KÜRE LogoKÜRE Logo
Ai badge logo

Bu madde yapay zeka desteği ile üretilmiştir.

Bilgi Güvenliği

Bilişim Ve İletişim Teknolojileri
fav gif
Kaydet
kure star outline

Bilgi güvenliği; verinin yetkisiz erişim, değişiklik, ifşa, bozulma ve yok edilme gibi tehditlerden korunmasını amaçlayan sistematik bir yönetim ve teknoloji uygulamaları bütünüdür. Bu kavram; bilgiye yalnızca yetkili kullanıcıların ulaşabilmesini, bilginin doğruluğunun korunmasını ve ihtiyaç anında erişilebilir olmasını sağlamaya yönelik önlemleri kapsar.


Bilgi Güvenliğini Temsil Eden Bir Görsel (Yapay Zeka İle Oluşturulmuştur.)

Temel İlkeler

Bilgi güvenliği, üç temel ilke etrafında şekillenir: gizlilik (confidentiality), bütünlük (integrity) ve erişilebilirlik (availability). Bu ilkeler, literatürde "CIA Üçgeni" olarak bilinen yapının temelini oluşturur. Gizlilik, bilginin yalnızca yetkili birey ya da sistemlerce erişilebilmesini ifade eder. Bütünlük, bilginin doğruluğunun ve eksiksizliğinin korunmasını, erişilebilirlik ise bilginin ihtiyaç duyulduğunda ulaşılabilir olmasını sağlar.

Bu ilkelerin her biri bilgi teknolojileri alanındaki risk yönetimi politikalarının merkezindedir. Örneğin; finansal verilerin siber saldırganlar tarafından değiştirilmesi bütünlük ilkesinin ihlalidir. Erişim yetkisi olmayan kişilerin bir kurumsal veritabanına erişebilmesi ise gizliliğin ihlaline yol açar.

Uluslararası ISO/IEC 27001 standardı da bu üç ilkeyi esas alır ve bilgi güvenliği yönetim sistemlerinin tasarımında bu yapı göz önünde bulundurulur. Standarda göre, organizasyonlar bu ilkeleri sağlamakla yükümlüdür.

Kavramsal Yaklaşımlar

Bilgi güvenliği, farklı disiplinlerden uzmanlarca farklı boyutlarıyla tanımlanmıştır. Genel olarak; bilgi sistemlerinin ve içerdikleri verilerin, yetkisiz erişimlere ve zararlı müdahalelere karşı korunması, bilgi güvenliği olarak tanımlanır. Bu tanım teknik önlemlerin yanı sıra yönetsel, hukuki ve stratejik çerçeveleri de kapsar.

Bir yaklaşıma göre bilgi güvenliği, risklerin değerlendirilmesi ve uygun kontrol önlemlerinin alınması yoluyla güvenliğin sağlanmasını içerir. Bu yaklaşım, yalnızca teknolojik çözümler değil, aynı zamanda politika, eğitim ve denetim mekanizmalarını da içermektedir.

Diğer bir yaklaşım ise bilgi güvenliğini; bilgi sistemlerinin hem içsel hem dışsal tehditlere karşı dayanıklılığını artırma süreci olarak ele alır. Bu bağlamda, kurumlar veri koruma stratejilerini sadece mevcut tehditlere karşı değil, olası saldırı senaryolarına karşı da geliştirmekle yükümlüdür.

Destekleyici Unsurlar

Bilgi güvenliğinin sağlanmasında yalnızca gizlilik, bütünlük ve erişilebilirlik ilkeleri yeterli değildir. Sistemlerin güvenliğinin artırılması için bazı tamamlayıcı prensiplere de ihtiyaç vardır. Bunlardan biri kimlik doğrulama (authentication) olup kullanıcının gerçekten iddia ettiği kişi olduğunu doğrulamaya yöneliktir.

Yetkilendirme (authorization), doğrulanan kullanıcının hangi kaynaklara erişebileceğini belirler. İzlenebilirlik (accountability), sistem üzerinde gerçekleştirilen her işlemin kim tarafından yapıldığının kayıt altına alınmasıyla ilgilidir. İnkar edememe (non-repudiation), işlemin yapıldığını dijital olarak kanıtlayarak kullanıcının bu işlemi reddetmesini engeller. Güvenilirlik (reliability) ise bir sistemin öngörüldüğü şekilde, tutarlı biçimde çalışmasını ifade eder. Tüm bu unsurlar bir araya geldiğinde, bilgi güvenliğinin kapsamı daha da genişlemekte ve sistemlerin güvenlik düzeyi artırılmaktadır.

Güncel Tehditler

Bilgi güvenliğine yönelik tehditler; teknoloji geliştikçe daha karmaşık hale gelmektedir. Bu tehditler arasında virüsler, solucanlar (worms), fidye yazılımları (ransomware), dağıtık hizmet reddi (DDoS) saldırıları ve kimlik avı (phishing) gibi çeşitli yöntemler yer alır.

