşımının temel dayanağıdır. Bir başka deyişle gizlilik prensibi ile BT ağınızdaki bilgilere kimin erişemeyeceğini denetler ve yönetirken kullanılabilirlik prensibi ile ayrıcalıklı erişim yetkisini hangi kullanıcılara atayacağınızı belirlersiniz. Gelişmiş bir veri kullanılabilirliği altyapısına sahip olduğunuzda hem ağ ve bilgi işlem kaynaklarını doğru iş hacmiyle rahatlıkla eşleştirip ona göre iş operasyonları oluşturabilirsiniz hem de gizli kalması gereken verinin ifşa olması sorununu ayrıcalıklı erişim yetkisi vereceğiniz kullanıcıları doğru tespit ederek de önleyebilirsiniz.

Bilgi Güvenliği Türleri Nelerdir?

Bir bilgi güvenliği politikası oluşturma sürecinde destek alırken kuruluşunuzun gereksinimlerine ve BT altyapısına göre tercih edebileceğiniz altı farklı tür mevcuttur. Söz konusu InfoSec türlerini detaylı şekilde ele alarak ihtiyaçlarınıza göre hareket etmenizi kolaylaştırmak seçim aşaması için iyi bir başlangıç olabilir.

  • Uygulama güvenliği: Web ve mobil uygulama güvenliğini kapsayan bu tür, API’lardaki güvenlik açıklarını belirlemenize ve önlem almanıza yardımcı olur. API’lardaki güvenlik açıkları, bir siber saldırganın BT ağınıza saldırmak için kullanacağı ilk basamak olabilir. Bu nedenle uygulama güvenliği, InfoSec çevre savunması açısından bir hayli önemlidir.
  • Bulut güvenliği: Günümüzde iş akışlarının büyük oranda bulut sistemler üzerinden yürütüldüğü düşünüldüğünde kuruluşunuzun operasyonel süreçlerinin bulut ortamında izole şekilde olduğundan ve ayrıcalıklı erişim yetkileriyle donatıldığından emin olmalısınız. Bir InfoSec türü olan bulut güvenliği, izole ve güvenli bir bulut ortamı yaratarak kuruluşunuza ait verileri güvence altına alır.
  • Kriptografi: Ağa aktarılan ve bekleyen verileri şifreleme yöntemi olarak bilinen kriptografi, veri gizliliği ve bütünlüğü açısından oldukça önemlidir. Advanced Encryption Standard (AES), kriptografi kullanımında önemli bir uluslararası standarttır ve dijital imzalar bu standardın içinde yaygın biçimde kullanılan bileşenlerden biridir.
  • Altyapı güvenliği: InfoSec politikası inşa ederken veri merkezlerinin güvenliğini sağlamak gerekir. Altyapı güvenliği başta veri merkezleri olmak üzere, BT ağınıza bağlı sunucular, bilgisayarlar ve mobil cihazların korunmasını sağlar. Ayrıca dahili ve harici diğer ağların korunması da altyapı güvenliği ile mümkündür.
  • Olay yanıtı: Türkçeye vaka yanıtı olarak da çevrilen incident response, gerçek zamanlı şekilde muhtemel kötü davranışları denetlemenizi ve bunları önceden tespit ederek önlem almanıza yardımcı olur. Veri ihlali vakalarının önüne geçmek açısından önemli olan söz konusu tür, BT personelinin acil durum müdahale planı oluşturmasını kolaylaştırır.
  • Güvenlik açığı yönetimi: BT ağınız üzerinde 7/24 denetime sahip olmanızı sağlayan bu tür, güvenlik açıklarını tespit etmenize ve ilgili açıkları riske dayalı şekilde iyileştirmenize yardım eder. Incident response ile birlikte tercih etmeniz durumunda hem ağdaki kötü davranışları hem de güvenlik açıklarını rahatlıkla saptayabilirsiniz.

Bilgi Güvenliğini Sağlamanın Yolu PAM Çözümlerinden Geçiyor

Kişisel veriler, müşteri hesap ayrıntıları, finansal veriler veya fikri mülkiyet hakkı taşıyan bilgiler gibi kritik verilerin güvenliğini ve gizliliğini sağlama amacı taşıyan bilgi güvenliği çalışmalarının olmazsa olmaz adımlarından biri de erişim güvenliğini sağlamaktır. Nitekim hassas bilgiler barındıran ağlara erişen kullanıcı bilgilerinin korunması, kritik verilere ulaşan bu kişilerin eriştikleri veritabanlarında yaptıkları işlemlerin denetlenmesi ve kayıt altına alınmasının bilgi güvenliği açısından hayati önem taşımaktadır.

Kron’un gelişmiş Ayrıcalıklı Erişim Yönetimi ürünü Single Connect, modüler yapısı sayesinde şirketlerin IT altyapılarında kullanılan diğer yazılım ürünleriyle kolaylıkla entegre olabilen ve bilgi güvenliği ekosistemlerinde anahtar rol oynayan bir siber güvenlik çözümüdür. Bir Privileged Access Management (PAM) ürünü olan Single Connect bünyesinde bilgi güvenliği sistemleri için vazgeçilmez konumda olan çözümleri barındırmaktadır.

