Bilgi Güvenliği

Bilgi, özellikle İnternet kullanımının hayatın her alanına yayılmasıyla, küreselleşen iş dünyasının en ciddi rekabet silahı haline gelmiştir. Bilgi güvenliği, iş sürekliliği, felaket durumlarında kaybın en aza indirilmesi, firmaların yapı taşları sayılan kaynakların her koşulda gizliliğinin, kullanılabilirliliğinin ve bütünlüğünün korunması amaçlarını taşır.
Kuruluşlarda bilgi güvenliğinin sağlanması için, kullanılan BT sistemlerinin güncel olması ve yapılandırmalarının güvenlik gereksinimlerini karşılayacak biçimde gerçekleştirilmesi gerekir.

Bir kuruluşun bilgi güvenliğini sağlaması için teknik önlemleri almasının yanı sıra, Bilgi Güvenliği Yönetim Sistemi (BGYS) gibi yapısal önlem ve denetimleri de sağlaması gerekir. ISO 27001 Bilgi Güvenliği Sistemi, özellikle kurumsallaşmaya çalışan organizasyonlar için entegre yönetim sistemlerinin en önemli parçalarından biridir. BGYS sayesinde kurumlar, bilgi varlıklarını belirleyip, bu varlıklara yönelik olası riskleri analiz ederler ve bu tip risklerin ortaya çıkması durumunda hangi kontrolleri uygulayacaklarına, hangi kontrolleri uygulamayacaklarına karar verirler. İşletmeler, “Planla – Uygula – Kontrol et – Önlem al (PUKÖ)” döngüsüne göre ‘risk yönetimi’ faaliyetlerini yürütür ve varlığın risk seviyesi kabul edilebilir bir düzeye gerileyene kadar çalışmayı sürdürürler.

Bilişim güvenliği ile ilgili denetimler, şu teknik güvenlik açıklarına çok sık rastlanıldığını ortaya çıkarmıştır:

  • Güncel olmayan altyapı öğelerinin kullanılması
  • Uygulama güvenliği önlemlerinin yetersiz olması
  • Varsayılan kullanıcı hesaplarının kullanılması
  • Parola ve güvenlik politikalarının yetersiz olması
  • Güvensiz kabul edilen servislerin kullanılması
  • Sunucularda yapılandırma ve güvenlik sıkılaştırmasının yeterli seviyede yapılmaması
  • Şifreleme anahtar ve algoritmalarının yetersiz olması
  • Ağ yapılandırmasının güvenlik seviyesinin yetersiz olması

Kurumsal BT öğelerinde bilinen güvenlik açıklarının bulunmaması için teknik güvenlik önlemleri alınır, teknik güvenlik testleri gerçekleştirilir ve BT güvenliği yapısal bir çatı altında yönetilir.