Saldırganlar, hem bilinen zafiyetlerden hem de henüz tanımlanmamış sıfır gün (zero-day) açıklarından yararlanarak sistemlere sızabilir. Örneğin, Shellshock ve Winshock gibi zafiyetler, işletim sistemlerinin temel işleyişine yönelik açıklar barındırmış ve geniş çaplı güvenlik tehditlerine yol açmıştır.

Bu tehditlerin etkili bir şekilde yönetilebilmesi için saldırı tespit sistemleri, yama yönetimi, erişim kontrolleri ve olay müdahale planları gibi önlemlerin bütüncül şekilde uygulanması gerekmektedir. Ayrıca kullanıcıların sosyal mühendislik ve kimlik avı saldırılarına karşı bilinçlendirilmesi, güvenliğin önemli bir parçasıdır.

Standartlar ve Uygulama Çerçevesi

Uluslararası kabul gören bilgi güvenliği yönetimi standartları, kurumların güvenlik politikalarını sistematik hale getirmesine olanak tanır. ISO/IEC 27001 standardı, bu alandaki en bilinen referans çerçevesidir. Standart, risk analizi, güvenlik kontrolleri ve sürekli iyileştirme süreçlerini kapsar.

Bu standardın uygulanmasıyla kurumlar, güvenlik politikalarını belgelendirir, güvenlik açıklarını sistematik olarak analiz eder ve denetim mekanizmalarını geliştirir. ISO/IEC 27001 standardı, aynı zamanda bilgi güvenliği farkındalığı eğitimlerini ve güvenlik ihlali durumlarında yapılacak müdahaleleri de yapılandırır.

Bu kapsamlı yapı, bilgi güvenliği süreçlerinin sadece teknik düzeyde değil, stratejik ve yönetsel düzeyde de ele alınmasını sağlar. Özellikle kamu kurumları, sağlık sektörü ve finansal kuruluşlar için bu tür standartlar vazgeçilmezdir.

Kaynakça

Nazarov, A., D. Nazarov, ve D. Kovtun. "Information Security of Territorial Stability." In 3S Web of Conferences 291 (2021): 03018. https://www.e3s-conferences.org/articles/e3sconf/abs/2021/67/e3sconf_sdgg2021_03018/e3sconf_sdgg2021_03018.html

Somepalli, S. H., S. K. R. Tangella, and S. Yalamanchili. "Information Security Management." HOLISTICA – Journal of Business and Public Administration 11, no. 2 (2020): 1–16. https://www.researchgate.net/publication/343700567_Information_Security_Management

Canbek, Gürsoy, ve Şeref Sağıroğlu. "Bilgi, Bilgi Güvenliği ve Süreçleri Üzerine Bir İnceleme." Politeknik Dergisi 9, no. 3 (2006): 165–174. https://dergipark.org.tr/en/pub/politeknik/issue/33021/367110

Solms, B. "Information Security – The Fourth Wave." Computers & Security 25, no. 3 (2006): 166–167. https://www.sciencedirect.com/science/article/abs/pii/S016740480600054X

Baykara, Mustafa, Ramazan Daş, ve İbrahim Karadoğan. "Bilgi Güvenliği Sistemlerinde Kullanılan Araçların İncelenmesi." In 1st International Symposium on Digital Forensics and Security, 20–21 Mayıs 2013, Elazığ, Turkey. 1, no. 1 (2013). https://bgys.iku.edu.tr/sites/bgys/files/inline-files/Bilgi%20G%C3%BCvenli%C4%9Fi%20Sistemlerinde%20Kullan%C4%B1lan%20Ara%C3%A7lar%C4%B1n%20%C4%B0ncelenmesi_0.pdf

Galinkin, Evgeny. "Information Security Games: A Survey." arXiv: Cryptography and Security (2021). https://arxiv.org/pdf/2103.12520

National Institute of Standards and Technology (NIST). "CVE-2014-6271 Detail." National Vulnerability Databasehttps://nvd.nist.gov/vuln/detail/CVE-2014-6271


Paolini, Alessandro, Domenico Scardaci, Nikolaos Liampotis, Vincenzo Spinoso, Benjamin Grenier, ve Yin Chen. "Authentication, Authorization, and Accounting." In Towards Interoperable Research Infrastructures for Environmental and Earth Sciences, vol. 12003, 247–271. Cham: Springer, 2020. https://link.springer.com/chapter/10.1007/978-3-030-52829-4_14

Sen de Değerlendir!

0 Değerlendirme

Yazar Bilgileri

Avatar
Ana YazarAhmet Burak Taner8 Mayıs 2025 21:02
KÜRE'ye Sor