  • Merkezi Parola Yönetimi
  • Veritabanı Erişim Yöneticisi
  • Dinamik Veri Maskeleme
  • Yetkili Oturum Yöneticisi
  • İki Faktörlü Kimlik Doğrulama
  • Ayrıcalıklı Görev Otomasyonu
  • TACACS+ / RADIUS Erişim Yönetimi

Gelişmiş çözümlerle erişim ve veri güvenliğini üstün bir şekilde sağlayan Single Connect hakkında merak ettiğiniz tüm detayları öğrenmek için bizimle iletişime geçebilirsiniz.

Öne Çıkanlar

Ayrıcalıklı Erişim Yönetimi (PAM) Nedir?

Ayrıcalıklı Erişim Yönetimi (PAM) Nedir?

Oca 17, 2021
Ağ İzleme (Network Monitoring) Nedir? Neden Önemlidir?

Ağ İzleme (Network Monitoring) Nedir? Neden Önemlidir?

May 30, 2021
Ayrıcalıklı Hesap Güvenliğine Neden Öncelik Vermelisiniz?

Ayrıcalıklı Hesap Güvenliğine Neden Öncelik Vermelisiniz?

Kas 14, 2021
Log4j Güvenlik Açığı Nedir? Nasıl Korunabilirsiniz?

Log4j Güvenlik Açığı Nedir? Nasıl Korunabilirsiniz?

Ara 26, 2021
Sabit Kodlanmış Sırlara Vedalaşın: Kron PAM ile Güvenli Kimlik Bilgisi Yönetimi

Sabit Kodlanmış Sırlara Vedalaşın: Kron PAM ile Güvenli Kimlik Bilgisi Yönetimi

Ağu 19, 2024
Kron PAM ile GDPR Uyumluluğunun Sağlanması

Kron PAM ile GDPR Uyumluluğunun Sağlanması

Ağu 27, 2024
Türkiye’nin Siber Güvenlik Vizyonu ve Kron PAM’ın Rolü: 2024-2028 Stratejisi Kritik Bir Adım

Türkiye’nin Siber Güvenlik Vizyonu ve Kron PAM’ın Rolü: 2024-2028 Stratejisi Kritik Bir Adım

Eyl 19, 2024
Kron DAM & DDM, Gartner'ın Veri Maskeleme ve Sentetik Veri için Pazar Rehberi'nde Yer Aldı

Kron DAM & DDM, Gartner'ın Veri Maskeleme ve Sentetik Veri için Pazar Rehberi'nde Yer Aldı

Eyl 30, 2024
Kron PAM ile Sağlık Sektöründe Güvenliği Artırma: Hasta Verilerini Korumak ve Uyumluluğu Sağlamak

Kron PAM ile Sağlık Sektöründe Güvenliği Artırma: Hasta Verilerini Korumak ve Uyumluluğu Sağlamak

Eki 21, 2024
Log Data’sındaki Hızlı Büyümenin Arkasındaki Başlıca Nedenler

Log Data’sındaki Hızlı Büyümenin Arkasındaki Başlıca Nedenler

Eki 31, 2024
Kurumsal Güvenliği Sağlamak: Kron PAM'ın Ayrıcalıklı Erişimi Yönetme ve Denetleme Stratejisi

Kurumsal Güvenliği Sağlamak: Kron PAM'ın Ayrıcalıklı Erişimi Yönetme ve Denetleme Stratejisi

Kas 06, 2024

Diğer Bloglar

Blog
Fidye Yazılımı Saldırılarının Gözde Hedefi: ICS Ağları

Fidye Yazılımı Saldırılarının Gözde Hedefi: ICS Ağları

Tem 18, 2021 Devamını Oku

Blog
Uzaktan Erişim Sırasında Oluşan Riskler ve Alınabilecek Önlemler

Uzaktan Erişim Sırasında Oluşan Riskler ve Alınabilecek Önlemler

Nis 13, 2020 Devamını Oku

Blog
Cisco CPAR Kullanım Ömrünün Sonuna Yaklaşıyor: Şimdi Ne Yapmalı?

Cisco CPAR Kullanım Ömrünün Sonuna Yaklaşıyor: Şimdi Ne Yapmalı?

Tem 16, 2023 Devamını Oku

Blog
2023’te Dikkat Edilmesi Gereken Siber Güvenlik Trendleri

2023’te Dikkat Edilmesi Gereken Siber Güvenlik Trendleri

Kas 13, 2022 Devamını Oku

Blog
Şirketler için A'dan Z'ye Siber Güvenlik

Şirketler için A'dan Z'ye Siber Güvenlik

Ara 27, 2020 Devamını Oku

Blog
Verizon DBIR 2021: Fidye Yazılımları, Phishing, İnsan Kaynaklı Hatalar ve Dahası

Verizon DBIR 2021: Fidye Yazılımları, Phishing, İnsan Kaynaklı Hatalar ve Dahası

Haz 06, 2021 Devamını Oku

Bize Ulaşın

Kron Teknoloji'nin telekom ve siber güvenlik ürünleri hakkında bilgi almak için bize ulaşın.