Bilgi Güvenliği Nedir ?
Bilgi güvenliği bilgileri yetkisiz erişime karşı korumakla ilgilidir. Bilgi riski yönetiminin parçasıdır ve yetkisiz erişim, kullanım, ifşa, kesinti, silme, bozulma, değiştirme, inceleme veya kaydetme olasılığını önlemeyi veya azaltmayı içerir.
Bir güvenlik olayı meydana gelirse, bilgi güvenliği uzmanları olayın olumsuz etkisini azaltmakla ilgilenirler. (Not bilgileri elektronik veya fiziksel, somut veya soyut olabilir. )
Bilgi güvenliği endüstrisinin , en iyi uygulamaları paylaşmak için parolalar, antivirüs yazılımı, güvenlik duvarları, şifreleme yazılımı, yasal sorumluluk ve güvenlik bilinci hakkında rehberlik, bilgi güvenliği politikaları ve endüstri standartları sunmasına yol açtı .
Bilgi güvenliği, aşağıdakileri sağlayan yapılandırılmış bir risk yönetimi süreci elde edilir:
- Bilgileri, ilgili varlıkları ve yetkisiz erişimin tehditlerini, güvenlik açığını ve etkisini tanımlar
- Riskleri değerlendirir
- Risklerin nasıl ele alınacağına veya ele alınacağına, yani önleme, azaltma, paylaşma veya kabul etme gibi kararlar verir.
- Azaltıldığında, güvenlik kontrollerini seçer, tasarlar ve uygular
- Faaliyetleri izler ve yeni sorunları, değişiklikleri veya iyileştirmeleri ele almak için ayarlamalar yapar
Bilgi güvenliğini kim yönetir?
Bilgi güvenliğine yönelik tehditler, doğal afetler, bilgisayar veya sunucu arızaları ve fiziksel hırsızlıkla sınırlı olmayan birçok biçimde gelir. Kağıt tabanlı işletmeler hala var olsa da, bilgi sistemlerine giderek artan bağımlılık, bilgi güvenliğinin siber güvenlik risk yönetimde önemli bir husus haline gelmesine ve özel BT güvenlik uzmanlarına ihtiyaç duyulmasına neden olmuştur.
Bu bilgi teknolojisi güvenliği uzmanları, veri güvenliği, uygulama güvenliği, ağ güvenliği , bilgisayar güvenliği ve fiziksel güvenlik ile ilgilenir . Verilerin, uygulamaların ve bilgisayarların geleneksel olarak bilgisayar olarak düşünülenin çok ötesine yayıldığını anlayın. Akıllı telefonlar ve diğer mobil cihazlar, bir sunucu veya ana bilgisayar kadar bir bilgisayardır ve hassas bilgilere , kritik bilgilere, bilgi varlıklarına veya önemli dahili bilgisayar sistemlerinin kontrolüne erişim sağlayabilen kötü niyetli siber saldırılara açıktır .
Bu, artan miktarda veri ihlali ile birleştiğinde , karmaşık veri koruma planlamasına yönelik talebin artmasına ve siber güvenlik profesyonellerinin bilgi güvenliğini anlamak için artan bir talep olmasına yol açtı . Giderek artan sayıda bilgi güvenliği sertifikası mevcuttur ve işverenler genellikle en iyi uygulamalarla ilgili bilgileri doğrulayan sertifikalara sahip çalışanları tercih etmektedir. Sertifikalı Bilgi Sistemleri Güvenliği Uzmanı ( CISSP ) gibi geniş sertifikalar ve bilgi güvencesi, ağ güvenliği, güvenlik testi, iş denetimi, iş sürekliliği planlaması, güvenlik testi, olay müdahale planlamasını kapsayan belirli sertifikalar vardır., kimlik hırsızlığı, risk değerlendirmeleri, saldırı tespit sistemleri, güvenlik ihlalleri ve diğer tüm güvenlik önlemleri. Bilgi yönetiminde uzmanlık gerektiren ortak roller arasında BT baş güvenlik görevlisi (CSO), baş bilgi güvenliği görevlisi (CISO), güvenlik mühendisi, bilgi güvenliği analisti, güvenlik sistemleri yöneticisi ve BT güvenlik danışmanı bulunur.
Bilgi güvenliği tehditleri nelerdir?
Tehditler, yazılım saldırıları, kimlik hırsızlığı, sabotaj, fiziksel hırsızlık ve bilgi gaspı gibi birçok biçimde olabilir:
- Bilgi güvenliğine yönelik yazılım saldırıları arasında virüsler, kötü amaçlı yazılımlar, solucanlar, WannaCry gibi fidye yazılımları veya truva atları bulunur.
- Kimlik avı e-postaları veya web siteleri genellikle fikri mülkiyeti çalmayı veya yetkisiz erişim elde etmek için kimlik bilgilerine giriş yapmayı amaçlamaktadır. Sosyal mühendislik , en büyük siber tehditlerden biridir ve geleneksel güvenlik önlemleriyle korunması zordur
- Hizmet reddi saldırıları gibi sabotaj, genellikle temel bilgi varlıklarının kullanılabilirliğini azaltmayı hedefler, kuruma hizmet iadesi karşılığında bir ödeme alınana kadar güveni veya kurumsal üretkenliği azaltır.
- Çoğu cihaz artık doğası gereği akıllı telefonlar veya dizüstü bilgisayarlar gibi mobil olduğundan, bilgi ve ekipman hırsızlığı giderek daha yaygın hale geliyor.
- Bilgi gaspı, gizli bilgilere erişim sağlamayı ve ödeme yapılana kadar bu bilgileri fidye karşılığında tutmayı içerir.
Siber saldırılara karşı korunmanın birçok yolu vardır, ancak herhangi bir kuruluşa yönelik bir numaralı tehdit, sosyal mühendislik veya kimlik avına duyarlı olan kullanıcıları veya şirket içi çalışanlarıdır . Bu nedenle siber güvenlik farkındalığı eğitimi ve güvenlik kontrolleri, kuruluşunuzun her seviyesinde önemlidir.
Bilgi güvenliği tehditlerine nasıl yanıt veriyorsunuz?
Bir tehdit belirlendiğinde, bir seçeneğiniz vardır:
- Koruma önlemleri veya karşı önlemler uygulayarak riski azaltın veya azaltın, tehditleri ve güvenlik açıklarını ortadan kaldırın veya azaltın
- Sigorta satın alarak veya dış kaynak kullanarak riski başka bir kuruluş veya kuruluşa devretmek veya devretmek
- Karşı önlemin maliyeti, bir güvenlik açığı veya siber saldırı nedeniyle olası kayıp maliyetinden fazla olduğunda riski kabul edin
Tanıtılmasıyla Genel Veri Koruma Yönetmeliği’nin tarafından (GDPR) Avrupa Parlamentosu 2016 yılında ve Konsey, bilgi güvenliği ihlallerine yanıt verdiklerini ihtiyaç AB içinde herhangi bir iş çalıştırılmasına yönelik bir düzenleme gereksinimi haline gelmiştir. Şirketlerin artık şunları yapması gerekmektedir:
- veri ihlali bildirimleri sağlayın
- bir veri koruma görevlisi atamak
- veri işleme için kullanıcı izni gerektir
- gizlilik için verileri anonimleştirin
Bu, kapsamlı bir olay işleme planını ve kapsamlı veri sızıntısı tespitini çoğu küresel işletme için bir gereklilik haline getirir .
Bilgi güvenliğinin temel ilkeleri nelerdir?
CIA üçlüsü olarak da bilinen gizlilik, bütünlük ve kullanılabilirlik , bilgi güvenliğinin merkezinde yer alır. Bununla birlikte, CIA üçlüsünün hızla değişen teknoloji ve iş gereksinimlerinin yanı sıra güvenlik ve mahremiyet arasındaki ilişkiye yeterince hitap edip etmediği konusunda bir tartışma var. Hesap verebilirlik gibi diğer ilkeler önerilmiştir ve inkar etmeme, üç temel kavrama tam olarak uymamaktadır.
Gizlilik nedir?
Gizlilik, bilgileri yetkisiz kişilere, tüzel kişilere veya işlemlere açık hale getirmemek veya ifşa etmemekle ilgilidir. Gizliliğe benzer olmakla birlikte, kelimeler birbirinin yerine kullanılmamalıdır.
Gizlilik, yetkisiz görüntüleyenlere karşı koruma sağlamak için güvenlik önlemleri uygulayan bir gizlilik bileşenidir. Kullanıcı gizliliği, GDPR ve diğer yasal gereklilikler nedeniyle gizliliğin artan bir parçası haline geldi.
Diğer gizlilik örnekleri arasında dizüstü bilgisayar hırsızlığına karşı koruma, parola hırsızlığı ve diğer güvenlik yönetimi teknikleri bulunur.